Configuration de l'authentification externe FMC dans un environnement multidomaine

Options de téléchargement

  • PDF     (1.5 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (1.4 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:19 février 2026
ID du document:225501

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit la mise en oeuvre de la mutualisation (multidomaine) au sein de Cisco FMC tout en exploitant Cisco ISE pour l'authentification RADIUS centralisée.

    Conditions préalables

    Exigences

    Il est recommandé de connaître les sujets suivants :

    • Configuration initiale de Cisco Secure Firewall Management Center via une interface utilisateur graphique et/ou un shell.
    • Privilèges d'administration complets dans le domaine global de FMC pour créer des sous-domaines et des objets d'authentification externes.
    • Configuration des stratégies d'authentification et d'autorisation sur ISE.
    • Connaissances de base de RADIUS

    Composants utilisés

    • Cisco Secure FMC : vFMC 7.4.2 (ou version ultérieure recommandée pour la stabilité multidomaine)
    • Structure du domaine : Une hiérarchie à trois niveaux (Global > Sous-domaines de second niveau).
    • Cisco Identity Services Engine : ISE 3.3

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales

    Dans les environnements d'entreprise à grande échelle ou les scénarios de fournisseurs de services de sécurité gérés (MSSP), il est souvent nécessaire de segmenter la gestion du réseau en frontières administratives distinctes. Ce document décrit comment configurer le FMC pour prendre en charge plusieurs domaines, en particulier pour un exemple réel où un MSSP gère deux clients : Retail-A et Finance-B. En utilisant l'authentification RADIUS externe via Cisco ISE, les administrateurs peuvent s'assurer que les utilisateurs ne disposent automatiquement d'un accès qu'à leurs domaines d'utilisateurs respectifs en fonction de leurs informations d'identification centralisées.

    Le système Cisco Secure Firewall utilise des domaines pour mettre en oeuvre la mutualisation.

    • Hiérarchie des domaines : La hiérarchie commence au niveau du domaine global. Vous pouvez créer jusqu'à 100 sous-domaines dans une structure à deux ou trois niveaux.
    • Domaines leaf : Il s'agit de domaines situés au bas de la hiérarchie, sans autre sous-domaine. Il est essentiel que chaque périphérique FTD géré soit associé à exactement un domaine leaf.
    • Attribut de classe RADIUS (Attribut 25) : Dans une configuration multidomaine, le FMC utilise l'attribut de classe RADIUS renvoyé par ISE pour mapper un utilisateur authentifié à un domaine et un rôle d'utilisateur spécifiques. Cela permet à un seul serveur RADIUS d'attribuer dynamiquement des utilisateurs à différents segments d'utilisateurs (par exemple, Retail-A ou Finance-B) lors de la connexion.

    Configuration

    Configuration ISE

    Ajouter vos périphériques réseau

    Étape 1. Accédez à Administration > Network Resources > Network Devices > Add.

    Add your Network Devices

    Étape 2. Attribuez un nom à l’objet périphérique réseau et insérez l’adresse IP FMC.

    Cochez la case RADIUS et définissez un secret partagé. La même clé doit être utilisée ultérieurement pour configurer le FMC. Une fois terminé, cliquez sur Enregistrer.

    Assign a Name to the Network Device

    Créer les groupes et utilisateurs d'identités d'utilisateurs locaux

    Étape 3 : création des groupes d'identités utilisateur requis Accédez à Administration > Identity Management > Groups > User Identity Groups > Add.

    Create Required User Identity Groups

    Étape 4. Attribuez un nom à chaque groupe et enregistrez-le individuellement. Dans cet exemple, vous créez un groupe pour les utilisateurs Administrateur. Créez deux groupes : Group_Retail_A et Group_Finance_B.

    Give each Group a Name

    Save

    Étape 5. Créez les utilisateurs locaux et ajoutez-les à leur groupe correspondant. Accédez à Administration > Identity Management > Identities > Add.

    Create the Local Users

    Étape 5.1. Commencez par créer l’utilisateur avec des droits d’administrateur. Attribuez-lui un nom admin_retail, un mot de passe et le groupe Group_Retail_A.

    First Create User with Admin Rights for Group_Retail_A

    Étape 5.2. Commencez par créer l’utilisateur avec des droits d’administrateur. Attribuez un nom à admin_finance, password et au groupe Group_Finance_B.

    First Create User with Admin Rights for Group_Finance_B

    Créer les profils d'autorisation

    Étape 6. Créer le profil d’autorisation pour l’utilisateur Administrateur de l’interface Web FMC Accédez à Policy > Policy Elements > Results > Authorization > Authorization Profiles > Add.

    Create Authorization Profile

    Définissez un nom pour le profil d'autorisation, laissez le type d'accès ACCESS_ACCEPT.

    Sous Advanced Attributes Settings, ajoutez un Radius > Class—[25] avec la valeur et cliquez sur Submit.

    Étape 6.1. Vente au détail de profils : Sous Advanced Attributes Settings, ajoutez Radius : Class avec la valeur RETAIL_ADMIN_STR

    tip-icon

    Conseil : Ici RETAIL_ADMIN_STR peut être n'importe quoi ; assurez-vous que les mêmes besoins de valeur sont également mis du côté du FMC.

    Define a Name for the Authorization Profile

    Étape 6.2. Financement par profil : Sous Advanced Attributes Settings, ajoutez Radius : Class avec la valeur FINANCE_ADMIN_STR.

    tip-icon

    Conseil : Ici FINANCE_ADMIN_STR peut être n'importe quoi ; assurez-vous que la même valeur est également attribuée au FMC.

