Externe FMC- en FTD-verificatie configureren met ISE als RADIUS-server

Downloadopties

  • PDF     (3.1 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (3.1 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (2.4 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:7 juni 2025
Document-id:221009

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft een voorbeeld van een externe verificatieconfiguratie voor het Secure Firewall Management Center en Firewall Threat Defense.

    Voorwaarden

    Vereisten

    Het wordt aanbevolen om kennis te hebben van deze onderwerpen:

    • Cisco Secure Firewall Management Center eerste configuratie via GUI en/of shell.
    • Authenticatie- en autorisatiebeleid configureren op ISE.
    • Basiskennis RADIUS.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • vFMC 7.4.2
    • vFTD 7.4.2
    • ISE 3.3

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Wanneer u externe verificatie inschakelt voor beheer- en beheergebruikers van uw Secure Firewall-systeem, verifieert het apparaat de gebruikersreferenties met een Lightweight Directory Access Protocol (LDAP) of RADIUS-server zoals opgegeven in een extern verificatieobject.

    Externe authenticatieobjecten kunnen worden gebruikt door de FMC- en FTD-apparaten. U kunt hetzelfde object delen tussen de verschillende toestel-/apparaattypen of afzonderlijke objecten maken.

    Externe verificatie voor FMC

    U kunt meerdere externe verificatieobjecten configureren voor toegang tot de webinterface. Er kan slechts één extern verificatieobject worden gebruikt voor CLI- of shell-toegang.

    Externe authenticatie voor FTD

    Voor de FTD kunt u slechts één extern verificatieobject activeren.

    Netwerktopologie

    SSH RADIUS Flow

    Configureren

    ISE-configuratie

    note-icon

    Opmerking: Er zijn meerdere manieren om ISE-verificatie en autorisatiebeleid in te stellen voor Network Access Devices (NAD), zoals FMC. Het voorbeeld dat in dit document wordt beschreven, is een referentiepunt waarin we twee profielen maken (een met beheerdersrechten en de andere alleen-lezen) en kunnen worden aangepast aan de basislijnen om toegang te krijgen tot uw netwerk. Op ISE kunnen een of meer autorisatiebeleid worden gedefinieerd met de waarden van het RADIUS-attribuut aan de FMC die vervolgens worden toegewezen aan een lokale gebruikersgroep die is gedefinieerd in de systeembeleidsconfiguratie van de FMC.

    Voeg uw netwerkapparaten toe

    Stap 1. Navigeer naar het hamburgerpictogram burger bevindt zich in de linkerbovenhoek >Beheer > Netwerkbronnen > Netwerkapparaten > +Toevoegen.

    Click Add Network Device

    Stap 2. Wijs een naam toe aan het netwerkapparatobject en voer het IP-adres van de FMC in.

    Schakel het selectievakje RADIUS in en definieer een gedeeld geheim.

    Dezelfde sleutel moet later worden gebruikt om de FMC te configureren.

    Als u klaar bent, klikt u op Opslaan.

    ND Config

    Stap 2.1. Herhaal hetzelfde om de FTD toe te voegen.

    Wijs een naam toe aan het netwerkapparatobject en voer het FTD-IP-adres in.

    Schakel het selectievakje RADIUS in en definieer een gedeeld geheim.

    Als u klaar bent, klikt u op Opslaan.

    ND2 Config

    Stap 2.3. Beide apparaten valideren wordt weergegeven onder Netwerkapparaten.

    Validate ND

    De lokale gebruikersidentiteitsgroepen en -gebruikers maken

    Stap 3. Maak de vereiste groepen voor gebruikersidentiteit. Navigeer naar het hamburgerpictogram burger bevindt zich in de linkerbovenhoek > Beheer > Identiteitsbeheer > Groepen > Gebruikersidentiteitsgroepen > + Toevoegen

    AD UIGroup

    Stap 4. Geef elke groep een naam en bewaar ze afzonderlijk. In dit voorbeeld maken we een groep voor beheerders en een andere voor alleen-lezen gebruikers. Maak eerst de groep voor de gebruiker met beheerdersrechten.

    admins group

    Stap 4.1. Maak de tweede groep voor de ReadOnly-gebruiker.

    ro group

    Stap 4.2. Beide groepen valideren wordt weergegeven onder de lijst Gebruikersidentiteitsgroepen. Gebruik het filter om ze gemakkelijk te vinden.

    users groups

    Stap 5. Maak de lokale gebruikers en voeg ze toe aan hun correspondentengroep. Navigeer naar burger> Beheer > Identiteitsbeheer > Identiteiten > + Toevoegen. 

    user add

    Stap 5.1. Maak eerst de gebruiker aan met beheerdersrechten. Wijs een naam, wachtwoord en de groep Firepower-beheerders toe.

    user admin

    Stap 5.2. Voeg de gebruiker met alleen-lezen rechten toe. Wijs een naam, wachtwoord en de groep Firepower ReadOnly toe.

    read user

    Machtigingsprofielen maken

    Stap 6. Maak het autorisatieprofiel voor de FMC Web Interface Admin-gebruiker.

