تكوين المصادقة الخارجية ل FMC في بيئة متعددة المجالات

خيارات التنزيل

  • PDF     (1.6 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
تم التحديث:١٩ فبراير ٢٠٢٦
معرّف المستند:225501

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند تنفيذ تعدد الحجوزات (متعدد المجالات) داخل وحدة التحكم في الإدارة الأساسية (FMC) من Cisco مع الاستفادة من Cisco ISE لمصادقة RADIUS المركزية.

    المتطلبات الأساسية

    المتطلبات

    يوصى بالمعرفة بالمواضيع التالية:

    • التكوين الأولي ل Cisco Secure Firewall Management Center عبر واجهة المستخدم الرسومية (GUI) و/أو طبقة الأمان (Shell).
    • امتيازات المسؤول الكامل في المجال العمومي ل FMC لإنشاء مجالات فرعية وكائنات مصادقة خارجية.
    • تكوين سياسات المصادقة والتفويض على ISE.
    • معرفة RADIUS الأساسية

    المكونات المستخدمة

    • Cisco Secure FMC: vFMC 7.4.2 (أو إصدار أحدث يوصى به لتحقيق الاستقرار متعدد المجالات)
    • بنية المجال: تسلسل هرمي ثلاثي المستويات (عمومي > مجالات فرعية من المستوى الثاني).
    • محرك خدمات الهوية Identity Services Engine من Cisco: ISE 3.3

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    في بيئات المؤسسات واسعة النطاق أو سيناريوهات مزود خدمة الأمان المدارة (MSSP)، غالبا ما يكون من الضروري تقسيم إدارة الشبكة إلى حدود إدارية مميزة. يوضح هذا المستند كيفية تكوين وحدة التحكم في إدارة الهيكل (FMC) لدعم مجالات متعددة - تحديدا لمثال في العالم الحقيقي حيث يدير بروتوكول MSSP عميلين: التجزئة (أ) والتمويل (ب). باستخدام مصادقة RADIUS الخارجية عبر Cisco ISE، يمكن للمسؤولين ضمان منح المستخدمين الوصول تلقائيا فقط إلى مجالات المستخدم الخاصة بهم استنادا إلى بيانات الاعتماد المركزية الخاصة بهم.

    يستخدم نظام جدار الحماية الآمن من Cisco النطاقات لتنفيذ تعددية المسارات.

    • التسلسل الهرمي للمجال: يبدأ التسلسل الهرمي في المجال العمومي. يمكنك إنشاء ما يصل إلى 100 مجال فرعي في بنية على مستويين أو ثلاثة مستويات.
    • مجالات الأوراق: هذه مجالات في أسفل التسلسل الهرمي مع عدم وجود مجالات فرعية أخرى. وبشكل حاسم، يجب أن يكون كل جهاز FTD تتم إدارته مرتبطا بمجال واحد فقط من الصفحات.
    • سمة فئة RADIUS (سمة 25): في إعداد متعدد المجالات، تستخدم FMC سمة فئة RADIUS التي يرجعها ISE لتعيين مستخدم مصادق عليه إلى مجال محدد ودور مستخدم معين. وهذا يسمح لخادم RADIUS واحد بتعيين المستخدمين ديناميكيا لشرائح مستخدمين مختلفة (على سبيل المثال، Retail-A مقابل Finance-B) عند تسجيل الدخول.

    التكوين

    تكوين ISE

    إضافة أجهزة الشبكة

    الخطوة 1. انتقل إلى الإدارة > موارد الشبكة > أجهزة الشبكة > إضافة.

    Add your Network Devices

    الخطوة 2. قم بتعيين اسم لكائن جهاز الشبكة وأدخل عنوان IP الخاص بوحدة التحكم في الوصول إلى البنية الأساسية (FMC).

    حدد خانة إختيار RADIUS وحدد سر مشترك. يجب إستخدام المفتاح نفسه لاحقا لتكوين FMC. بمجرد الانتهاء، انقر فوق حفظ.

    Assign a Name to the Network Device

    إنشاء مجموعات هوية المستخدم المحلي والمستخدمين

    الخطوة 3. قم بإنشاء مجموعات هوية المستخدم المطلوبة. انتقل إلى إدارة > إدارة الهوية > مجموعات > مجموعات هوية المستخدم > إضافة.

    Create Required User Identity Groups

    الخطوة 4. امنح كل مجموعة اسما واحفظ بشكل فردي. في هذا المثال، أنت تقوم بإنشاء مجموعة لمستخدمي Administrator. إنشاء مجموعتين: Group_Retail_A و Group_Finance_B.

    Give each Group a Name

    Save

    الخطوة 5. قم بإنشاء المستخدمين المحليين وإضافتهم إلى مجموعة المراسلين الخاصة بهم. انتقل إلى إدارة> إدارة الهوية > هويات > إضافة.

    Create the Local Users

    الخطوة 5.1. قم أولا بإنشاء المستخدم باستخدام حقوق المسؤول. قم بتخصيص اسم لها admin_retail وكلمة المرور والمجموعة group_retail_a.

    First Create User with Admin Rights for Group_Retail_A

    الخطوة 5.2. قم أولا بإنشاء المستخدم باستخدام حقوق المسؤول. قم بتخصيص اسم لها admin_finance، وكلمة المرور، والمجموعة group_finance_b.

    First Create User with Admin Rights for Group_Finance_B

    إنشاء توصيفات التخويل

    الخطوة 6. قم بإنشاء ملف تعريف التخويل لمستخدم مسؤول واجهة ويب ل FMC. انتقل إلى السياسة> عناصر السياسة > النتائج > التفويض > ملفات تخصيص التفويض > إضافة.

    Create Authorization Profile

    قم بتحديد اسم لملف تعريف التخويل، وترك نوع الوصول على هيئة ACCESS_ACCEPT.

    تحت إعدادات الخصائص المتقدمة قم بإضافة RADIUS > فئة—[25] مع القيمة وانقر إرسال.

    الخطوة 6.1. ملف تعريف البيع بالتجزئة: تحت إعدادات الخصائص المتقدمة، أضف Radius:Class مع القيمة RETAIL_ADMIN_STR

    tip-icon

    تلميح: هنا يمكن أن يكون retail_admin_str أي شيء؛ تأكد من وضع نفس إحتياجات القيمة على جانب FMC أيضا.

    Define a Name for the Authorization Profile

    الخطوة 6.2. تمويل الملف التعريفي: تحت إعدادات الخصائص المتقدمة، أضف RADIUS:Class مع القيمة finance_admin_str.

    tip-icon

    تلميح: هنا يمكن أن يكون finance_admin_str أي شيء؛ تأكد من وضع نفس القيمة على جانب FMC أيضا.

    Advanced Settings

    إضافة مجموعة نهج جديدة

    الخطوة 7. قم بإنشاء مجموعة سياسات مطابقة لعنوان IP الخاص بوحدة التحكم في إدارة اللوحة الأساسية (FMC). وذلك لمنع الأجهزة الأخرى من منح حق الوصول للمستخدمين. انتقل إلى السياسة > مجموعات السياسات > أيقونة علامة زائد موضوعة في الركن الأعلى الأيسر.

    Create a Policy Set

    الخطوة 8.1. يتم وضع سطر جديد في أعلى مجموعات النهج.

    قم بتسمية النهج الجديد وإضافة شرط أعلى لسمة RADIUS NAS-IP-Address المطابقة لعنوان IP الخاص بوحدة التحكم FMC. انقر فوق إستخدام للاحتفاظ بالتغييرات والخروج من المحرر.

    New Line is Placed at the Top of the Policy Sets

    الخطوة 8.2. بمجرد اكتمالها، اضغط على حفظ.

    الخطوة 9. عرض مجموعة النهج الجديدة عن طريق ضرب رمز المجموعة الموجود في نهاية الصف.

    قم بتوسيع قائمة نهج التخويل واضغط على أيقونة علامة الزائد لإضافة قاعدة جديدة للسماح بالوصول إلى المستخدم ذي حقوق المسؤول. أعطه اسما.

    View New Policy Set

    قم بتعيين الشروط لتطابق مجموعة تعريف القاموس مع اسم السمة يساوي واختر مجموعات هوية المستخدم. بموجب نهج التخويل، قم بإنشاء القواعد:

    • القاعدة 1: إذا كانت مجموعة هوية المستخدم تساوي GROUP_RETAIL_A، فقم بتعيين ملف التعريف RETAIL.
    • القاعدة 2: إذا كانت مجموعة هوية المستخدم تساوي GROUP_FINANCE_B، فقم بتعيين مالية ملف التعريف.

    Set the Conditions

    الخطوة 10. قم بتعيين ملفات تعريف التخويل لكل قاعدة على التوالي واضغط على حفظ.

    تكوين FMC

    إضافة خادم ISE RADIUS لمصادقة FMC

    الخطوة 1.  إنشاء بنية المجال:

    • قم بتسجيل الدخول إلى المجال العام ل FMC.
    • انتقل إلى الإدارة>المجالات.
    • انقر فوق إضافة مجال لإنشاء Retail-A و Finance-B كمجالين فرعيين من Global.

    Establish the Domain Structure

    الخطوة 2.1.  تكوين كائن المصادقة الخارجية ضمن المجال إلى Retail-A

    • تبديل المجال إلى Retail-A.
    • انتقل إلى النظام > المستخدمون > المصادقة الخارجية.
    • حدد إضافة كائن مصادقة خارجي واختر RADIUS.
    • أدخل عنوان ISE IP والسر المشترك الذي تم تكوينه مسبقا.
    • أدخل معلمات RADIUS المحددة > مسؤول > class=retail_admin_str
    tip-icon

    تلميح: أستخدم نفس القيمة للفئة كما تم تكوينها ضمن ملفات تعريف التخويل ل ISE.

    Configure the External Authentication Object under Retail_A

    External Authentication Information for Retail_A

    الخطوة 2.2.  تكوين كائن المصادقة الخارجية ضمن المجال إلى Finance-B

    • تبديل المجال إلى Finance-B.
    • انتقل إلى النظام > المستخدمون > المصادقة الخارجية.
    • حدد إضافة كائن مصادقة خارجي واختر RADIUS.
    • أدخل عنوان ISE IP وسر المشترك الذي تم تكوينه مسبقا.
    • أدخل معلمات RADIUS المحددة > المسؤول > class=finance_admin_str
    tip-icon

    تلميح: أستخدم نفس القيمة للفئة كما تم تكوينها ضمن ملفات تعريف التخويل ل ISE.

    Configure the External Authentication Object under Finance_B

    External Authentication Information for Finance_B

    الخطوة 3.  تنشيط المصادقة: قم بتمكين الكائن وتعيينه كطريقة مصادقة Shell. انقر فوق حفظ وتطبيق.

    التحقق

    إختبار تسجيل الدخول عبر المجال

    • حاول تسجيل الدخول إلى واجهة ويب FMC باستخدام admin_retail. تحقق من أن المجال الحالي المعروض في أعلى يمين واجهة المستخدم هو Retail-A.
    tip-icon

    تلميح: عند تسجيل الدخول إلى مجال محدد، أستخدم تنسيق اسم المستخدم domain_name\radius_user_mapped_with_that_domain.

    على سبيل المثال، إذا أحتاج مستخدم مسؤول البيع بالتجزئة إلى تسجيل الدخول، يجب أن يكون اسم المستخدم Retail-A\admin_retail وكلمة المرور المقابلة.

    Cross-Domain Login Test

    • قم بتسجيل الخروج وتسجيل الدخول ك admin_finance. تحقق من أن المستخدم مقيد بمجال Finance-B ولا يمكنه رؤية أجهزة Retail-A.

    Verify User is Restricted

    الاختبار الداخلي لوحدة التحكم في إدارة الهيكل (FMC)

    انتقل إلى إعدادات خادم RADIUS في FMC. أستخدم قسم معلمات الاختبار الإضافية لإدخال اسم مستخدم وكلمة مرور للاختبار. يجب أن يظهر الاختبار الناجح رسالة نجاح خضراء.

    FMC Internal Testing

    سجلات ISE المباشرة

    • في Cisco ISE، انتقل إلى Operations> RADIUS > سجلات نشطة.

    ISE Live Logs

    • تأكد من أن طلبات المصادقة تظهر حالة تمرير وأن ملف تعريف التخويل الصحيح (وسلسلة الفئة المقترنة) تم إرسالها في حزمة قبول الوصول إلى RADIUS.

    Overview

    Authentication Details

    معلومات ذات صلة

    تكوين مصادقة FMC و FTD الخارجية باستخدام ISE كخادم RADIUS

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    19-Feb-2026
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Manav Bansal
      Technical Consulting Engineer
    • Dinesh Verma
      Software Engineering Technical Leader

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات