简介
本文描述要求的配置步骤集成思科FireSIGHT管理中心(FMC)或Firepower受管理设备用远程认证拨入用户服务(RADIUS)用户认证的思科安全访问控制系统5.x (ACS)。
Cisco 建议您了解以下主题:
- FireSIGHT系统和受管理设备初始配置通过GUI和shell
- 配置在ACS 5.x的认证和授权策略
- 基本RADIUS知识
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 思科安全访问控制系统5.7 (ACS 5.7)
- 思科FireSight管理器中心5.4.1
在版本上当前是最新的版本联机。所有ACS 5.x版本和FMC 5.x版本支持功能。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
ACS 5.x配置
配置网络设备和网络设备组
- 从ACS GUI,请导航给网络设备组,点击设备类型并且创建设备组。在跟随的示例屏幕画面,设备类型FireSight配置。 此设备类型将被参考在一个最新步骤的授权策略规则定义。 Click Save.

- 从ACS GUI,请导航给网络设备组,点击NetwokDevices和AAA客户端并且添加设备。 提供一个描述性名称和设备IP地址。 FireSIGHT管理中心在下面示例定义。

- 在网络设备组中,请配置设备类型同在上面步骤创建的设备组一样。
- 在认证选项旁边检查方框,挑选RADIUS复选框并且输入将使用此纳季的共享密钥。 当配置在FireSIGHT管理中心时的RADIUS服务器请注释同一共享密钥再使用的以后。 要查看纯文本关键值,请点击显示按钮。 单击 submit。
- 重复将要求GUI和shell访问的RADIUS用户认证/授权的所有FireSIGHT管理中心和受管理设备的上述步骤。
添加在ACS的Idenity组
- 导航给用户,并且标识存储,配置标识组。 在本例中,创建的标识组是“FireSight管理员”。 此组与在下面步骤定义的授权配置文件将连接。

添加本地用户到ACS
- 导航给用户,并且标识存储,配置内部标识存储部分的用户。输入本地用户创建的requried信息,选择上面步骤创建的标识组并且单击提交。

配置ACS策略
- 在ACS GUI中,请导航对策略元素>授权和权限>网络访问>授权配置文件。 创建与描述性名称的一新的授权配置文件。在下面的示例中的,创建的策略是FireSight管理员。

- 在RADIUS属性请选中,添加授权的创建的标识组手工的属性以上并且单击提交

- 导航对访问策略>Access Services>默认网络网络访问>授权并且配置FireSight管理中心管理会话的一项新的授权策略。 下面的示例使用NDG :设备类型&标识匹配设备类型和标识组的组情况配置在上述步骤。
- 结果上此策略然后关联与在配置的FireSight管理员授权配置文件。 单击 submit。

FireSight管理中心配置
FireSight管理器系统策略配置
- 登陆对FireSIGHT MC并且导航对系统>本地>用户管理。 点击外部验证选项卡。 点击+创建验证对象按钮添加用户认证/授权的一个新的RADIUS服务器。
- 选择认证方法的RADIUS。 进入RADIUS服务器的一描述性名称。 输入主机名/IP地址和RADIUS密钥。 密钥应该匹配在ACS以前配置的密钥。 随意地,如果一个存在,请输入一个备份ACS服务器主机主机名/IP地址。

- 在RADIUS特定的参数部分下,在本例中, Class=Groups :FireSight管理员值被映射给FireSight管理员组。 这是作为ACCESS-ACCEPT一部分, ACS返回的值。点击“Save”保存配置或继续到下面Verify部分测试与ACS的验证。

- 在Shell访问过滤器下,请进入用户逗号被分离的列表限制shell/SSH会话。

Enable (event)外部验证
最后,请完成这些步骤为了启用在FMC的外部验证:
- 导航到系统>本地>System策略。
- 选择在左面板的外部验证。
- 更改状态对已启用默认情况下(禁用)。
- 启用已添加ACS RADIUS服务器。
- 保存策略并且重新应用在设备的策略。
验证
- 对ACS的测试用户验证,请移下来对另外的测试参数部分并且输入ACS用户的一个用户名和密码。 单击测试。 成功的测试将导致一绿色成功: 测验全部的消息在浏览器窗口顶部。


- 要查看测验验证的结果,去测验输出部分和单击黑色箭头在旁边请显示详细信息。 在下面示例的屏幕画面,请注释“radiusauth -答复:|Class=Groups :FireSight管理员|”从ACS接收的值。 这应该匹配等级值关联与在上面FireSIGHT MC配置的本地FireSight组。 Click Save.