    Navigeer naar burger > Beleid > Beleidselementen > Resultaten > Autorisatie > Autorisatieprofielen > +Toevoegen.

    Definieer een naam voor het autorisatieprofiel, laat het toegangstype ACCESS_ACCEPT.

    Voeg onder Geavanceerde Attributen-instellingen een straal > Klasse--[25] toe met de waarde Beheerder en klik op Indienen.

    auth prof fmc gui

    Stap 6.1. Herhaal de vorige stap om het autorisatieprofiel voor de ReadOnly-gebruiker van de FMC-webinterface te maken. Maak deze keer de klasse Radius met de waarde ReadUser Administrator.

    auth prof fmc gui read

    note-icon

    Opmerking: voor FMC (alle versies) en FTD (6.2.3 en 6.3) moet u gebruikers definiëren voor toegang tot de opdrachtregelinterface (CLI) in het externe verificatieobject van de FMC, dat ik in stap 4 onder de FMC-configuratieprocedure laat zien. Voor FTD 6.4 en hoger raden we aan om gebruikers op de RADIUS-server te definiëren zoals ik u in de volgende stap laat zien.

    Stap 7. Maak het autorisatieprofiel voor de FTD CLI-gebruiker met beheerdersrechten.

    Navigeer naar burger > Beleid > Beleidselementen > Resultaten > Autorisatie > Autorisatieprofielen > +Toevoegen.

    Definieer een naam voor het autorisatieprofiel, laat het toegangstype ACCESS_ACCEPT.

    Voeg onder Geavanceerde Attributen-instellingen een straal > Servicetype--[6] met de waarde Administratief toe en klik op Indienen.

    auth prof ftd cli admin

    Stap 7.1. Herhaal de vorige stap om het autorisatieprofiel voor de FTD CLI ReadOnly-gebruiker te maken. Maak deze keer de Straal > Servicetype--[6] met de waarde NAS Prompt in plaats daarvan.

    auth prof ftd cli ro

    Een nieuwe beleidsset toevoegen

    Stap 8. Maak een beleidsset die overeenkomt met het FMC IP-adres. Dit om te voorkomen dat andere apparaten toegang verlenen aan de gebruikers. 

    Navigeer naar burger > Beleid > Beleidsreeksen > Plus sign icon Pictogram geplaatst in de linkerbovenhoek.

    add pol set

    Stap 8.1. Een nieuwe regel wordt bovenaan uw beleidssets geplaatst.

    Geef het nieuwe beleid een naam en voeg een topvoorwaarde toe voor het kenmerk RADIUS NAS-IP-Address dat overeenkomt met het IP-adres van de FMC.

    Voeg een tweede voorwaarde met OR conjunctie toe om het IP-adres van de FTD op te nemen.

    Klik op Gebruik om de wijzigingen te behouden en sluit de editor af.

    pol set

    Stap 8.2. Eenmaal voltooid, druk op Opslaan.

    pol set save

    tip-icon

    Tip: voor deze oefening hebben we de lijst met standaardprotocollen voor netwerktoegang toegestaan. U kunt een nieuwe lijst maken en deze naar behoefte verfijnen.

    Stap 9. Bekijk de nieuwe beleidsinstelling door op de knop set icoon geplaatst aan het einde van de rij.

    Vouw het menu Autorisatiebeleid uit en druk op Plus sign Icon icoon om een nieuwe regel toe te voegen om de gebruiker met beheerdersrechten toegang te geven.

    Geef het een naam.

    Stel de voorwaarden in die overeenkomen met de Identiteitsgroep woordenboek met Naam attribuut is gelijk en kies Gebruikersidentiteitsgroepen: Firepower-beheerders (de groepsnaam die in stap 4 is gemaakt) en klik op Gebruik.

    admins rule

    Stap 10. Klik op de Plus sign Icon pictogram om een tweede regel toe te voegen om de gebruiker toegang te geven met alleen-lezen rechten.

    Geef het een naam.

    Stel de voorwaarden in die overeenkomen met de groep Woordenboekidentiteit met Attribuutnaam is gelijk aan gebruikersidentiteitsgroepen: Firepower ReadOnly (de groepsnaam die is gemaakt in stap 4.1) en klik op Gebruik.

    read rule

    Stap 11. Stel de autorisatieprofielen in voor elke regel en druk op Opslaan.

    auth profiles

    FMC-configuratie

    Uw ISE RADIUS-server toevoegen voor FMC-verificatie

    Stap 1. Maak het externe verificatieobject onder Systeem > Gebruikers > Externe verificatie > Externe verificatie + Externe verificatieobject toevoegen.

    FMC1

    Stap 2. Selecteer RADIUS als verificatiemethode.

    Geef onder Extern verificatieobject een naam aan het nieuwe object.

    Plaats vervolgens in de instelling Primary Server het ISE-IP-adres en dezelfde RADIUS Secret-sleutel die u hebt gebruikt bij stap 2 van uw ISE-configuratie.

    fmc radius object

    Stap 3. Voeg de waarden van de RADIUS-klasse in die zijn geconfigureerd in stap 6 en 7 van ISE Configuration: Administrator en ReadUser voor respectievelijk firewall_admin en firewall_readuser.

    FMC3

    Stap 4. Vul de gebruikerslijst voor CLI-toegang voor beheerders onder CLI-toegangsfilter in met de gebruikersnaam die CLI-toegang tot de FMC moet hebben.

    Klik op Opslaan zodra u klaar bent.

    FMC4

    note-icon

    Opmerking: In deze procedure definiëren we gebruikers op de RADIUS-server met behulp van het kenmerk Service-Type om te voorkomen dat ReadOnly-gebruikers CLI-toegang krijgen tot de FTD met expertrechten.

    Voor toegang tot FMC CLI moet u deze gebruikerslijst gebruiken.

    caution-icon

    Waarschuwing: elke gebruiker met CLI-toegang tot de FMC kan Linux-shell-toegang krijgen met de opdracht expert. Linux shell-gebruikers kunnen root-privileges verkrijgen, wat een beveiligingsrisico kan inhouden. Zorg ervoor dat u de lijst met gebruikers met CLI- of Linux-shelltoegang beperkt.

    Stap 5. Schakel het nieuwe object in. Stel dit in als de Shell-verificatiemethode voor FMC en klik op Opslaan en Toepassen.

    enable fmc object

    FTD-configuratie

    Voeg uw ISE RADIUS-server toe voor FTD-verificatie

    note-icon

    Opmerking: U kunt hetzelfde object delen tussen het beheercentrum en apparaten of afzonderlijke objecten maken, afhankelijk van waar u uw gebruikers wilt definiëren en het machtigingsniveau dat ze moeten hebben. In dit scenario definiëren we onze gebruikers op de RADIUS-server, dus moeten we afzonderlijke objecten maken voor de dreigingsverdediging en het beheercentrum.

    Stap 1. Maak, net als voor de FMC, het externe verificatieobject onder Systeem > Gebruikers > Externe verificatie > + Externe verificatie toevoegen.

    add ftd object

    Stap 2. Selecteer RADIUS als verificatiemethode.

    Geef onder Extern verificatieobject een naam aan het nieuwe object.

    Plaats vervolgens in de instelling Primary Server het ISE-IP-adres en dezelfde RADIUS Secret-sleutel die u hebt gebruikt in stap 2.1 van uw ISE-configuratie. Klik op Opslaan

    ftd radius object 2

    warning-icon

    Waarschuwing: het time-outbereik is verschillend voor de FTD en de FMC, dus als u een object deelt en de standaardwaarde van 30 seconden wijzigt, moet u het kleinere time-outbereik (1-300 seconden) voor FTD-apparaten niet overschrijden. Als u de time-out op een hogere waarde instelt, werkt de RADIUS-configuratie voor bedreigingsverdediging niet.

    De RADIUS-server inschakelen

    Stap 1. Navigeer in FMC GUI naar Apparaten > Platforminstellingen. Bewerk uw huidige beleid of maak een nieuw beleid als u geen FTD hebt toegewezen waartoe u toegang moet hebben. Schakel de RADIUS-server in onder Externe verificatie en klik op Opslaan.

    enable ftd object

    Stap 2. Zorg ervoor dat de FTD waartoe u toegang moet krijgen, wordt vermeld onder Beleidstoewijzingen als een geselecteerd apparaat.

    plat

    Stap 3. Implementeer de veranderingen.

    deploy

    note-icon

    Opmerking: Als u eerder een bestaande externe gebruikersnaam hebt geconfigureerd als interne gebruiker met de opdracht gebruikerstoevoeging configureren, controleert de bescherming tegen bedreigingen eerst het wachtwoord ten opzichte van de interne gebruiker en als dat niet lukt, wordt de RADIUS-server gecontroleerd. U kunt later geen interne gebruiker met dezelfde naam als een externe gebruiker toevoegen omdat de implementatie mislukt. Alleen reeds bestaande interne gebruikers worden ondersteund.

    Verifiëren

    • Test of uw nieuwe implementatie goed werkt.
    • Navigeer in de FMC GUI naar de RADIUS-serverinstellingen en blader omlaag naar de sectie Extra testparameters.
    • Voer een gebruikersnaam en wachtwoord in voor de ISE-gebruiker en klik op Test.

    ISEex1

    • Een succesvolle test toont een groen bericht Succestest voltooid boven in het browservenster.

    ISEex1

    • U kunt de Details uitvouwen onder de Testuitvoer voor meer informatie.

    FMC6

    • Controleer de verificatieaanvraag en het antwoord in uw ISE RADIUS onder Bewerkingen > RADIUS > Live Logs.

    ise

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    02-Oct-2023
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Laura Villafranca
      technisch adviseur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten