簡介
本文檔介紹安全防火牆管理中心和防火牆威脅防禦的外部身份驗證配置示例。
必要條件
需求
建議瞭解以下主題:
- Cisco Secure Firewall Management Center通過GUI和/或外殼進行初始配置。
- 在ISE上配置身份驗證和授權策略。
- 基本RADIUS知識。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- vFMC 7.2.5
- vFTD 7.2.5。
- ISE 3.2。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
當您為Secure Firewall系統的管理和管理使用者啟用外部身份驗證時,裝置將使用外部身份驗證對象中指定的輕型目錄訪問協定(LDAP)或RADIUS伺服器驗證使用者憑據。
外部身份驗證對象可以由FMC和FTD裝置使用。您可以在不同的裝置/裝置型別之間共用相同的對象,或建立單獨的對象。
FMC的外部驗證
您可以為Web介面訪問配置多個外部身份驗證對象。只有一個外部身份驗證對象可用於CLI或外殼訪問。
FTD的外部驗證
針對FTD,您只能啟用一個外部驗證對象。
網路拓撲
設定
ISE 組態
注意:有多種方法可為網路接入裝置(NAD)(如FMC)設定ISE身份驗證和授權策略。本文檔中描述的示例是一個參考點,我們在其中建立了兩個配置檔案(一個具有管理員許可權,另一個為只讀),可以對其進行修改以符合訪問網路的基線。可在ISE上定義一個或多個授權策略,將RADIUS屬性值返回到FMC,然後對映到FMC系統策略配置中定義的本地使用者組。
步驟 1.新增新網路裝置。導航到漢堡圖示 位於左上角>Administration > Network Resources > Network Devices > +Add。
步驟 2.為網路裝置對象分配Name並插入FMC IP地址。
勾選RADIUS 複選框,並定義共用密碼。
稍後必須用相同的金鑰來配置FMC。
完成後,按一下「Save」。
步驟 2.1.重複相同操作以新增FTD。
為網路裝置對象分配Name並插入FTD IP地址。
勾選RADIUS 複選框,並定義共用密碼。
完成後,按一下「Save」。
步驟 2.3.驗證Network Devices(網路裝置)下顯示的兩個裝置。
步驟 3. 建立所需的使用者身份組。導航到漢堡圖示 位於左上角> Administration > Identity Management > Groups > User Identity Groups > +新增
步驟 4.為每個組指定一個名稱並單獨儲存。在本示例中,我們為管理員使用者建立一個組,為只讀使用者建立一個組。首先,為具有管理員許可權的使用者建立組。
步驟 4.1.為只讀使用者建立第二個組。
步驟 4.2.驗證兩個組都顯示在User Identity Groups List下。使用過濾器可以輕鬆找到它們。
步驟 5. 建立本地使用者並將他們新增到其往來行組。導航至 > 管理>身份管理>身份> +新增。
步驟 5.1.首先建立具有管理員許可權的使用者。為其分配名稱、密碼以及組FMC和FTD管理員。
步驟 5.2.新增具有只讀許可權的使用者。分配名稱、密碼和組FMC和FTD ReadOnly。
步驟 6.為管理員使用者建立授權配置檔案。
導航至 >Policy > Policy Elements > Results > Authorization > Authorization Profiles > +Add。
定義授權配置檔案的名稱,將「訪問型別」保留為ACCESS_ACCEPT,然後在「高級屬性設定」下新增值為Administrator的Radius > Class—[25],然後按一下Submit。
步驟 7.重複上一步為只讀使用者建立授權配置檔案。這次使用ReadUser而不是Administrator值建立Radius類。
步驟 8.建立與FMC IP地址匹配的策略集。這是為了防止其他裝置向使用者授予訪問許可權。
導航至 >策略>策略集> 圖示位於左上角。
步驟 8.1.新行位於策略集的頂部。
命名新策略,並為與FMC IP地址匹配的RADIUS NAS-IP-Address屬性新增頂端條件。
新增帶有OR的第二個條件以包括FTD的IP地址。
按一下Use以保留更改並退出編輯器。
步驟 8.2.完成後,按一下Save。
提示:在本練習中,我們允許使用Default Network Access Protocols清單。您可以建立一個新清單並根據需要縮小該清單的範圍。
步驟 9.通過按以下命令檢視新策略集: 圖示置於行的末尾。
展開Authorization Policy選單並推送 圖示新增新的規則,以允許訪問具有管理員許可權的使用者。
給它起個名字。
設定條件以匹配Dictionary Identity Group(具有Attribute Name Equals User Identity Groups: FMC和FTD admins)的Dictionary Identity Group(在步驟4中建立的組名稱),然後按一下Use。
步驟 10.按一下 icon,新增第二個規則,以允許訪問具有只讀許可權的使用者。
給它起個名字。
設定條件以匹配Dictionary Identity Group(具有Attribute Name Equals User Identity Groups: FMC和FTD ReadOnly(在步驟4中建立的組名稱),然後按一下Use。
步驟 11.為每個規則分別設定授權配置檔案,然後點選儲存。
FMC配置
步驟 1.在System > Users > External Authentication > + Add External Authentication Object下建立外部身份驗證對象。
步驟 2.選擇RADIUS作為驗證方法。
在External Authentication Object下,為新對象指定Name。
接下來,在Primary Server設定中,插入ISE IP地址和在ISE配置的第2步中使用的同一RADIUS金鑰。
步驟 3.插入在ISE配置的步驟6和7中配置的RADIUS類屬性值:分別為firewall_admin和firewall_readuser的Administrator和ReadUser。
註:FTD和FMC的超時範圍不同,因此,如果您共用一個對象並更改預設值30秒,請確保不要超過FTD裝置的較小超時範圍(1-300秒)。如果將超時值設定為更高的值,威脅防禦RADIUS配置將不起作用。
步驟 4.使用允許獲得CLI訪問許可權的使用者名稱填充CLI Access Filter下的Administrator CLI Access User List。
完成後按一下Save。
步驟 5.啟用新對象。將其設定為FMC的Shell Authentication方法,然後按一下Save and Apply。
FTD組態
步驟 1.在FMC GUI中,導覽至Devices > Platform Settings。編輯當前策略,或建立新策略(如果您沒有分配給需要訪問的FTD)。在External Authentication下啟用RADIUS伺服器,然後按一下Save。
步驟 2.確保您需要獲得訪問許可權的FTD列在「Policy Assignments as a Selected Device(作為選定裝置的策略分配)」下。
步驟 3.部署更改。
驗證
- 測試您的新部署是否正常工作。
- 在FMC GUI中,導覽至RADIUS伺服器設定,然後向下滾動至Additional Test Parameters一節。
- 輸入ISE使用者的使用者名稱和密碼,然後點選測試。
- 成功的測試在瀏覽器視窗的頂部顯示綠色的Success Test Complete消息。
- 如需詳細資訊,可以展開測試輸出底下的Details。