Configurar a autenticação externa de FMC e FTD com ISE como um servidor RADIUS

Atualizado:2 de outubro de 2023
ID do documento:221009

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve um exemplo de configuração de autenticação externa para Secure Firewall Management Center e Firewall Threat Defense.

    Pré-requisitos

    Requisitos

    Recomenda-se ter conhecimento destes tópicos:

    • Configuração inicial do Cisco Secure Firewall Management Center via GUI e/ou shell.
    • Configurando políticas de autenticação e autorização no ISE.
    • Conhecimento RADIUS básico.

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • vFMC 7.2.5
    • vFTD 7.2.5.
    • ISE 3.2

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    Quando você habilita a autenticação externa para usuários administrativos e de gerenciamento do sistema do Firewall Seguro, o dispositivo verifica as credenciais do usuário com um servidor LDAP ou RADIUS, conforme especificado em um objeto de autenticação externa.

    Os objetos de autenticação externa podem ser utilizados pelos dispositivos FMC e FTD. Você pode compartilhar o mesmo objeto entre diferentes tipos de dispositivo/dispositivo ou criar objetos separados.

    Autenticação externa para FMC

    Você pode configurar vários objetos de autenticação externa para acesso à interface da Web. Somente um objeto de autenticação externa pode ser usado para acesso CLI ou shell.

    Autenticação externa para FTD

    Para o FTD, você pode ativar apenas um objeto de autenticação externa.

    Topologia de rede

    SSH RADIUS Flow

    Configurar

    Configuração do ISE

    note-icon

    Observação: há várias maneiras de configurar a autenticação do ISE e as políticas de autorização para dispositivos de acesso à rede (NAD), como o FMC. O exemplo descrito neste documento é um ponto de referência no qual criamos dois perfis (um com direitos de administrador e outro somente leitura) e pode ser adaptado para atender às linhas de base para acessar sua rede. Uma ou mais políticas de autorização podem ser definidas no ISE com valores de atributo RADIUS retornados ao FMC que são mapeados para um grupo de usuários local definido na configuração de política do sistema do FMC.

    Etapa 1. Adicione um novo dispositivo de rede. Navegue até o ícone do hambúrguer burger localizado no canto superior esquerdo >Administração > Recursos de rede > Dispositivos de rede > +Adicionar.

    ISE1

    Etapa 2. Atribua um Name ao objeto do dispositivo de rede e insira o endereço IP do FMC.

    Marque a caixa de seleção RADIUS e defina um segredo compartilhado.

    A mesma chave deve ser usada posteriormente para configurar o FMC.

    Quando terminar, clique em Salvar.

    ISEex2

    Etapa 2.1. Repita o mesmo procedimento para adicionar o FTD.

    Atribua um Name ao objeto do dispositivo de rede e insira o endereço IP do FTD.

    Marque a caixa de seleção RADIUS e defina um segredo compartilhado.

    Quando terminar, clique em Salvar.

    ISEex2ftd

    Etapa 2.3. A opção Validate both devices é mostrada em Network Devices.

    ISe_FTD1

    Etapa 3. Crie os Grupos de Identidade de Usuário necessários. Navegue até o ícone do hambúrguer burger localizado no canto superior esquerdo > Administração > Gerenciamento de identidade > Grupos > Grupos de identidade de usuário > + Adicionar

    ISE4

    Etapa 4. Dê um nome a cada grupo e clique em Salvar individualmente. Neste exemplo, estamos criando um grupo para usuários Administradores e outro para usuários Somente leitura. Primeiro, crie o grupo para o usuário com direitos de Administrador.

    ISEex2adming

    Etapa 4.1. Crie o segundo grupo para o usuário ReadOnly.

    ISEex2readg

    Etapa 4.2. Validar ambos os grupos são mostrados na Lista de grupos de identidade do usuário. Use o filtro para localizá-los facilmente.

    ISEex2valg

    Etapa 5. Crie os usuários locais e adicione-os ao seu grupo de correspondentes. Navegue até burger> Administração > Gerenciamento de identidades > Identidades > + Adicionar. 

    ISEident

    Etapa 5.1. Primeiro, crie o usuário com direitos de Administrador. Atribuir-lhe um nome, uma senha e os administradores do FMC e do FTD do grupo.

    ISEadmin

    ISEadmin_2

    Etapa 5.2. Adicione o usuário com direitos ReadOnly. Atribua um nome, uma senha e o grupo FMC e FTD ReadOnly.

    ISEread

    ISEread_2

    Etapa 6. Crie o perfil de autorização para o usuário Admin.

    Navegue até burger > Política > Elementos de Política > Resultados > Autorização > Perfis de Autorização > +Adicionar.

    Defina um nome para o perfil de autorização, deixe Tipo de acesso como ACCESS_ACCEPT e, em Configurações avançadas de atributos, adicione um Raio > Classe—[25] com o valor Administrador e clique em Enviar.

    ISE9

    ISEex1

    Passo 7. Repita a etapa anterior para criar o perfil de autorização para o usuário somente leitura. Desta vez, crie a classe Radius com o valor ReadUser em vez de Administrator.

    ISE11

    ISEex1

    Etapa 8. Crie um conjunto de políticas correspondente ao endereço IP do FMC. Isso evita que outros dispositivos concedam acesso aos usuários. 

    Navegue até burger > Política > Conjuntos de Políticas > Plus sign icon no canto superior esquerdo.

    ISE13

    Etapa 8.1. Uma nova linha é colocada na parte superior dos Conjuntos de políticas.

    Nomeie a nova política e adicione uma condição superior para o atributo RADIUS NAS-IP-Address correspondente ao endereço IP do FMC.

    Adicione uma segunda condição com a conjunção OR para incluir o endereço IP do FTD.

    Clique em Usar para manter as alterações e sair do editor.

    ISEex1

    Etapa 8.2. Depois de concluído, pressione Salvar.

    ISEex1

    tip-icon

    Dica: para este exercício, permitimos a lista Default Network Access Protocols. Você pode criar uma nova lista e restringi-la conforme necessário.

    Etapa 9. Visualize o novo conjunto de políticas pressionando a tecla set no final da linha.

    Expanda o menu Política de Autorização e envie o Plus sign Icon para adicionar uma nova regra para permitir o acesso ao usuário com direitos administrativos.

    Dê-lhe um nome.

    Defina as condições para que correspondam ao Grupo de Identidade de Dicionário com Nome de Atributo Igual a Grupos de Identidade de Usuário: administradores FMC e FTD (o nome do grupo criado na Etapa 4) e clique em Usar.

    ISEex1

    Etapa 10. Clique no botão Plus sign Icon para adicionar uma segunda regra para permitir o acesso ao usuário com direitos somente leitura.

    Dê-lhe um nome.

    Defina as condições para que correspondam ao Grupo de Identidade de Dicionário com Nome de Atributo Igual a Grupos de Identidade de Usuário: FMC e FTD ReadOnly (o nome do grupo criado na Etapa 4) e clique em Usar.

    ISEex1

    Etapa 11. Defina os Perfis de autorização para cada regra e pressione Salvar.

    ISE18

    Configuração do FMC

    Etapa 1. Crie o Objeto de Autenticação Externa em System > Users > External Authentication > + Add External Authentication Object.

    FMC1

    Etapa 2. Selecione RADIUS como Método de Autenticação.

    Em External Authentication Object, forneça um Name para o novo objeto.

    Em seguida, na configuração Primary Server, insira o endereço IP do ISE e a mesma chave secreta RADIUS usada na etapa 2 da configuração do ISE.

    FMC2

    Etapa 3. Insira os valores dos atributos RADIUS Class que foram configurados nas Etapas 6 e 7 da Configuração do ISE: Administrator e ReadUser para firewall_admin e firewall_readuser, respectivamente.

    FMC3

    note-icon

    Observação: o intervalo de tempo limite é diferente para o FTD e o FMC, portanto, se você compartilhar um objeto e alterar o valor padrão de 30 segundos, certifique-se de não exceder um intervalo de tempo limite menor (1 a 300 segundos) para dispositivos FTD. Se você definir o tempo limite para um valor mais alto, a configuração do RADIUS de defesa contra ameaças não funcionará.

    Etapa 4. Preencha a Administrator CLI Access User List em CLI Access Filter com os nomes de usuário com permissão para obter acesso à CLI.

    Clique em Salvar quando terminar.

    FMC4

    Etapa 5. Ative o novo objeto. Defina-o como o método de autenticação Shell para FMC e clique em Save and Apply (Salvar e aplicar).

    FMC5

    Configuração de FTD

    Etapa 1. Na GUI do FMC, navegue para Devices > Platform Settings. Edite sua política atual ou crie uma nova se não tiver nenhuma atribuída ao FTD ao qual você precisa acessar. Ative o servidor RADIUS em External Authentication e clique em Save.

    ISEex1

    Etapa 2. Verifique se o FTD ao qual você precisa obter acesso está listado em Atribuições de política como um dispositivo selecionado.

    ISEex1

    Etapa 3. Implante as alterações.

    ISEex1

    Verificar

    • Teste se a nova implantação está funcionando corretamente.
    • Na GUI do FMC, navegue até as configurações do servidor RADIUS e vá até a seção Additional Test Parameters.
    • Insira um nome de usuário e uma senha para o usuário do ISE e clique em Testar.

    ISEex1

    • Um teste bem-sucedido mostra uma mensagem verde Teste de êxito concluído na parte superior da janela do navegador.

    ISEex1

    • Você pode expandir Details na Test Output para obter mais informações.

    FMC6

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    02-Oct-2023
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Laura Villafranca
      Engenheiro de consultoria técnica

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos