Integración del sistema de FireSIGHT con ACS 5.x para la autenticación de usuario de RADIUS

Opciones de descarga

  • PDF     (2.6 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (2.4 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:22 de octubre de 2015
ID del documento:200204

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe los pasos para la configuración requeridos para integrar un centro de administración de Cisco FireSIGHT (FMC) o el dispositivo administrado de FirePOWER con el Cisco Secure Access Control System 5.x (ACS) para la autenticación de usuario del Remote Authentication Dial In User Service (RADIUS).

Prerequisites

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Configuración inicial del sistema y del dispositivo administrado de FireSIGHT vía el GUI y/o el shell
  • Configurar las directivas de la autenticación y autorización en ACS 5.x
  • Conocimiento del RADIUS básico

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Cisco Secure Access Control System 5.7 (ACS 5.7)
  • Centro 5.4.1 del administrador de Cisco FireSIGHT

Sobre las versiones están las últimas versiones disponibles actualmente. La característica se soporta en todas las versiones ACS 5.x y las versiones FMC 5.x.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Configuración

Configuración ACS 5.x

Configurar los dispositivos de red y a los grupos de dispositivos de red

  • Del ACS GUI, navegue al grupo de dispositivos de red, haga clic en el tipo de dispositivo y cree a un grupo de dispositivos. En el tiro de pantalla del ejemplo que sigue, han configurado al tipo de dispositivo FireSIGHT.  Este tipo de dispositivo será referido a la definición de la regla de la directiva de la autorización en un paso posterior.  Click Save.

  • Del ACS GUI, navegue al grupo de dispositivos de red, haga clic en NetwokDevices y a los clientes AAA y agregue un dispositivo.  Proporcione un nombre y una dirección IP descriptivos del dispositivo.  El centro de administración de FireSIGHT se define en el ejemplo abajo.

  • En los grupos de dispositivos de red, tipo de dispositivo de la configuración lo mismo que el grupo de dispositivos creado en el paso arriba.
  • Marque el rectángulo al lado de las opciones de autenticación, seleccione la casilla de verificación del RADIO y ingrese la clave secreta compartida que será utilizada para este NAD.  Observe la misma clave secreta compartida será utilizado otra vez más adelante al configurar al servidor de RADIUS en el centro de administración de FireSIGHT.  Para revisar el valor de la clave del sólo texto, haga clic el botón de la demostración.  Haga clic en Submit (Enviar).
  •  Relance los pasos antedichos para todos los centros de administración y dispositivos administrados de FireSIGHT que requieran la autenticación de usuario de RADIUS/la autorización para el GUI y/o el acceso del shell.

Agregar un grupo de Idenity en el ACS

  • Navegue a los usuarios y a los almacenes de la identidad, grupo de la identidad de la configuración. En este ejemplo, el grupo de la identidad creado es “administrador de FireSIGHT”.  Conectarán a este grupo al perfil de la autorización definido en los pasos abajo. 

Agregar a un usuario local al ACS

  • Navegue a los usuarios y a los almacenes de la identidad, los usuarios de la configuración en la sección interna de los almacenes de la identidad. Enter requried la información para la creación del usuario local, selecciona al grupo de la identidad creado adentro sobre el paso y el tecleo somete.

Configurar la directiva ACS

  • En el ACS GUI, navegue a los elementos de la directiva > a la autorización y a los permisos > a los perfiles del acceso a la red > de la autorización.  Cree un nuevo perfil de la autorización con un nombre descriptivo. En el ejemplo abajo, la directiva creada es administrador de FireSIGHT.  

  • En los atributos de RADIUS tabule, agregue el atributo manual para autorizar al grupo de la identidad creado arriba y el tecleo somete

  • Navegue a las políticas de acceso > al acceso mantiene > acceso > autorización de red predeterminada y configura una nueva directiva de la autorización para las sesiones de la administración del centro de administración de FireSIGHT.  El ejemplo abajo utiliza el NDG: Condición del grupo del tipo de dispositivo y de la identidad para hacer juego al grupo del tipo de dispositivo y de la identidad configurado en los pasos antedichos.
  • Esta directiva entonces se asocia al perfil de la autorización del administrador de FireSIGHT configurado sobre como consecuencia.  Haga clic en Submit (Enviar).

Configuración del centro de administración de FireSIGHT

Configuración de la política del sistema del administrador de FireSIGHT

  • Inicie sesión a FireSIGHT MC y navegue al sistema > al Local > User Management (Administración de usuario).  Haga clic en el tecleo de cuadro de la autenticación externa + crean el botón del objeto de la autenticación para agregar a un nuevo servidor de RADIUS para la autenticación de usuario/la autorización.
  • Seleccione el RADIUS para el método de autentificación.  Ingrese un nombre descriptivo para el servidor de RADIUS.  Ingrese el nombre del host/el IP Address y la clave secreta del RADIO.  La clave secreta debe hacer juego la clave configurada previamente en el ACS.  Ingrese opcionalmente un nombre del host/un IP Address de reserva del servidor ACS si existe uno.

  • Bajo sección RADIUS-específica de los parámetros, en este ejemplo, el Class=Groups: El valor del administrador de FireSIGHT se asocia al Grupo del administrador de FireSIGHT.  Éste es el valor las devoluciones ese ACS como parte del ACCESS-ACCEPT. Haga clic la salvaguardia para salvar la configuración o para proceder a la sección del verificar abajo a la prueba de la autentificación con el ACS. 

  • Bajo el filtro del acceso del shell, ingrese una lista separada coma de usuarios para restringir las sesiones shell/SSH.

Autenticación externa del permiso

Finalmente, complete estos pasos para habilitar la autenticación externa en el FMC:

  1. Navegue al sistema > al Local > a la política del sistema.
  2. Seleccione la autenticación externa en el panel izquierdo.
  3. Cambie el estatus a habilitado (inhabilitado por abandono).
  4. Habilite al servidor de RADIUS agregado ACS.
  5. Salve la directiva y reaplique la directiva en el dispositivo.

Verificación

  • A la autenticación de usuario a prueba contra el ACS, navegue hacia abajo a los parámetros de prueba la sección adicional y ingrese un nombre de usuario y contraseña para el usuario de ACS.  Haga clic la prueba.  Una prueba satisfactoria dará lugar a un éxito verde:  Pruebe el mensaje Complete en la cima de la ventana del buscador.

  • Para ver los resultados de la prueba de la autentificación, ir a la sección de resultados de la prueba y hacer clic la flecha negra al lado de los detalles de la demostración.  En el tiro de pantalla del ejemplo abajo, observe el “radiusauth - respuesta: |Class=Groups: Administrador de FireSIGHT|” valor recibido del ACS.  Esto debe hacer juego el valor de clase asociado al grupo local de FireSIGHT configurado en FireSIGHT MC arriba.  Click Save.

TAC Authored

Con la colaboración de ingenieros de Cisco

  • Nazmul Rajib
    Ingeniero de Cisco TAC
  • Pujita Patni
    Ingeniero de Cisco TAC

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos