将ISE配置为RADIUS服务器的FMC和FTD外部身份验证

下载选项

PDF (3.2 MB)
在各种设备上使用 Adobe Reader 查看

已更新: 2025 年 6 月 7 日

文档 ID:221009

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍安全防火墙管理中心和防火墙威胁防御的外部身份验证配置示例。

先决条件

要求

建议了解以下主题：

通过GUI和/或外壳对Cisco安全防火墙管理中心进行初始配置。
在ISE上配置身份验证和授权策略。
基本RADIUS知识。

使用的组件

本文档中的信息基于以下软件和硬件版本：

vFMC 7.4.2
vFTD 7.4.2
ISE 3.3

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

当您为安全防火墙系统的管理和管理用户启用外部身份验证时，设备会使用外部身份验证对象中指定的轻型目录访问协议(LDAP)或RADIUS服务器验证用户凭证。

外部身份验证对象可由FMC和FTD设备使用。您可以在不同设备/设备类型之间共享同一对象，或创建单独的对象。

FMC的外部身份验证

您可以配置多个外部身份验证对象以访问Web界面。只有一个外部身份验证对象可用于CLI或外壳访问。

FTD的外部身份验证

对于FTD，只能激活一个外部身份验证对象。

网络拓扑

SSH RADIUS Flow

配置

ISE 配置

注意：设置网络接入设备(NAD)（例如FMC）的ISE身份验证和授权策略的方法有多种。本文档中介绍的示例是一个参考点，在该参考点中，我们创建了两个配置文件（一个具有管理员权限，另一个为只读），并可根据基线进行调整以访问您的网络。可以在ISE上定义一个或多个授权策略，将RADIUS属性值返回到FMC，然后映射到FMC系统策略配置中定义的本地用户组。

添加网络设备

步骤1.导航至汉堡图标 burger 位于左上角>Administration > Network Resources > Network Devices > +Add。

Click Add Network Device

步骤2.为网络设备对象分配名称，并插入FMC IP地址。

选中RADIUS复选框并定义共享密钥。

稍后必须使用该密钥来配置FMC。

完成后，单击Save。

ND Config

步骤2.1.重复相同步骤添加FTD。

为网络设备对象分配Name并插入FTD IP地址。

选中RADIUS复选框并定义一个共享密钥。

完成后，单击Save。

ND2 Config

第2.3步：验证两台设备均显示在Network Devices下。

Validate ND

创建本地用户身份组和用户

步骤3.创建所需的用户身份组。导航至汉堡图标 burger 位于左上角> Administration > Identity Management > Groups > User Identity Groups > +添加

AD UIGroup

步骤4.为每个组指定一个名称，然后单独保存。在本示例中，我们为管理员用户创建一个组，为只读用户创建另一个组。首先，为具有管理员权限的用户创建组。

admins group

第4.1步：为只读用户创建第二个组。

ro group

第4.2步：验证两个组显示在User Identity Groups List下。使用过滤器可以轻松找到它们。

users groups

步骤5.创建本地用户并将其添加到其往来行组。导航至 burger > Administration > Identity Management > Identities > + Add。

第5.1步：首先创建具有管理员权限的用户。为其指定名称、密码和Firepower Admins组。

第5.2步：添加具有只读权限的用户。分配名称、密码和Firepower ReadOnly组。

创建授权配置文件

第6步：为FMC Web界面管理员用户创建授权配置文件。

导航至 burger >Policy > Policy Elements > Results > Authorization > Authorization Profiles > +Add。

定义Authorization Profile的名称，将Access Type保留为ACCESS_ACCEPT。

在“高级属性设置”(Advanced Attributes Settings)下，添加Radius > Class— [25]和值Administrator，然后单击提交。

auth prof fmc gui

第6.1步：重复上一步为FMC Web界面只读用户创建授权配置文件。这次使用值ReadUser代替Administrator创建Radius类。

auth prof fmc gui read

注意：对于FMC（所有版本）和FTD（6.2.3和6.3），您必须在FMC外部身份验证对象中定义命令行界面(CLI)访问用户，我在FMC配置过程的步骤4中显示了此内容。对于FTD 6.4及更高版本，我们建议按照下一步中显示的内容在RADIUS服务器上定义用户。

步骤7.为具有管理员权限的FTD CLI用户创建授权配置文件。

导航至 burger >Policy > Policy Elements > Results > Authorization > Authorization Profiles > +Add。

定义Authorization Profile的名称，将Access Type保留为ACCESS_ACCEPT。

在Advanced Attributes Settings下，添加值为Administrative的Radius > Service-Type - [6]，然后点击Submit。

auth prof ftd cli admin

步骤7.1.重复上一步为FTD CLI只读用户创建授权配置文件。这次改为使用NAS Prompt值创建Radius > Service-Type -[6]。

添加新策略集

步骤8.创建与FMC IP地址匹配的策略集。这是为了防止其他设备向用户授予访问权限。

导航至 burger >策略>策略集> Plus sign icon 图标位于左上角。

add pol set

第8.1步：新行位于策略集的顶部。

为新策略命名，并为与FMC IP地址匹配的RADIUS NAS-IP-Address属性添加顶部条件。

使用OR添加第二个条件以包括FTD的IP地址。

单击Use以保留更改并退出编辑器。

pol set

第8.2步：完成后，点击保存。

pol set save

提示：在本练习中，我们允许Default Network Access Protocols列表。您可以创建新列表并根据需要缩小其范围。

步骤9.通过单击按钮查看新策略集 set 位于行尾的图标。

展开Authorization Policy菜单并推送 Plus sign Icon 图标添加新的规则，以允许访问具有管理员权限的用户。

给它起个名字。

设置条件以匹配Dictionary Identity Group with Attribute Name Equals，然后选择User Identity Groups:Firepower管理员（步骤4中创建的组名称），然后点击使用。

admins rule

步骤10.单击 Plus sign Icon 图标添加第二条规则，以允许访问具有只读权限的用户。

给它起个名字。

设置条件以匹配Dictionary Identity Group with Attribute Name Equals User Identity Groups:Firepower只读（在步骤4.1中创建的组名称），然后点击使用。

第11步：为每条规则分别设置授权配置文件，然后点击保存(Save)。

auth profiles

FMC配置

添加用于FMC身份验证的ISE RADIUS服务器

第1步：在System > Users > External Authentication > +添加外部身份验证对象(Add External Authentication Object)下创建外部身份验证对象。

FMC1

步骤2.选择RADIUS作为身份验证方法。

在External Authentication Object下为新对象指定Name。

接下来，在Primary Server设置中，插入ISE IP地址和您在ISE配置的第2步中使用的RADIUS密钥。

fmc radius object

第3步：插入在ISE配置的第6步和第7步中配置的RADIUS类属性值：分别用于firewall_admin和firewall_readuser的Administrator和ReadUser。

FMC3

第4步：使用必须对FMC具有CLI访问权限的用户名填充CLI访问过滤器(CLI Access Filter)下的管理员CLI访问用户列表(Administrator CLI Access User List)。

完成后单击Save。

FMC4

注意：在此程序中，我们将使用Service-Type属性在RADIUS服务器上定义用户，以防止只读用户获得具有专家权限的FTD的CLI访问权限。

对于FMC CLI访问，您必须使用此用户列表。

警告：使用expert命令可以访问FMC的CLI的任何用户都可以访问Linux shell。Linux shell用户可以获得root权限，这会带来安全风险。确保使用CLI或Linux外壳访问限制用户列表。

步骤5.启用新对象。将其设置为FMC的Shell Authentication方法，然后单击Save and Apply。

enable fmc object

FTD配置

添加用于FTD身份验证的ISE RADIUS服务器

注意：您可以在管理中心和设备之间共享同一对象，也可以创建单独的对象，具体取决于您要定义用户的位置及其必须具有的授权级别。在此场景中，我们将在RADIUS服务器上定义用户，因此我们需要为威胁防御和管理中心创建单独的对象。

第1步：与对FMC执行的操作相同，在System > Users > External Authentication > + Add External Authentication Object下创建外部身份验证对象。

add ftd object

步骤2.选择RADIUS作为身份验证方法。

在External Authentication Object下为新对象指定Name。

接下来，在Primary Server设置中，插入ISE IP地址和您在ISE配置的第2.1步中使用的RADIUS密钥。点击保存

ftd radius object 2

警告：FTD和FMC的超时范围不同，因此，如果您共享对象并更改默认值30秒，请确保不要超出FTD设备的较小超时范围（1-300秒）。如果将超时设置为更高的值，威胁防御RADIUS配置将不起作用。

启用RADIUS服务器

第1步：在FMC GUI中，导航到Devices > Platform Settings。编辑当前策略或创建新策略（如果您没有分配给需要访问的FTD）。在External Authentication下启用RADIUS服务器，然后单击Save。

enable ftd object

第2步：确保您需要获得访问权限的FTD列在Policy Assignments as a Selected Device下。

plat

步骤3.部署更改。

deploy

注意：如果以前使用configure user add命令将某个现有的外部用户名配置为内部用户，则威胁防御会首先针对内部用户检查密码，如果检查失败，则检查RADIUS服务器。请注意，由于部署将失败，您以后无法添加与外部用户同名的内部用户；仅支持预先存在的内部用户。

验证

测试您的新部署是否正常工作。
在FMC GUI中，导航至RADIUS服务器设置并向下滚动至其他测试参数部分。
输入ISE用户的用户名和密码，然后点击测试。

ISEex1

成功的测试在浏览器窗口的顶部显示绿色的Success Test Complete消息。