Secure Firewall Chassis Manager(FCM)用のISE Radius認証の設定

Updated: 2024 年 2 月 6 日

Document ID:221646

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

内容

はじめに

このドキュメントでは、ISEを使用してSecure Firewall Chassis Manager(CUCM)のRADIUS許可/認証アクセスを設定する方法のプロセスについて説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

Secure Firewall Chassis Manager(FCM)
Cisco Identity Services Engine（ISE）
RADIUS 認証

使用するコンポーネント

Cisco Firepower 4110セキュリティアプライアンスFXOS v2.12
Cisco Identity Services Engine(ISE)v3.2パッチ4

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

設定

コンフィギュレーション

Secure Firewall Chasiss Manager(FPM)

ステップ 1：Firepower Chassis Manager(FCM)のGUIにログインします。
ステップ 2：Platform Settingsに移動します。

Screenshot 2024-02-01 at 4.28.18 p.m.

ステップ 3：左側のメニューからAAAをクリックします。 RadiusとAdd a new RADIUS providerを選択します。

Screenshot 2024-02-01 at 4.30.28 p.m.

ステップ 4：プロンプトメニューに、Radiusプロバイダーに関する必要な情報を入力します。[OK] をクリックします。

ステップ 5：System > User Managementの順に移動します

Screenshot 2024-02-01 at 4.46.57 p.m.

手順 6：Settingsタブをクリックし、ドロップダウンメニューからDefault AuthenticationをRadiusに設定してから、スクロールダウンして設定を保存します。

Screenshot 2024-02-01 at 4.52.58 p.m.

注：FCMの設定はこの時点で完了しています。

アイデンティティサービスエンジン

ステップ 1： 新しいネットワークデバイスを追加します。

左上隅にあるバーガーアイコン≡ージ> Administration > Network Resources > Network Devices > +Addに移動します。

Screenshot 2024-02-01 at 5.04.06 p.m.

ステップ 2： 新しいネットワークデバイス情報に関して要求されるパラメータを入力します。

2.1 RADIUSチェックボックスをオンにする
2.2 FCM RADIUS設定と同じ共有秘密キーを設定します。

2.1下にスクロールして、Submitをクリックします。

Screenshot 2024-02-01 at 5.13.23 p.m.

ステップ 3：Network Devicesの下に新しいデバイスが表示されていることを確認します。

Screenshot 2024-02-01 at 5.19.28 p.m.

ステップ 4： 必要なユーザIDグループを作成します。左上隅にあるバーガーアイコン≡ージ> Administration > Identity Management > Groups > User Identity Groups > + Addに移動します

Screenshot 2024-02-01 at 5.21.59 p.m.

ステップ 5：Admin User Identity Groupの名前を設定し、Submitをクリックして設定を保存します。

Screenshot 2024-02-01 at 5.32.07 p.m.

5.1 ReadOnlyユーザに対して同じプロセスを繰り返します。

Screenshot 2024-02-01 at 5.34.56 p.m.

手順 6：新しいユーザグループがユーザIDグループの下に表示されていることを確認します。

Screenshot 2024-02-01 at 5.37.12 p.m.

手順 7： ローカルユーザを作成し、対応するグループに追加します。バーガーアイコン≡ > Administration > Identity Management > Identities > + Addに移動します。

Screenshot 2024-02-01 at 5.39.06 p.m.

7.1管理者権限を持つユーザを追加する。名前とパスワードを設定し、FPR-4110-Adminに割り当てます。下にスクロールしてSubmitをクリックし、変更を保存します。

Screenshot 2024-02-01 at 5.42.41 p.m.

7.2読み取り専用権限を持つユーザを追加する。名前とパスワードを設定し、それをFPR-4110-ReadOnlyに割り当て、下にスクロールしてSubmitをクリックし、変更を保存します。

Screenshot 2024-02-01 at 5.46.28 p.m.

