Configurer l'authentification et l'autorisation externes FDM avec ISE à l'aide de RADIUS

Options de téléchargement

  • PDF     (2.8 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
Mis à jour:8 juillet 2021
ID du document:217234

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit la procédure d'intégration de Cisco Firepower Device Manager (FDM) avec Identity Services Engine (ISE) pour l'authentification des utilisateurs administrateurs avec le protocole RADIUS pour l'accès GUI et CLI.

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Gestionnaire de périphériques Firepower (FDM)
    • Moteur du service de vérification des identités (ISE)
    • protocole RADIUS

    Composants utilisés

     Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Périphérique Firepower Threat Defense (FTD), toutes plates-formes Firepower Device Manager (FDM) version 6.3.0+
    • ISE version 3.0

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Interfonctionnement

    • Serveur RADIUS avec des utilisateurs configurés avec des rôles d'utilisateur
    • Les rôles utilisateur doivent être configurés sur le serveur RADIUS avec cisco-av-pair
    • Cisco-av-pair = fdm.userrole.authority.admin
    • ISE peut être utilisé comme serveur RADIUS

    Licences

    Aucune exigence de licence spécifique, la licence de base est suffisante

    Informations générales

    Cette fonctionnalité permet aux clients de configurer l'authentification externe avec RADIUS et plusieurs rôles d'utilisateur pour ces utilisateurs.

    Prise en charge RADIUS pour Management Access avec 3 rôles utilisateur définis par le système :

    • LECTURE_SEULE
    • READ_WRITE (impossible d'effectuer des actions système critiques telles que la mise à niveau, la restauration, etc.)
    • ADMIN

    Il est possible de tester la configuration du serveur RADIUS, de surveiller les sessions utilisateur actives et de supprimer une session utilisateur.

    La fonctionnalité était implémentée dans FDM version 6.3.0. Avant la version 6.3.0, FDM ne prenait en charge qu'un seul utilisateur (admin).

    Par défaut, Cisco Firepower Device Manager authentifie et autorise les utilisateurs localement, afin d'avoir une méthode d'authentification et d'autorisation centralisée, vous pouvez utiliser Cisco Identity Service Engine via le protocole RADIUS.

    Diagramme du réseau

    L’image suivante fournit un exemple de topologie de réseau

    FDM Diagram

    Process:

    1. Admin User présente ses informations d'identification.
    2. Processus d'authentification déclenché et ISE valide les informations d'identification localement ou via Active Directory.
    3. Une fois l'authentification réussie, ISE envoie un paquet d'autorisation pour les informations d'authentification et d'autorisation à FDM.
    4. Le compte est exécuté sur ISE et un journal en direct d'authentification réussi se produit.

    Configurer

    Configuration de FDM

    Étape 1. Connectez-vous à FDM et sélectionnez Device > System Settings > Management Access

    1img

    Étape 2 : création d’un groupe de serveurs RADIUS

    2img

    Étape 3 : création d’un serveur RADIUS

    3img

    Screen Shot 2021-07-07 at 11.39.53

    Étape 4. Ajout du serveur RADIUS au groupe de serveurs RADIUS

    5img

    Étape 5. Sélectionnez le groupe créé en tant que groupe de serveurs pour la gestion

    6img

    fdm

    Étape 6 : enregistrement de la configuration

    7img

    Configuration ISE

    Étape 1. Icône de navigation sur trois lignesecanogut_0-1625675448492situé dans l'angle supérieur gauche et sélectionnez Administration > Network Resources > Network Devices

    NDimg

    Étape 2. Sélectionnez le bouton +Ajouter et définissez le nom du périphérique d’accès réseau et l’adresse IP, puis cochez la case RADIUS et définissez un secret partagé. Sélectionner sur envoi

    ipaddress

    radius passwordNAD view

    Étape 3. Icône de navigation sur trois lignesecanogut_1-1625676207352situé dans l'angle supérieur gauche et sélectionnez Administration > Identity Management > Groups

    Identity groups

    Étape 4. Sélectionnez sur les groupes d'identités d'utilisateur et sélectionnez sur +Ajouter bouton. Définissez un nom et sélectionnez sur Soumettre

    fdmadmin

    UIG overview

    fdmread

    Remarque : Dans cet exemple, les groupes d'identités FDM_Admin et FDM_ReadOnly créés, vous pouvez répéter l'étape 4 pour chaque type d'utilisateur Admin utilisé sur FDM.

    Étape 5. Accédez à l'icône de trois lignes située dans le coin supérieur gauche et sélectionnez Administration > Identity Management > Identities. Sélectionnez on +Add et définissez le nom d'utilisateur et le mot de passe, puis sélectionnez le groupe auquel l'utilisateur appartient. Dans cet exemple, les utilisateurs fdm_admin et fdm_readonly ont été créés et affectés respectivement au groupe FDM_Admin et FDM_ReadOnly.

    fdmauser

    fdmadmin2

    FDMoverview

    Étape 6. Sélectionnez l'icône à trois lignes située dans le coin supérieur gauche et accédez à Stratégie > Éléments de stratégie > Résultats > Autorisation > Profils d'autorisation, sélectionnez on +Add, définissez un nom pour le profil d'autorisation. Sélectionnez Radius Service-type et sélectionnez Administrative, puis sélectionnez Cisco-av-pair et collez le rôle que l'utilisateur admin obtient, dans ce cas, l'utilisateur reçoit un privilège admin complet (fdm.userrole.authority.admin). Sélectionnez sur Soumettre. Répétez cette étape pour chaque rôle, utilisateur en lecture seule configuré comme un autre exemple dans ce document.

    authzprofile

    attributes

    attributes oper

    Remarque : Assurez-vous que l'ordre de la section des attributs avancés est identique à celui de l'exemple d'image afin d'éviter tout résultat inattendu lors de la connexion avec l'interface graphique et l'interface de ligne de commande.

    Étape 8. Sélectionnez l'icône des trois lignes et accédez à Stratégie > Jeux de stratégies. Sélectionnez le ecanogut_3-1625677265767 situé près du titre Jeux de stratégies, définissez un nom et sélectionnez le bouton + au milieu pour ajouter une nouvelle condition.

    Étape 9. Dans la fenêtre Condition, sélectionnez pour ajouter un attribut, puis cliquez sur l’icône Network Device suivie de l’adresse IP du périphérique d’accès réseau.  Sélectionnez Attribute Value et ajoutez l'adresse IP FDM. Ajoutez une nouvelle condition et sélectionnez sur Network Access suivi de Protocol option, sélectionnez sur RADIUS et sélectionnez sur Use once done.

    policy set

    Étape 10. Sous Autoriser les protocoles section, sélectionnez Device Default Admin. Sélectionner sur Enregistrer

    default

    Étape 11. Sélectionnez sur la flèche droite ecanogut_4-1625677518377de l'ensemble de stratégies pour définir les stratégies d'authentification et d'autorisation

    Étape 12. Sélectionnez leecanogut_5-1625677518378 situé près du titre de la stratégie d'authentification, définissez un nom et sélectionnez le signe + au milieu pour ajouter une nouvelle condition. Dans la fenêtre Condition, sélectionnez pour ajouter un attribut, puis sélectionnez sur Network Device Icon suivi de Network access device IP address.  Sélectionnez sur Attribute Value et ajoutez l'adresse IP FDM. Sélectionnez sur Utiliser une fois terminé

    Étape 13. Sélectionnez Internal Users comme magasin d'identités et cliquez sur Save

    authe

    Remarque : Le magasin d'identités peut être changé en magasin AD si ISE est joint à Active Directory.