    Advanced Settings

    Ajouter un nouvel ensemble de stratégies

    Étape 7 : création d’un ensemble de stratégies correspondant à l’adresse IP FMC Cela permet d'empêcher d'autres périphériques d'accorder l'accès aux utilisateurs. Accédez à Policy > Policy Sets > icône de signe Plus placée dans l'angle supérieur gauche.

    Create a Policy Set

    Étape 8.1. Une nouvelle ligne est placée en haut de vos ensembles de stratégies.

    Nommez la nouvelle stratégie et ajoutez une condition supérieure pour l'attribut RADIUS NAS-IP-Address correspondant à l'adresse IP FMC. Cliquez sur Utiliser pour conserver les modifications et quitter l'éditeur.

    New Line is Placed at the Top of the Policy Sets

    Étape 8.2. Une fois terminé, appuyez sur Save.

    Étape 9. Affichez le nouvel ensemble de règles en cliquant sur l'icône d'ensemble placée à la fin de la ligne.

    Développez le menu Authorization Policy et appuyez sur l'icône Plus sign pour ajouter une nouvelle règle permettant l'accès à l'utilisateur avec des droits d'administrateur. Donnez-lui un nom.

    View New Policy Set

    Définissez les conditions pour faire correspondre le groupe d'identités du dictionnaire avec Nom d'attribut égal et choisissez Groupes d'identités d'utilisateurs. Sous la stratégie d'autorisation, créez des règles :

    • Règle 1 : Si Groupe d'identités utilisateur est égal à Groupe_Détail_A, affectez le profil Détail.
    • Règle 2 : Si Groupe d'identités d'utilisateur est égal à Group_Finance_B, affectez le financement de profil.

    Set the Conditions

    Étape 10. Définissez les profils d’autorisation respectivement pour chaque règle et cliquez sur Enregistrer.

    Configuration FMC

    Ajouter votre serveur RADIUS ISE pour l'authentification FMC

    Étape 1.  Établir la structure du domaine :

    • Connectez-vous au domaine global FMC.
    • Accédez à Administration > Domains.
    • Cliquez sur Add Domain pour créer Retail-A et Finance-B en tant que sous-domaines de Global.

    Establish the Domain Structure

    Étape 2.1.  Configurez l'objet d'authentification externe sous Domain to Retail-A

    • Basculez le domaine vers Retail-A.
    • Accédez à System > Users > External Authentication.
    • Sélectionnez Add External Authentication Object et choisissez RADIUS.
    • Saisissez l'adresse IP ISE et le secret partagé configurés précédemment.
    • Saisissez les paramètres spécifiques à RADIUS > Administrator > class=RETAIL_ADMIN_STR
    tip-icon

    Conseil : Utilisez la même valeur pour class que celle configurée sous Profils d'autorisation ISE.

    Configure the External Authentication Object under Retail_A

    External Authentication Information for Retail_A

    Étape 2.2.  Configurez l'objet d'authentification externe sous Domaine sur Finance-B

    • Basculer le domaine vers Finance-B.
    • Accédez à System > Users > External Authentication.
    • Sélectionnez Add External Authentication Object et choisissez RADIUS.
    • Entrez l'adresse IP ISE et le secret partagé configurés précédemment.
    • Saisissez les paramètres spécifiques à RADIUS > Administrator > class=FINANCE_ADMIN_STR
    tip-icon

    Conseil : Utilisez la même valeur pour class que celle configurée sous Profils d'autorisation ISE.

    Configure the External Authentication Object under Finance_B

    External Authentication Information for Finance_B

    Étape 3.  Activer l'authentification : Activez l'objet et définissez-le en tant que méthode d'authentification Shell. Cliquez sur Enregistrer et appliquer.

    Vérification

    Test de connexion interdomaine

    • Essayez de vous connecter à l'interface Web FMC en utilisant admin_retail. Vérifiez que le domaine actuel affiché en haut à droite de l'interface utilisateur est Retail-A.
    tip-icon

    Conseil : Lorsque vous vous connectez à un domaine spécifique, utilisez le format nom_utilisateur nom_domaine\radius_utilisateur_mappé_avec_ce_domaine.

    Par exemple, si l'utilisateur Retail admin doit se connecter, le nom d'utilisateur doit être Retail-A\admin_retail et le mot de passe correspondant.

    Cross-Domain Login Test

    • Déconnectez-vous et connectez-vous en tant qu'admin_finance. Vérifiez que l'utilisateur est limité au domaine Finance-B et qu'il ne peut pas voir les périphériques Retail-A.

    Verify User is Restricted

    Tests internes FMC

    Accédez aux paramètres du serveur RADIUS dans le FMC. Utilisez la section Additional Test Parameters pour entrer un nom d'utilisateur et un mot de passe de test. Un test réussi doit afficher un message de réussite vert.

    FMC Internal Testing

    Journaux en direct ISE

    • Dans Cisco ISE, accédez à Operations > RADIUS > Live Logs.

    ISE Live Logs

    • Vérifiez que les demandes d'authentification présentent un état de réussite et que le profil d'autorisation correct (et la chaîne de classe associée) a été envoyé dans le paquet RADIUS Access-Accept.

    Overview

    Authentication Details

    Informations connexes

    Configurer l'authentification externe FMC et FTD avec ISE en tant que serveur RADIUS

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    19-Feb-2026
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Manav Bansal
      Ingénieur-conseil technique
    • Dinesh Verma
      Responsable technique en génie logiciel

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits