简介
本文档介绍安全防火墙管理中心和防火墙威胁防御的外部身份验证配置示例。
先决条件
要求
建议了解以下主题:
- 通过GUI和/或外壳对Cisco安全防火墙管理中心进行初始配置。
- 在ISE上配置身份验证和授权策略。
- 基本RADIUS知识。
使用的组件
本文档中的信息基于以下软件和硬件版本:
- vFMC 7.2.5
- vFTD 7.2.5。
- ISE 3.2。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
当您为安全防火墙系统的管理和管理用户启用外部身份验证时,设备会使用外部身份验证对象中指定的轻型目录访问协议(LDAP)或RADIUS服务器验证用户凭证。
外部身份验证对象可由FMC和FTD设备使用。您可以在不同设备/设备类型之间共享同一对象,或创建单独的对象。
FMC的外部身份验证
您可以配置多个外部身份验证对象以访问Web界面。只有一个外部身份验证对象可用于CLI或外壳访问。
FTD的外部身份验证
对于FTD,只能激活一个外部身份验证对象。
网络拓扑
配置
ISE 配置
注意:有多种方式为网络接入设备(NAD)(例如FMC)设置ISE身份验证和授权策略。本文档中介绍的示例是一个参考点,在该参考点中,我们创建了两个配置文件(一个具有管理员权限,另一个为只读),并可根据基线进行调整以访问您的网络。可以在ISE上定义一个或多个授权策略,将RADIUS属性值返回到FMC,然后映射到FMC系统策略配置中定义的本地用户组。
步骤1:添加新网络设备。导航至汉堡图标 位于左上角>Administration > Network Resources > Network Devices > +Add。
第二步:为网络设备对象分配Name并插入FMC IP地址。
选中RADIUS复选框并定义共享密钥。
稍后必须使用该密钥来配置FMC。
完成后,单击Save。
步骤 2.1重复相同操作以添加FTD。
为网络设备对象分配Name并插入FTD IP地址。
选中RADIUS复选框并定义一个共享密钥。
完成后,单击Save。
步骤 2.3验证Network Devices(网络设备)下显示的两个设备。
第三步: 创建所需的用户身份组。导航至汉堡图标 位于左上角> Administration > Identity Management > Groups > User Identity Groups > +添加
第四步:为每个组指定一个名称并单独保存。在本示例中,我们为管理员用户创建一个组,为只读用户创建另一个组。首先,为具有管理员权限的用户创建组。
步骤 4.1为只读用户创建第二个组。
步骤 4.2验证两个组显示在User Identity Groups List下。使用过滤器可以轻松找到它们。
第五步: 创建本地用户并将他们添加到其往来行组。导航至 > Administration > Identity Management > Identities > + Add。
步骤 5.1首先创建具有管理员权限的用户。为其分配名称、密码以及FMC和FTD管理员组。
步骤 5.2添加具有只读权限的用户。分配名称、密码和组FMC和FTD ReadOnly。
第六步:为管理员用户创建授权配置文件。
导航至 >Policy > Policy Elements > Results > Authorization > Authorization Profiles > +Add。
定义授权配置文件的名称,将Access Type保留为ACCESS_ACCEPT,并在Advanced Attributes Settings下添加值为Administrator的Radius > Class—[25],然后单击Submit。
步骤 7.重复上一步为只读用户创建授权配置文件。这次使用值ReadUser代替Administrator创建Radius类。
步骤 8创建与FMC IP地址匹配的策略集。这是为了防止其他设备向用户授予访问权限。
导航至 >策略>策略集> 图标位于左上角。
步骤 8.1新行位于策略集的顶部。
为新策略命名,并为与FMC IP地址匹配的RADIUS NAS-IP-Address属性添加顶部条件。
使用OR添加第二个条件以包括FTD的IP地址。
单击Use以保留更改并退出编辑器。
步骤 8.2完成后,单击Save。
提示:在本练习中,我们允许Default Network Access Protocols列表。您可以创建新列表并根据需要缩小其范围。
步骤 9按Enter键查看新策略集 位于行尾的图标。
展开Authorization Policy菜单并推送 图标添加新的规则,以允许访问具有管理员权限的用户。
给它起个名字。
设置条件以匹配Dictionary Identity Group,其中Attribute Name Equals User Identity Groups: FMC和FTD admins(步骤4中创建的组名),然后单击Use。
步骤 10单击 图标添加第二条规则,以允许访问具有只读权限的用户。
给它起个名字。
设置条件以匹配Dictionary Identity Group,其中Attribute Name Equals User Identity Groups: FMC和FTD ReadOnly(步骤4中创建的组名),然后单击Use。
步骤 11分别为每个规则设置授权配置文件,然后点击保存。
FMC配置
步骤1:在System > Users > External Authentication > + Add External Authentication Object下创建外部身份验证对象。
第二步:选择RADIUS作为身份验证方法。
在External Authentication Object下为新对象指定Name。
接下来,在Primary Server设置中,插入ISE IP地址和您在ISE配置的第2步中使用的RADIUS密钥。
第三步:插入在ISE配置的第6步和第7步中分别为firewall_admin和firewall_readuser配置的RADIUS Class属性值:管理员和ReadUser。
注意:FTD和FMC的超时范围不同,因此,如果您共享对象并更改默认值30秒,请确保不要超出FTD设备的较小超时范围(1-300秒)。如果将超时设置为更高的值,威胁防御RADIUS配置将不起作用。
第四步:使用允许获得CLI访问权限的用户名填充CLI访问过滤器(CLI Access Filter)下的管理员CLI访问用户列表。
完成后单击Save。
第五步:启用新对象。将其设置为FMC的Shell Authentication方法,然后单击Save and Apply。
FTD配置
步骤1:在FMC GUI中,导航到设备>平台设置。编辑当前策略或创建新策略(如果您没有分配给需要访问的FTD)。在External Authentication下启用RADIUS服务器,然后单击Save。
第二步:确保您需要获得访问权限的FTD列在Policy Assignments as a Selected Device下。
第三步:部署更改。
验证
- 测试您的新部署是否正常工作。
- 在FMC GUI中,导航至RADIUS服务器设置并向下滚动至其他测试参数部分。
- 输入ISE用户的用户名和密码,然后点击测试。
- 成功的测试在浏览器窗口的顶部显示绿色的Success Test Complete消息。