Integração do sistema FireSIGHT com ACS 5.x para autenticação de usuário RADIUS

Opções de download

  • PDF     (2.8 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (3.9 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:22 de outubro de 2015
ID do documento:200204

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve as etapas de configuração necessárias para integrar um Cisco FireSIGHT Management Center (FMC) ou um dispositivo gerenciado Firepower com o Cisco Secure Access Control System 5.x (ACS) para autenticação de usuário do Remote Authentication Dial In User Service (RADIUS).

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Configuração inicial do sistema FireSIGHT e do dispositivo gerenciado via GUI e/ou shell
  • Configurando políticas de autenticação e autorização no ACS 5.x
  • Conhecimento RADIUS básico

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Sistema Cisco Secure Access Control 5.7 (ACS 5.7)
  • Cisco FireSight Manager Center 5.4.1

As versões anteriores são as mais recentes disponíveis no momento. O recurso é suportado em todas as versões do ACS 5.x e nas versões do FMC 5.x.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Configuração

Configuração do ACS 5.x

Configurando Dispositivos de Rede e Grupos de Dispositivos de Rede

  • Na GUI do ACS, navegue até Network Device Group, clique em Device Type e crie um grupo de dispositivos. Na captura de tela do exemplo a seguir, o tipo de dispositivo FireSight foi configurado.  Este Tipo de Dispositivo será referenciado na definição de regra de política de autorização em uma etapa posterior.  Click Save.

  • Na GUI do ACS, navegue até Network Device Group, clique em NetworkDevices e clientes AAA e adicione um dispositivo.  Forneça um nome descritivo e o endereço IP do dispositivo.  O FireSIGHT Management Center é definido no exemplo abaixo.

  • Nos grupos de dispositivos de rede, configure o tipo de dispositivo da mesma forma que o grupo de dispositivos criado na etapa acima.
  • Marque a caixa ao lado de Authentication Options, marque a caixa de seleção RADIUS e insira a chave Shared secret que será usada para este NAD. Observe que a mesma chave de segredo compartilhado será usada novamente mais tarde ao configurar o servidor RADIUS no FireSIGHT Management Center.  Para revisar o valor da chave de texto sem formatação, clique no botão Show.  Clique em Submit.
  •  Repita as etapas acima para todos os FireSIGHT Management Centers e Dispositivos gerenciados que exigirão autenticação/autorização de usuário RADIUS para acesso a GUI e/ou shell.

Adicionando um grupo de identidade no ACS

  • Navegue até Users and Identity Stores, configure Identity Group. Neste exemplo, o grupo de identidade criado é "FireSight Administrator".  Esse grupo será vinculado ao perfil de autorização definido nas etapas abaixo. 

Adicionando um usuário local ao ACS

  • Navegue até Users and Identity Stores, configure Users na seção Internal Identity Stores. Insira as informações necessárias para a criação do Usuário local, selecione o Grupo de identidade criado na etapa acima e clique em Enviar.

Configurando a política ACS

  • Na GUI do ACS, navegue para Policy Elements > Authorization and Permissions > Network Access > Authorization Profiles.  Crie um novo perfil de autorização com um nome descritivo. No exemplo abaixo, a política criada é o FireSight Administrator.  

  • Na guia Atributos RADIUS, adicione o atributo manual para autorizar o grupo de identidade criado acima e clique em Enviar

  • Navegue para Access Policies > Access Services > Default Network Access > Authorization e configure uma nova política de autorização para as sessões de administração do FireSight Management Center.  O exemplo abaixo usa a condição NDG:Tipo de dispositivo & Grupo de identidade para corresponder ao tipo de dispositivo e grupo de identidade configurados nas etapas acima.
  • Essa política é então associada ao perfil de autorização do FireSight Administrator configurado acima como um Resultado.  Clique em Submit.

Configuração do FireSight Management Center

Configuração de política do sistema FireSight Manager

  • Faça login no FireSIGHT MC e navegue até System > Local > User Management.  Clique na guia Autenticação externa.  Clique no botão + Create Authentication Object para adicionar um novo servidor RADIUS para autenticação/autorização do usuário.
  • Selecione RADIUS para o Método de autenticação.  Digite um nome descritivo para o servidor RADIUS.  Insira o nome do host/endereço IP e a chave secreta RADIUS.  A chave secreta deve corresponder à chave previamente configurada no ACS. Opcionalmente, insira um Nome de Host/endereço IP do servidor ACS de backup, se houver.

  • Na seção Parâmetros específicos do RADIUS, neste exemplo, o valor Class=Groups:FireSight Administrator é mapeado para o grupo FireSight Administrator.  Esse é o valor que o ACS retorna como parte do ACCESS-ACCEPT. Clique em Save para salvar a configuração ou continue na seção Verify abaixo para testar a autenticação com o ACS. 

  • Em Shell Access Filter, insira uma lista separada por vírgulas de usuários para restringir sessões shell/SSH.

Habilitar autenticação externa

Por fim, conclua estes passos para habilitar a autenticação externa no FMC:

  1. Navegue até System > Local > System Policy.
  2. Selecione External Authentication no painel esquerdo.
  3. Altere Status para Enabled (desabilitado por padrão).
  4. Ative o servidor RADIUS ACS adicionado.
  5. Salve a diretiva e reaplique-a no equipamento.

Verificação

  • Para testar a autenticação do usuário em relação ao ACS, role para baixo até a seção Parâmetros de teste adicionais e insira um nome de usuário e uma senha para o usuário ACS.  Clique em Testar.  Um teste bem-sucedido resultará em uma mensagem verde Success: Test Complete na parte superior da janela do navegador.

  • Para exibir os resultados da autenticação de teste, vá para a seção Saída do teste e clique na seta preta ao lado de Mostrar detalhes.  Na captura de tela do exemplo abaixo, observe o comando "radiusauth - response: Valor de |Class=Groups:FireSight Administrator|" recebido do ACS. Ele deve corresponder ao valor de Class associado ao grupo local do FireSight configurado no FireSIGHT MC acima.  Click Save.

Histórico de revisões

Revisão Data de publicação Comentários
1.0
22-Oct-2015
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Nazmul Rajib
    Engenheiro do Cisco TAC
  • Pujita Patni
    Engenheiro do Cisco TAC

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos