为安全防火墙机箱管理器(FCM)配置ISE Radius身份验证

简介

本文档介绍如何为带有ISE的安全防火墙机箱管理器配置RADIUS授权/身份验证访问的过程。

先决条件

要求

思科建议了解以下主题：

• 安全防火墙机箱管理器(FCM)
• 思科身份服务引擎(ISE)
• RADIUS 身份验证

使用的组件

• 思科Firepower 4110安全设备FXOS v2.12
• 思科身份服务引擎(ISE)v3.2补丁4 
  
  本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。
  
  

配置

配置

安全防火墙机箱管理器

步骤1:登录到Firepower机箱管理器GUI。
第二步：导航至平台设置

第三步：从左侧菜单中单击AAA。 选择Radius并添加新的RADIUS提供程序。

第四步：使用Radius提供程序的请求信息填充提示菜单。Click OK.

第五步：导航到系统>用户管理 

第六步：点击Settings选项卡并将下拉菜单中的Default Authentication设置为Radius，然后向下滚动并保存配置。

身份服务引擎

步骤1: 添加新网络设备。

导航至位于左上角≡管理>网络资源>网络设备> +添加的汉堡图标。

第二步： 填写有关新网络设备信息请求的参数。

    2.1选中RADIUS复选框 
    2.2配置与FCM Radius配置相同的共享密钥。

    2.1向下滚动并点击Submit。

    

第三步：验证“Network Devices（网络设备）”下显示的新设备。

第四步： 创建所需的用户身份组。导航到位于左上角≡管理>身份管理>组>用户身份组> +添加的汉堡图标

第五步：设置管理员用户身份组的名称，然后点击Submit保存配置。

5.1对只读用户重复相同的过程。

第六步：验证用户身份组下显示的新用户组。

步骤 7. 创建本地用户并将他们添加到其往来行组。 导航到汉堡图标≡ > Administration > Identity Management > Identities > + Add。 

7.1添加具有管理员权限的用户。设置名称、密码并将其分配给FPR-4110-Admin，向下滚动并点击Submit以保存更改。

 7.2添加具有只读权限的用户。设置名称和密码并将其分配给FPR-4110-ReadOnly，向下滚动并单击Submit以保存更改。

  7.3验证用户是否处于网络访问用户之下。

步骤 8为管理员用户创建授权配置文件。 

FXOS机箱包括以下用户角色：

• Administrator — 对整个系统的完全读写访问权限。默认情况下为默认管理员帐户分配此角色，且无法更改。
• 只读 — 对系统配置的只读访问权限，没有修改系统状态的权限。
• 操作 — 对NTP配置、智能许可的Smart Call Home配置和系统日志（包括系统日志服务器和故障）的读写访问。对系统其余部分的读取权限。
• AAA — 对用户、角色和AAA配置的读写访问。对系统其余部分的读取权限

每个角色的属性：

cisco-av-pair=shell:roles="admin"

cisco-av-pair=shell:roles="aaa"

cisco-av-pair=shell:roles="operations"

cisco-av-pair=shell:roles="read-only"

导航到汉堡图标≡ >策略>Policy元素>结果>授权>授权配置文件> +添加。

定义授权配置文件的名称，将Access Type保留为ACCESS_ACCEPT，然后在Advanced Attributes Settings下添加cisco-av-pair=shell:roles="admin"，然后单击Submit。

8.1重复上一步为只读用户创建授权配置文件。使用只读值创建Radius类这次改为管理员。

   

第9步：创建与FMC IP地址匹配的策略集。这是为了防止其他设备向用户授予访问权限。 

导航到≡ > Policy > Policy Sets >在左上角添加图标符号。

9.1新行位于策略集的顶部。单击Add图标配置新条件。

9.2为RADIUS NAS-IP-Addressattribute添加与FCM IP地址匹配的顶部条件，然后单击 使用.

      

9.3完成后，单击Save。

步骤 10 按>查看新策略集。位于行尾的图标。

10.1展开Authorization Policy菜单，然后点击(+)添加新条件。

10.2设置条件以匹配DictionaryIdentity Groupwith AttributeName Equals User Identity Groups: FPR-4110-Admins（在步骤7中创建的组名称），然后单击Use。

    

第10.3步验证在授权策略中配置的新条件，然后在下面添加用户配置文件 配置文件。



步骤 11 对只读用户重复步骤9中的相同过程，然后点击保存。

验证

1.尝试使用新的Radius凭证登录FCM GUI

2.导航至汉堡图标≡ > Operations > Radius > Live logs。

3.显示的信息显示用户是否成功登录。

4.从安全防火墙机箱CLI验证已记录用户角色。

故障排除

1.在ISE GUI上，导航至汉堡图标≡ > Operations > Radius > Live logs。

    1.1验证日志会话请求是否到达ISE节点。
    1.2对于失败状态，请查看会话的详细信息。

2.对于未显示在Radius Live日志中的请求，请查看UDP请求是否通过数据包捕获到达ISE节点。

 导航到汉堡图标≡ > Operations > Troubleshoot > Diagnostic Tools > TCP dump。添加新的捕获并将文件下载到本地计算机，以查看UDP数据包是否到达ISE节点。   

2.1填写所需信息，向下滚动并点击 保存。

 2.2选择并启动捕获。

 2.3尝试在ISE捕获运行时登录到安全防火墙机箱

 2.4停止ISE中的TCP转储并将文件下载到本地计算机。

 2.5查看流量输出。

预期输出：

数据包No1。通过端口1812(RADIUS)从安全防火墙向ISE服务器发出请求
数据包No2。ISE服务器回复接受初始请求。