はじめに
このドキュメントでは、ISEを使用してSecure Firewall Chassis Manager(CUCM)のRADIUS許可/認証アクセスを設定する方法のプロセスについて説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Secure Firewall Chassis Manager(FCM)
- Cisco Identity Services Engine(ISE)
- RADIUS 認証
使用するコンポーネント
- Cisco Firepower 4110セキュリティアプライアンスFXOS v2.12
- Cisco Identity Services Engine(ISE)v3.2パッチ4
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
設定
コンフィギュレーション
Secure Firewall Chasiss Manager(FPM)
ステップ 1:Firepower Chassis Manager(FCM)のGUIにログインします。
ステップ 2:Platform Settingsに移動します。
ステップ 3:左側のメニューからAAAをクリックします。 RadiusとAdd a new RADIUS providerを選択します。
ステップ 4:プロンプトメニューに、Radiusプロバイダーに関する必要な情報を入力します。[OK] をクリックします。
ステップ 5:System > User Managementの順に移動します
手順 6:Settingsタブをクリックし、ドロップダウンメニューからDefault AuthenticationをRadiusに設定してから、スクロールダウンして設定を保存します。
アイデンティティサービスエンジン
ステップ 1: 新しいネットワークデバイスを追加します。
左上隅にあるバーガーアイコン≡ージ> Administration > Network Resources > Network Devices > +Addに移動します。
ステップ 2: 新しいネットワークデバイス情報に関して要求されるパラメータを入力します。
2.1 RADIUSチェックボックスをオンにする
2.2 FCM RADIUS設定と同じ共有秘密キーを設定します。
2.1下にスクロールして、Submitをクリックします。
ステップ 3:Network Devicesの下に新しいデバイスが表示されていることを確認します。
ステップ 4: 必要なユーザIDグループを作成します。左上隅にあるバーガーアイコン≡ージ> Administration > Identity Management > Groups > User Identity Groups > + Addに移動します
ステップ 5:Admin User Identity Groupの名前を設定し、Submitをクリックして設定を保存します。
5.1 ReadOnlyユーザに対して同じプロセスを繰り返します。
手順 6:新しいユーザグループがユーザIDグループの下に表示されていることを確認します。
手順 7: ローカルユーザを作成し、対応するグループに追加します。 バーガーアイコン≡ > Administration > Identity Management > Identities > + Addに移動します。
7.1管理者権限を持つユーザを追加する。名前とパスワードを設定し、FPR-4110-Adminに割り当てます。下にスクロールしてSubmitをクリックし、変更を保存します。
7.2読み取り専用権限を持つユーザを追加する。名前とパスワードを設定し、それをFPR-4110-ReadOnlyに割り当て、下にスクロールしてSubmitをクリックし、変更を保存します。
7.3ユーザがNetwork Access Usersの下にあることを確認する。
ステップ 8:Adminユーザの許可プロファイルを作成します。
FXOSシャーシには、次のユーザロールが含まれます。
- 管理者:システム全体に対する読み取り/書き込みアクセス権を付与します。デフォルトの管理者アカウントには、デフォルトでこのロールが割り当てられており、変更できません。
- 読み取り専用:システムの状態を変更する権限を持たない、システム設定への読み取り専用アクセス。
- 運用:NTP設定、Smart Licensing用のSmart Call Home設定、およびsyslogサーバや障害などのシステムログへの読み取りおよび書き込みアクセス。システムの他の部分への読み取りアクセス。
- AAA:ユーザ、ロール、およびAAA設定への読み取りおよび書き込みアクセス。システムの他の部分への読み取りアクセス
各ロールの属性:
cisco-av-pair=shell:roles="admin"
cisco-av-pair=shell:roles="aaa"
cisco-av-pair=shell:roles="操作"
cisco-av-pair=shell:roles="読み取り専用"
注:このドキュメントでは、admin属性とread-only属性のみを定義しています。
バーガーアイコン≡ > Policy > Policy Elements > Results > Authorization > Authorization Profiles > +Addに移動します。
許可プロファイルの名前を定義し、アクセスタイプをACCESS_ACCEPTのままにして、Advanced Attributes Settingsでcisco-av-pair=shell:roles="admin"を追加し、Submitをクリックします。
8.1 前の手順を繰り返して、ReadOnlyユーザの許可プロファイルを作成します。値がread-onlyのRADIUSクラスを作成します。今回はAdministratorに変更してください。
ステップ9:FMCのIPアドレスに一致するポリシーセットを作成します。これは、他のデバイスがユーザにアクセス権を付与するのを防ぐためです。
≡ > Policy > Policy Setsの順に移動します。左上隅にアイコン記号を追加します。
9.1新しい品目がポリシーセットの一番上に配置されます。Addアイコンをクリックして、新しい条件を設定します。
9.2 FCM IPアドレスに一致するRADIUS NAS-IP-Addressattributeのトップ条件を追加し、 利用.
9.3完了したら、Saveをクリックします。
ヒント:この演習では、Default Network Access Protocolsリストを許可しています。新しいリストを作成し、必要に応じて絞り込むことができます。
ステップ 10: >を押して、新しいポリシーセットを表示します。行の末尾に配置されます。
10.1 Authorization Policy メニューを展開し、(+)をクリックして新しい条件を追加します。
10.2 DictionaryIdentity Groupwith AttributeName Equals User Identity Groups: FPR-4110-Admins(ステップ7で作成したグループ名)に一致する条件を設定し、Useをクリックします。
ステップ10.3 認可ポリシーで新しい条件が設定されていることを確認し、次の場所にユーザプロファイルを追加します。 プロファイル.
ステップ 11 ステップ9で同じプロセスをRead-only Usersに対して繰り返し、Saveをクリックします。
確認
1.新しいRADIUSクレデンシャルを使用してFCM GUIへのログインを試みます
2.バーガーアイコン≡ > Operations > Radius > Live logsの順に移動します。
3.表示される情報は、ユーザーが正常にログインしたかどうかを示します。
4. Secure Firewall Chassis CLIからLogged usersロールを検証します。
トラブルシュート
1. ISE GUIで、バーガーアイコン≡ > Operations > Radius > Live logsの順に移動します。
1.1ログセッション要求がISEノードに到達しているかどうかを検証します。
1.2失敗ステータスについては、セッションの詳細を確認します。
2. Radiusライブログに表示されない要求(UDP要求がパケットキャプチャを通じてISEノードに到達しているかどうかを確認する)の場合。
burgerアイコン≡ > Operations > Troubleshoot > Diagnostic Tools > TCP dumpの順に移動します。UDPパケットがISEノードに到着しているかどうかを確認するために、新しいキャプチャを追加し、ファイルをローカルマシンにダウンロードします。
2.1必要な情報を入力し、下にスクロールして 保存
2.2キャプチャを選択して開始します。
2.3 ISEキャプチャの実行中にセキュアファイアウォールシャーシにログインする試み
2.4 ISEでTCPダンプを停止し、ファイルをローカルマシンにダウンロードします。
2.5トラフィックの出力を確認する。
予想される出力:
パケット番号1。セキュアファイアウォールからポート1812(RADIUS)経由でISEサーバに要求する
パケット番号2。ISEサーバが最初の要求を受け入れて応答します。