在多域环境中配置FMC外部身份验证

简介

本文档介绍在思科FMC中实施多租户（多域），同时利用思科ISE进行集中式RADIUS身份验证。

先决条件

要求

建议了解以下主题：

• 通过GUI和/或外壳对Cisco安全防火墙管理中心进行初始配置。
• 在FMC的全局域中拥有创建子域和外部身份验证对象的完全管理员权限。
• 在ISE上配置身份验证和授权策略。
• 基本RADIUS知识

使用的组件

• 思科安全FMC:vFMC 7.4.2（为实现多域稳定性而推荐或更高版本）
• 域结构：三级层次结构（全局>二级子域）。
• 思科身份服务引擎：ISE 3.3

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

在大规模企业环境或托管安全服务提供商(MSSP)方案中，通常必须将网络管理划分到不同的管理边界中。本文档介绍如何将FMC配置为支持多个域，尤其是对于MSSP管理两个客户端的真实示例：零售A和财务B。通过使用外部RADIUS身份验证通过Cisco ISE，管理员可以确保根据用户的集中凭证，自动授予用户仅对其各自用户域的访问权限。

思科安全防火墙系统使用域实施多租户。

• 域层次结构：层次结构从全局域开始。您可以在两层或三层结构中创建多达100个子域。
• 枝叶域：这些是位于层次结构底部的域，没有其他子域。关键是，每个托管FTD设备必须仅与一个枝叶域关联。
• RADIUS类属性（属性25）：在多域设置中，FMC使用ISE返回的RADIUS类属性将经过身份验证的用户映射到特定域和用户角色。这允许单个RADIUS服务器在登录时将用户动态分配到不同的用户段（例如，Retail-A与Finance-B）。

配置

ISE 配置

添加网络设备

步骤1.导航到管理> Network Resources > Network Devices > Add。

步骤2.为网络设备对象分配Name并插入FMC IP地址。

选中RADIUS复选框并定义共享密钥。稍后必须使用该密钥来配置FMC。完成后，单击Save。

创建本地用户身份组和用户

步骤3.创建所需的用户身份组。导航到Administration > Identity Management > Groups > User Identity Groups > Add。

步骤4.为每个组指定一个名称并单独保存。在本例中，您正在为管理员用户创建组。创建两个组：Group_Retail_A和Group_Finance_B。

步骤5.创建本地用户并将其添加到其往来行组。导航到Administration> Identity Management > Identities > Add。

步骤5.1.首先创建具有管理员权限的用户。为其分配名称admin_retail、密码和组Group_Retail_A。

步骤5.2.首先创建具有管理员权限的用户。为其分配名称admin_finance、password和组Group_Finance_B。

创建授权配置文件

步骤6.为FMC Web界面管理员用户创建授权配置文件。导航到Policy> Policy Elements > Results > Authorization > Authorization Profiles > Add。

定义授权配置文件的名称，将访问类型保留为ACCESS_ACCEPT。

在Advanced Attributes Settings下，添加带有值的Radius > Class— [25]，然后点击Submit。

第6.1步：配置文件零售：在Advanced Attributes Settings下，添加值为RETAIL_ADMIN_STR的Radius:Class。 

提示：此处RETAIL_ADMIN_STR可以是任何内容；确保在FMC一侧也具有相同的价值需求。

第6.2步：配置文件财务：在Advanced Attributes Settings下，添加值为FINANCE_ADMIN_STR的Radius:Class。

提示：这里FINANCE_ADMIN_STR可以是任何字符；确保在FMC一侧也放置相同的值。

添加新策略集

步骤7.创建与FMC IP地址匹配的策略集。这是为了防止其他设备向用户授予访问权限。导航到位于左上角的Policy > Policy Sets > Plus sign图标。

步骤8.1.新行位于策略集的顶部。

命名新策略，并为与FMC IP地址匹配的RADIUS NAS-IP-Address属性添加顶部条件。单击Use以保留更改并退出编辑器。

步骤8.2.完成后，单击Save。

步骤9.点击行尾的set图标查看新的策略集。

展开Authorization Policy菜单并推送Plus符号图标以添加新的规则，以允许访问具有管理员权限的用户。给它一个名字。

设置条件以匹配Dictionary Identity Group with Attribute Name Equals并选择User Identity Groups。在Authorization Policy下，创建规则：

• 规则 1：如果用户身份组等于Group_Retail_A，请分配配置文件零售。
• 规则 2：如果用户身份组等于Group_Finance_B，请分配配置文件财务。

步骤10.分别为每个规则设置Authorization Profiles，然后点击Save。

FMC配置

添加用于FMC身份验证的ISE RADIUS服务器

步骤1:  建立域结构：

• 登录FMC全局域。
• 导航到管理> 域。
• 单击Add Domain将Retail-A和Finance-B创建为Global的子域。

第 2.1 步：  将域下的外部身份验证对象配置为Retail-A

• 将域切换到Retail-A。
• 导航到System > Users > External Authentication。
• 选择Add External Authentication Object，然后选择RADIUS。
• 输入先前配置的ISE IP地址和共享密钥。
• 输入RADIUS特定参数>管理员> class=RETAIL_ADMIN_STR

提示：对class使用与ISE的授权配置文件下配置的相同值。

第 2.2 步：  将域下的外部身份验证对象配置为Finance-B

• 将域切换到Finance-B。
• 导航到System > Users > External Authentication。
• 选择Add External Authentication Object，然后选择RADIUS。
• 输入先前配置的ISE IP地址和共享密码。
• 输入RADIUS-Specific Parameters > Administrator > class=FINANCE_ADMIN_STR

提示：对class使用与ISE的授权配置文件下配置的相同值。

第 3 步：  激活身份验证：启用该对象，并将其设置为Shell Authentication方法。单击Save和Apply。

确认

跨域登录测试

• 尝试使用admin_retail登录到FMC Web界面。验证UI右上角显示的当前域是Retail-A。

提示：登录到特定域时，请使用用户名格式domain_name\radius_user_mapped_with_that_domain。

例如，如果Retail admin用户需要登录，则用户名必须为Retail-A\admin_retail和相应的密码。

• 注销并以admin_finance身份登录。验证用户是否被限制到Finance-B域且无法看到Retail-A设备。

FMC内部测试

导航到FMC中的RADIUS服务器设置。使用其他测试参数部分输入测试用户名和密码。成功的测试必须显示绿色的“成功”消息。

ISE 实时日志

• 在Cisco ISE中，导航到Operations > RADIUS > Live Logs。

• 确认身份验证请求显示Pass状态，并且在RADIUS Access-Accept数据包中发送了正确的授权配置文件（和关联的类字符串）。

相关信息

配置 FMC 和 FTD 使用 ISE 作为 RADIUS 服务器进行外部身份验证