简介
本文档介绍如何为带有ISE的安全防火墙机箱管理器配置RADIUS授权/身份验证访问的过程。
先决条件
要求
思科建议了解以下主题:
- 安全防火墙机箱管理器(FCM)
- 思科身份服务引擎(ISE)
- RADIUS 身份验证
使用的组件
- 思科Firepower 4110安全设备FXOS v2.12
- 思科身份服务引擎(ISE)v3.2补丁4
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
配置
安全防火墙机箱管理器
步骤1:登录到Firepower机箱管理器GUI。
第二步:导航至平台设置
第三步:从左侧菜单中单击AAA。 选择Radius并添加新的RADIUS提供程序。
第四步:使用Radius提供程序的请求信息填充提示菜单。Click OK.
第五步:导航到系统>用户管理
第六步:点击Settings选项卡并将下拉菜单中的Default Authentication设置为Radius,然后向下滚动并保存配置。
身份服务引擎
步骤1: 添加新网络设备。
导航至位于左上角≡管理>网络资源>网络设备> +添加的汉堡图标。
第二步: 填写有关新网络设备信息请求的参数。
2.1选中RADIUS复选框
2.2配置与FCM Radius配置相同的共享密钥。
2.1向下滚动并点击Submit。
第三步:验证“Network Devices(网络设备)”下显示的新设备。
第四步: 创建所需的用户身份组。导航到位于左上角≡管理>身份管理>组>用户身份组> +添加的汉堡图标
第五步:设置管理员用户身份组的名称,然后点击Submit保存配置。
5.1对只读用户重复相同的过程。
第六步:验证用户身份组下显示的新用户组。
步骤 7. 创建本地用户并将他们添加到其往来行组。 导航到汉堡图标≡ > Administration > Identity Management > Identities > + Add。
7.1添加具有管理员权限的用户。设置名称、密码并将其分配给FPR-4110-Admin,向下滚动并点击Submit以保存更改。
7.2添加具有只读权限的用户。设置名称和密码并将其分配给FPR-4110-ReadOnly,向下滚动并单击Submit以保存更改。
7.3验证用户是否处于网络访问用户之下。
步骤 8为管理员用户创建授权配置文件。
FXOS机箱包括以下用户角色:
- Administrator — 对整个系统的完全读写访问权限。默认情况下为默认管理员帐户分配此角色,且无法更改。
- 只读 — 对系统配置的只读访问权限,没有修改系统状态的权限。
- 操作 — 对NTP配置、智能许可的Smart Call Home配置和系统日志(包括系统日志服务器和故障)的读写访问。对系统其余部分的读取权限。
- AAA — 对用户、角色和AAA配置的读写访问。对系统其余部分的读取权限
每个角色的属性:
cisco-av-pair=shell:roles="admin"
cisco-av-pair=shell:roles="aaa"
cisco-av-pair=shell:roles="operations"
cisco-av-pair=shell:roles="read-only"
导航到汉堡图标≡ >策略>Policy元素>结果>授权>授权配置文件> +添加。
定义授权配置文件的名称,将Access Type保留为ACCESS_ACCEPT,然后在Advanced Attributes Settings下添加cisco-av-pair=shell:roles="admin",然后单击Submit。
8.1重复上一步为只读用户创建授权配置文件。使用只读值创建Radius类这次改为管理员。
第9步:创建与FMC IP地址匹配的策略集。这是为了防止其他设备向用户授予访问权限。
导航到≡ > Policy > Policy Sets >在左上角添加图标符号。
9.1新行位于策略集的顶部。单击Add图标配置新条件。
9.2为RADIUS NAS-IP-Addressattribute添加与FCM IP地址匹配的顶部条件,然后单击 使用.
9.3完成后,单击Save。
提示:在本练习中,我们允许使用默认网络访问协议列表。您可以创建新列表并根据需要缩小其范围。
步骤 10 按>查看新策略集。位于行尾的图标。
10.1展开Authorization Policy菜单,然后点击(+)添加新条件。
10.2设置条件以匹配DictionaryIdentity Groupwith AttributeName Equals User Identity Groups: FPR-4110-Admins(在步骤7中创建的组名称),然后单击Use。
第10.3步验证在授权策略中配置的新条件,然后在下面添加用户配置文件 配置文件。
步骤 11 对只读用户重复步骤9中的相同过程,然后点击保存。
验证
1.尝试使用新的Radius凭证登录FCM GUI
2.导航至汉堡图标≡ > Operations > Radius > Live logs。
3.显示的信息显示用户是否成功登录。
4.从安全防火墙机箱CLI验证已记录用户角色。
故障排除
1.在ISE GUI上,导航至汉堡图标≡ > Operations > Radius > Live logs。
1.1验证日志会话请求是否到达ISE节点。
1.2对于失败状态,请查看会话的详细信息。
2.对于未显示在Radius Live日志中的请求,请查看UDP请求是否通过数据包捕获到达ISE节点。
导航到汉堡图标≡ > Operations > Troubleshoot > Diagnostic Tools > TCP dump。添加新的捕获并将文件下载到本地计算机,以查看UDP数据包是否到达ISE节点。
2.1填写所需信息,向下滚动并点击 保存。
2.2选择并启动捕获。
2.3尝试在ISE捕获运行时登录到安全防火墙机箱
2.4停止ISE中的TCP转储并将文件下载到本地计算机。
2.5查看流量输出。
预期输出:
数据包No1。通过端口1812(RADIUS)从安全防火墙向ISE服务器发出请求
数据包No2。ISE服务器回复接受初始请求。