7.3ユーザがNetwork Access Usersの下にあることを確認する。

ステップ 8：Adminユーザの許可プロファイルを作成します。

FXOSシャーシには、次のユーザロールが含まれます。

管理者：システム全体に対する読み取り/書き込みアクセス権を付与します。デフォルトの管理者アカウントには、デフォルトでこのロールが割り当てられており、変更できません。
読み取り専用：システムの状態を変更する権限を持たない、システム設定への読み取り専用アクセス。
運用：NTP設定、Smart Licensing用のSmart Call Home設定、およびsyslogサーバや障害などのシステムログへの読み取りおよび書き込みアクセス。システムの他の部分への読み取りアクセス。
AAA：ユーザ、ロール、およびAAA設定への読み取りおよび書き込みアクセス。システムの他の部分への読み取りアクセス

各ロールの属性：

cisco-av-pair=shell:roles="admin"

cisco-av-pair=shell:roles="aaa"

cisco-av-pair=shell:roles="操作"

cisco-av-pair=shell:roles="読み取り専用"

注：このドキュメントでは、admin属性とread-only属性のみを定義しています。

バーガーアイコン≡ > Policy > Policy Elements > Results > Authorization > Authorization Profiles > +Addに移動します。

許可プロファイルの名前を定義し、アクセスタイプをACCESS_ACCEPTのままにして、Advanced Attributes Settingsでcisco-av-pair=shell:roles="admin"を追加し、Submitをクリックします。

Screenshot 2024-02-02 at 10.57.21 a.m.

Screenshot 2024-02-02 at 11.01.23 a.m.

8.1 前の手順を繰り返して、ReadOnlyユーザの許可プロファイルを作成します。値がread-onlyのRADIUSクラスを作成します。今回はAdministratorに変更してください。

Screenshot 2024-02-01 at 6.01.34 p.m.

ステップ9:FMCのIPアドレスに一致するポリシーセットを作成します。これは、他のデバイスがユーザにアクセス権を付与するのを防ぐためです。

≡ > Policy > Policy Setsの順に移動します。左上隅にアイコン記号を追加します。

Screenshot 2024-02-02 at 11.07.53 a.m.

9.1新しい品目がポリシーセットの一番上に配置されます。Addアイコンをクリックして、新しい条件を設定します。

Screenshot 2024-02-02 at 11.09.41 a.m.
9.2 FCM IPアドレスに一致するRADIUS NAS-IP-Addressattributeのトップ条件を追加し、 利用.

Screenshot 2024-02-02 at 11.12.33 a.m.

9.3完了したら、Saveをクリックします。

ヒント：この演習では、Default Network Access Protocolsリストを許可しています。新しいリストを作成し、必要に応じて絞り込むことができます。

ステップ 10： >を押して、新しいポリシーセットを表示します。行の末尾に配置されます。

Screenshot 2024-02-02 at 12.13.33 p.m.

10.1 Authorization Policy メニューを展開し、(+)をクリックして新しい条件を追加します。

Screenshot 2024-02-02 at 12.18.59 p.m.

10.2 DictionaryIdentity Groupwith AttributeName Equals User Identity Groups: FPR-4110-Admins（ステップ7で作成したグループ名）に一致する条件を設定し、Useをクリックします。

ステップ10.3 認可ポリシーで新しい条件が設定されていることを確認し、次の場所にユーザプロファイルを追加します。プロファイル.

ステップ 11 ステップ9で同じプロセスをRead-only Usersに対して繰り返し、Saveをクリックします。

確認

1.新しいRADIUSクレデンシャルを使用してFCM GUIへのログインを試みます

2.バーガーアイコン≡ > Operations > Radius > Live logsの順に移動します。

3.表示される情報は、ユーザーが正常にログインしたかどうかを示します。

Screenshot 2024-02-02 at 12.53.45 p.m.

4. Secure Firewall Chassis CLIからLogged usersロールを検証します。

Screenshot 2024-02-02 at 1.00.09 p.m.

トラブルシュート

1. ISE GUIで、バーガーアイコン≡ > Operations > Radius > Live logsの順に移動します。

1.1ログセッション要求がISEノードに到達しているかどうかを検証します。
1.2失敗ステータスについては、セッションの詳細を確認します。

Screenshot 2024-02-01 at 6.33.04 p.m.

2. Radiusライブログに表示されない要求（UDP要求がパケットキャプチャを通じてISEノードに到達しているかどうかを確認する）の場合。

burgerアイコン≡ > Operations > Troubleshoot > Diagnostic Tools > TCP dumpの順に移動します。UDPパケットがISEノードに到着しているかどうかを確認するために、新しいキャプチャを追加し、ファイルをローカルマシンにダウンロードします。

2.1必要な情報を入力し、下にスクロールして保存

Screenshot 2024-02-02 at 1.12.14 p.m.