Introduction
Ce document décrit le processus de configuration et de déploiement d'une politique d'identité pour un trafic FTD sécurisé via Secure FMC.
Conditions préalables
1. Domaine déjà configuré dans FMC.
2. Source d'identité déjà configurée - ISE, ISE-PIC.
Remarque : les instructions de configuration ISE et de domaine (realm) sortent du cadre de ce document.
Exigences
Cisco recommande d'avoir connaissance de ces sujets :
- Centre de gestion du pare-feu sécurisé (FMC)
- Défense sécurisée contre les threads pare-feu (FTD)
- Cisco Identity Services Engine (ISE)
- Serveur(s) LDAP/AD
- Méthodes d'authentification
- Authentification passive : utilisation d'une source utilisateur d'identité externe telle qu'ISE
- Authentification active : utilisation du périphérique géré comme source d'authentification (portail captif ou accès VPN distant)
- Aucune authentification
Composants utilisés
- Secure Firewall Management Center pour VMWare v7.2.5
- Cisco Secure Firewall Threat Defense pour VMWare v7.2.4
- Serveur Active Directory
- Correctif 4 de Cisco Identity Services Engine (ISE) v3.2
- Méthode d'authentification passive
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Configurer
Configurations
Étape 1.Dans l'interface utilisateur graphique de FMC , accédez à Politiques > Contrôle d'accès > Identité
Étape 2. Cliquez sur New Policy.
Étape 3. Attribuez un nom et une description à la nouvelle stratégie d'identité, puis cliquez sur Enregistrer.
Étape 4. Cliquez sur + Icône Ajouter une règle.
- Attribuez un nom à la nouvelle règle.
- Dans le champ Nom, choisissez la méthode d'authentification, puis sélectionnez : Authentification passive.
- À droite de l'écran, sélectionnez Domaine et paramètres.
4. Sélectionnez un domaine dans le menu déroulant.
5. Cliquez sur Zones à gauche de l'écran.
6. Dans le menu Available Zones, affectez une zone source et une zone de destination en fonction du chemin de trafic nécessaire pour détecter les utilisateurs. Pour ajouter une zone, cliquez sur le nom de la zone, puis sélectionnez Ajouter à la source ou Ajouter à la destination.
Remarque : dans cette documentation, la détection de l'utilisateur ne sera appliquée que pour le trafic provenant de la zone interne et transféré à la zone externe.
7. Sélectionnez Ajouter et Enregistrer.
Étape 5. Validez que la nouvelle règle figure dans la stratégie d'identité et cliquez sur Enregistrer.
Étape 6. Naviguez jusqu'à Politiques > Contrôle d'accès
Étape 7. Identifiez la stratégie de contrôle d'accès qu'il va déployer dans le pare-feu traitant le trafic des utilisateurs et cliquez sur l'icône crayon afin de modifier la stratégie.
Étape 6. Cliquez sur None dans le champ Identity Policy.
Étape 7. Dans le menu déroulant, sélectionnez la politique créée précédemment à l'étape 3, puis cliquez sur OK pour terminer la configuration.
Étape 8. Enregistrez et déployez la configuration sur le FTD.
Vérifier
1. Dans l'interface utilisateur graphique du FMC, accédez à Analyse > Utilisateurs : Sessions actives
3. Validation de Analyse > Connexion > Événements : Tableau des événements Connexions
Remarque : les utilisateurs correspondant aux critères de trafic de la politique d'identité et de la politique de contrôle d'accès affichent leur nom d'utilisateur dans le champ Utilisateur.