Externe FMC- und FTD-Authentifizierung mit ISE als RADIUS-Server konfigurieren
Einleitung
In diesem Dokument wird ein Beispiel für die Konfiguration der externen Authentifizierung für Secure Firewall Management Center und Firewall Threat Defense beschrieben.
Voraussetzungen
Anforderungen
Es wird empfohlen, über Kenntnisse in den folgenden Themen zu verfügen:
- Erstkonfiguration von Cisco Secure Firewall Management Center über GUI und/oder Shell.
- Konfigurieren von Authentifizierungs- und Autorisierungsrichtlinien auf der ISE
- Grundlegendes RADIUS-Wissen
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- vFMC 7.2.5
- vFTD 7.2.5
- ISE 3.2
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrundinformationen
Wenn Sie die externe Authentifizierung für Verwaltungs- und Administratorbenutzer des Secure Firewall-Systems aktivieren, überprüft das Gerät die Benutzeranmeldeinformationen mithilfe eines LDAP- (Lightweight Directory Access Protocol) oder RADIUS-Servers, wie in einem externen Authentifizierungsobjekt angegeben.
Externe Authentifizierungsobjekte können von den FMC- und FTD-Geräten verwendet werden. Sie können dasselbe Objekt für die verschiedenen Appliance-/Gerätetypen freigeben oder separate Objekte erstellen.
Externe Authentifizierung für FMC
Sie können mehrere externe Authentifizierungsobjekte für den Zugriff auf die Webschnittstelle konfigurieren. Für den CLI- oder Shell-Zugriff kann nur ein externes Authentifizierungsobjekt verwendet werden.
Externe Authentifizierung für FTD
Für die FTD können Sie nur ein externes Authentifizierungsobjekt aktivieren.
Netzwerktopologie
Konfigurieren
ISE-Konfiguration
Hinweis: Es gibt mehrere Möglichkeiten, ISE-Authentifizierungs- und Autorisierungsrichtlinien für Netzwerkzugriffsgeräte (Network Access Devices, NAD) einzurichten, z. B. für FMC. Das in diesem Dokument beschriebene Beispiel ist ein Referenzpunkt, in dem wir zwei Profile erstellen (eines mit Administratorrechten und das andere mit Lesezugriff) und an die Basislinien für den Zugriff auf Ihr Netzwerk angepasst werden können. Eine oder mehrere Autorisierungsrichtlinien können auf der ISE definiert werden, wobei RADIUS-Attributwerte an das FMC zurückgegeben werden, die dann einer lokalen Benutzergruppe zugeordnet werden, die in der FMC-Systemrichtlinienkonfiguration definiert ist.
Schritt 1: Hinzufügen eines neuen Netzwerkgeräts Zum Burger-Symbol navigieren 
in der oberen linken Ecke >Administration > Network Resources > Network Devices > +Add.
Schritt 2: Weisen Sie dem Netzwerkgeräteobjekt einen Namen zu, und fügen Sie die FMC-IP-Adresse ein.
Aktivieren Sie das Kontrollkästchen RADIUS, und definieren Sie einen gemeinsamen geheimen Schlüssel.
Derselbe Schlüssel muss später zur Konfiguration des FMC verwendet werden.
Klicken Sie abschließend auf Speichern.
Schritt 2.1: Wiederholen Sie den Vorgang, um das FTD hinzuzufügen.
Weisen Sie dem Netzwerkgeräteobjekt einen Namen zu, und fügen Sie die FTD-IP-Adresse ein.
Aktivieren Sie das Kontrollkästchen RADIUS, und definieren Sie einen gemeinsamen geheimen Schlüssel.
Klicken Sie abschließend auf Speichern.
Schritt 2.3: Überprüfen Sie, ob beide Geräte unter "Netzwerkgeräte" angezeigt werden.
Schritt 3: Erstellen Sie die erforderlichen Benutzeridentitätsgruppen. Zum Burger-Symbol navigieren 
in der oberen linken Ecke > Administration > Identity Management > Groups > User Identity Groups > + Add
Schritt 4: Geben Sie jeder Gruppe einen Namen, und speichern Sie diese einzeln. In diesem Beispiel erstellen wir eine Gruppe für Administrator-Benutzer und eine weitere Gruppe für schreibgeschützte Benutzer. Erstellen Sie zunächst die Gruppe für den Benutzer mit Administratorrechten.
Schritt 4.1: Erstellen Sie die zweite Gruppe für den ReadOnly-Benutzer.
Schritt 4.2: Überprüfen Sie, ob beide Gruppen in der Liste der Benutzeridentitätsgruppen angezeigt werden. Nutzen Sie den Filter, um sie einfach zu finden.
Schritt 5: Erstellen Sie die lokalen Benutzer, und fügen Sie sie ihrer entsprechenden Gruppe hinzu. Navigieren Sie zu 
> Administration > Identity Management > Identities > + Add.
Schritt 5.1: Erstellen Sie zunächst den Benutzer mit Administratorrechten. Weisen Sie ihm einen Namen, ein Kennwort und die Gruppe FMC- und FTD-Administratoren zu.
Schritt 5.2: Fügen Sie den Benutzer mit Lesezugriff hinzu. Weisen Sie einen Namen, ein Kennwort und die Gruppen FMC und FTD ReadOnly zu.
Schritt 6: Erstellen Sie das Autorisierungsprofil für den Administrator-Benutzer.
Navigieren Sie zu 
> Richtlinie > Richtlinienelemente > Ergebnisse > Autorisierung > Autorisierungsprofile > +Hinzufügen.
Definieren Sie einen Namen für das Autorisierungsprofil, belassen Sie den Zugriffstyp ACCESS_ACCEPT, und fügen Sie unter Erweiterte Attributeinstellungen einen Radius > Klasse [25] mit dem Wert Administrator hinzu und klicken Sie auf Senden.
Schritt 7. Wiederholen Sie den vorherigen Schritt, um das Autorisierungsprofil für den schreibgeschützten Benutzer zu erstellen. Erstellen Sie die Radius-Klasse mit dem Wert ReadUser anstelle von Administrator.
Schritt 8: Erstellen Sie einen Policy Set, der mit der IP-Adresse des FMC übereinstimmt. Auf diese Weise wird verhindert, dass andere Geräte den Benutzern Zugriff gewähren.
Navigieren Sie zu 
> Richtlinie > Richtliniensätze > 
in der linken oberen Ecke platziert.
Schritt 8.1: Eine neue Zeile wird an die Spitze Ihrer Policy Sets gesetzt.
Nennen Sie die neue Richtlinie, und fügen Sie eine Topbedingung für das RADIUS NAS-IP-Address-Attribut hinzu, das mit der FMC-IP-Adresse übereinstimmt.
Fügen Sie eine zweite Bedingung mit ODER Konjunktion hinzu, um die IP-Adresse des FTD einzuschließen.
Klicken Sie auf Verwenden, um die Änderungen beizubehalten und den Editor zu beenden.
Schritt 8.2: Klicken Sie abschließend auf Speichern.
Tipp: Für diese Übung haben wir die Liste der Standard-Netzwerkzugriffsprotokolle zugelassen. Sie können eine neue Liste erstellen und sie nach Bedarf eingrenzen.
Schritt 9. Zeigen Sie den neuen Richtliniensatz an, indem Sie auf 
Symbol am Ende der Zeile platziert.
Erweitern Sie das Menü Authorization Policy (Autorisierungsrichtlinie), und drücken Sie 
um eine neue Regel hinzuzufügen, die den Zugriff für Benutzer mit Administratorrechten ermöglicht.
Gib ihm einen Namen.
Legen Sie die Bedingungen für die Übereinstimmung der Dictionary-Identitätsgruppe mit Attributname gleich Benutzeridentitätsgruppen fest: FMC- und FTD-Administratoren (der in Schritt 4 erstellte Gruppenname), und klicken Sie auf Verwenden.
Schritt 10. Klicken Sie auf 
um eine zweite Regel hinzuzufügen, die den Zugriff für Benutzer mit Leseberechtigung zulässt.
Gib ihm einen Namen.
Legen Sie die Bedingungen für die Übereinstimmung der Dictionary Identity Group mit dem Attributnamen gleich den Benutzeridentitätsgruppen fest: FMC und FTD ReadOnly (der in Schritt 4 erstellte Gruppenname), und klicken Sie auf Verwenden.
Schritt 11. Legen Sie die Autorisierungsprofile für jede Regel fest, und klicken Sie auf Speichern.
FMC-Konfiguration
Schritt 1: Erstellen Sie das externe Authentifizierungsobjekt unter System > Users > External Authentication > + Add External Authentication Object.
Schritt 2: Wählen Sie RADIUS als Authentifizierungsmethode aus.
Geben Sie unter External Authentication Object einen Namen für das neue Objekt ein.
Fügen Sie als Nächstes in der Einstellung für den primären Server die ISE-IP-Adresse und den gleichen geheimen RADIUS-Schlüssel ein, den Sie in Schritt 2 Ihrer ISE-Konfiguration verwendet haben.
Schritt 3: Fügen Sie die Attributwerte der RADIUS-Klasse ein, die in den Schritten 6 und 7 der ISE-Konfiguration konfiguriert wurden: Administrator und ReadUser für firewall_admin bzw. firewall_readuser.
Hinweis: Der Zeitüberschreitungsbereich ist für FTD und FMC unterschiedlich. Wenn Sie ein Objekt gemeinsam nutzen und den Standardwert von 30 Sekunden ändern, achten Sie darauf, dass der kleinere Zeitüberschreitungsbereich (1-300 Sekunden) für FTD-Geräte nicht überschritten wird. Wenn Sie den Wert für die Zeitüberschreitung auf einen höheren Wert festlegen, funktioniert die RADIUS-Konfiguration zur Abwehr von Bedrohungen nicht.
Schritt 4: Tragen Sie die Benutzernamen, die für den Zugriff auf die CLI zugelassen sind, in die Benutzerliste für den Zugriff auf die CLI des CLI-Filters ein.
Klicken Sie abschließend auf Speichern.
Schritt 5: Aktivieren Sie das neue Object. Legen Sie es als Shell Authentication method for FMC fest, und klicken Sie auf Save and Apply.
FTD-Konfiguration
Schritt 1: Navigieren Sie in der FMC-GUI zu Geräte > Plattformeinstellungen. Bearbeiten Sie Ihre aktuelle Richtlinie, oder erstellen Sie eine neue, wenn Ihnen keine FTD-Richtlinie zugewiesen ist, auf die Sie Zugriff benötigen. Aktivieren Sie den RADIUS-Server unter Externe Authentifizierung, und klicken Sie auf Speichern.
Schritt 2: Vergewissern Sie sich, dass das FTD, auf das Sie zugreifen müssen, unter Richtlinienzuweisungen als ausgewähltes Gerät aufgeführt ist.
Schritt 3: Bereitstellen der Änderungen
Überprüfung
- Testen Sie, ob die neue Bereitstellung ordnungsgemäß funktioniert.
- Navigieren Sie in der FMC-GUI zu den RADIUS-Servereinstellungen, und scrollen Sie nach unten zum Abschnitt Zusätzliche Testparameter.
- Geben Sie einen Benutzernamen und ein Kennwort für den ISE-Benutzer ein, und klicken Sie auf Test.
- Ein erfolgreicher Test zeigt oben im Browserfenster die grüne Meldung Success Test Complete (Erfolgstest abgeschlossen) an.
- Sie können die Details unter Testausgabe für weitere Informationen erweitern.
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
1.0 |
02-Oct-2023 |
Erstveröffentlichung |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)