    Étape 14. Sélectionnez leecanogut_6-1625677601286situé près du titre de la stratégie d'autorisation, définissez un nom et sélectionnez le signe + au milieu pour ajouter une nouvelle condition. Dans la fenêtre Condition, sélectionnez pour ajouter un attribut, puis cliquez sur l'icône Identity Group suivie de Internal User:Identity Group. Sélectionnez le groupe FDM_Admin, sélectionnez l'option AND avec NEW pour ajouter une nouvelle condition, sélectionnez l'icône de port suivie de RADIUS NAS-Port-Type:Virtual et sélectionnez Use.

    authori

    Étape 15. Sous Profils, sélectionnez le profil créé à l'étape 6, puis cliquez sur Enregistrer

    Répétez les étapes 14 et 15 pour le groupe FDM_ReadOnly

    authorization2

    Étape 16 (facultatif).  Accédez à l'icône de trois lignes située dans le coin supérieur gauche et sélectionnez Administration > System > Maintenance > Repository et sélectionnez on +Add pour ajouter un référentiel utilisé pour stocker le fichier TCP Dump à des fins de dépannage.

    Étape 17 (facultatif). Définissez un nom de référentiel, un protocole, un nom de serveur, un chemin et des informations d'identification. Sélectionnez sur Soumettre une fois terminé.

    backup

    Vérifier

    Étape 1. Accédez à Objets > onglet Sources d'identité et vérifiez la configuration du serveur RADIUS et du serveur de groupe

    10img

    Étape 2. Accédez à Device > System Settings > Management Access tab et sélectionnez le bouton TEST

    8img

    Étape 3.Insérez les informations d'identification de l'utilisateur et sélectionnez le bouton TEST

    9img

    Étape 4. Ouvrez une nouvelle fenêtre de navigateur et tapez https.//FDM_ip_Address, use fdm_admin username and password created on step 5 under ISE configuration section.

    FDMGUI

    La réussite de la tentative de connexion peut être vérifiée sur les journaux en direct ISE RADIUS

    Logs

    L'utilisateur Admin peut également être consulté sur FDM dans l'angle supérieur droit

    FDMG

    CLI de Cisco Firepower Device Manager (utilisateur administrateur)

    CLI1

    CLI2

    Dépannage

    Cette section fournit les informations que vous pouvez utiliser pour dépanner votre configuration.

    Validation des communications avec l'outil de vidage TCP sur ISE

    Étape 1. Connectez-vous à ISE et sélectionnez l'icône des trois lignes située dans le coin supérieur gauche et accédez à Operations > Troubleshoot > Diagnostic Tools.

    Étape 2. Sous General tools, sélectionnez on TCP Dumps, puis Add+. Sélectionnez Nom d'hôte, Nom de fichier d'interface réseau, Référentiel et éventuellement un filtre pour collecter uniquement le flux de communication d'adresse IP FDM. Sélectionner sur Enregistrer et exécuter

    TCP tump

    Étape 3. Connectez-vous à l'interface utilisateur FDM et tapez les informations d'identification d'administrateur.

    Étape 4. Sur ISE, sélectionnez le bouton Stop et vérifiez que le fichier pcap a été envoyé au référentiel défini. 

    TCP2

    TCP3

    TCP4

    Étape 5. Ouvrez le fichier pcap pour valider la communication réussie entre FDM et ISE.

    pcap

    Si aucune entrée n'est affichée sur le fichier pcap, validez les options suivantes :

    1. L'adresse IP ISE correcte a été ajoutée à la configuration FDM
    2. Si un pare-feu se trouve au milieu, vérifiez que le port 1812-1813 est autorisé.
    3. Vérifier la communication entre ISE et FDM

    Validation des communications avec le fichier généré par FDM.

    Dans le fichier de dépannage généré à partir de la page Périphérique FDM, recherchez les mots-clés suivants :

    • AideConnexionMotDePasseFdm
    • GestionUtilisateurDéfautNGFWD
    • GestionnaireÉtatSourceIdentitéAAA
    • GestionnaireSourceIdentitéRadius

    Tous les journaux associés à cette fonctionnalité sont disponibles à l'adresse /var/log/cisco/ngfw-onbox.log

    Références:

    https://www.cisco.com/c/en/us/td/docs/security/firepower/640/fdm/fptd-fdm-config-guide-640/fptd-fdm-mgmt.html#id_73793

    Problèmes courants

    Cas 1 - L'authentification externe ne fonctionne pas

    • Vérifiez la clé secrète, le port ou le nom d'hôte
    • Mauvaise configuration des AVP sur RADIUS
    • Le serveur peut être en « Dead Time »

    Cas 2 : échec du test IdentitySource

    • Vérifiez que les modifications apportées à l'objet sont enregistrées
    • Vérifiez que les informations d'identification sont correctes

    Limites

    • FDM autorise un maximum de 5 sessions FDM actives.
    • La création de la 6ème session entraîne la révocation de la 1ère session
    • Le nom de RadiusIdentitySourceGroup ne peut pas être « LocalIdentitySource »
    • 16 RadiusIdentitySources max. pour un RadiusIdentitySourceGroup
    • Une mauvaise configuration des AVP sur RADIUS entraîne le refus de l'accès à FDM

    Q&R

    Q :   Cette fonction fonctionne-t-elle en mode Évaluation ?

    A : Oui

    Q :  Si deux utilisateurs en lecture seule se connectent, où ont accès à l'utilisateur en lecture seule 1 et ils se connectent à partir de deux navigateurs diff.  Comment cela se voit-il ?  Que se passe t-il ?

    A : Les deux sessions utilisateur sont affichées dans la page des sessions utilisateur actives avec le même nom.  Chaque entrée affiche une valeur individuelle pour l'horodatage.

    Q :  Quel est le comportement du serveur RADIUS externe qui fournit un refus d'accès par rapport à "aucune réponse" si l'authentification locale est configurée en 2e position ?

    A :  Vous pouvez essayer l'authentification LOCALE même si vous obtenez un refus d'accès ou aucune réponse si l'authentification locale est configurée en 2e position.

    Q :  Comment ISE différencie une demande RADIUS pour la connexion d'administrateur d'une demande RADIUS pour authentifier un utilisateur VPN RA

    A :  ISE ne fait pas la différence entre une requête RADIUS pour les utilisateurs Admin et RAVPN. FDM examine l'attribut cisco-avpair pour déterminer l'autorisation d'accès administrateur. ISE envoie tous les attributs configurés pour l'utilisateur dans les deux cas.

    Q :  Cela signifie que les journaux ISE ne peuvent pas faire la différence entre une connexion d'administrateur FDM et le même utilisateur accédant au VPN d'accès à distance sur le même périphérique.  Y a-t-il un attribut RADIUS transmis à ISE dans la demande d'accès sur laquelle ISE peut appuyer ?

    A :  Il s'agit des attributs RADIUS en amont qui sont envoyés du FTD à ISE pendant l'authentification RADIUS pour RAVPN. Ils ne sont pas envoyés dans le cadre de la demande d'accès de gestion d'authentification externe et peuvent être utilisés pour différencier une connexion d'administration FDM de la connexion utilisateur RAVPN.

            146 - Nom du groupe de tunnels ou nom du profil de connexion.

            150 - Type de client (Valeurs applicables : 2 = VPN SSL client AnyConnect, 6 = VPN IPsec client AnyConnect (IKEv2).

            151 - Type de session (Valeurs applicables : 1 = VPN SSL client AnyConnect, 2 = VPN IPSec client AnyConnect (IKEv2).

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    07-Jul-2021
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Anita Pietrzyk
      Spécialiste de la réussite client
    • Emmanuel Cano
      Services professionnels Cisco
    • Horacio Arroyo
      Services professionnels Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco