為安全防火牆機箱管理器(FCM)配置ISE Radius身份驗證

簡介

本文檔介紹如何為使用ISE的安全防火牆機箱管理器配置Radius授權/身份驗證訪問的過程。

必要條件

需求

思科建議瞭解以下主題：

• 安全防火牆機箱管理員(FCM)
• 思科身分識別服務引擎(ISE)
• RADIUS 驗證

採用元件

• Cisco Firepower 4110安全裝置FXOS v2.12
• 思科身分識別服務引擎(ISE)v3.2補丁4 
  
  本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。
  
  

設定

組態

安全防火牆機箱管理員

步驟 1.登入到Firepower機箱管理器GUI。
步驟 2.導航到平台設定

步驟 3.從左側選單中按一下AAA。 選擇Radius並新增新的RADIUS提供程式。

步驟 4.使用所請求的Radius提供程式資訊填充提示選單。按一下「OK」（確定）。

步驟 5.導覽至System > User Management 

步驟 6.按一下「Settings（設定）」頁籤，將下拉選單中的「Default Authentication（預設身份驗證）」設定為「Radius（半徑）」 ，然後向下滾動並儲存配置。

身分識別服務引擎

步驟 1. 新增新網路裝置。

導航到位於左上角≡Administration > Network Resources > Network Devices > +Add中的漢堡圖示。

步驟 2. 填寫有關新網路裝置資訊的請求引數。

    2.1選中RADIUS覈取方塊 
    2.2配置與FCM Radius配置相同的共用金鑰。

    2.1向下滾動並按一下「提交」。

    

步驟 3.驗證「Network Devices（網路裝置）」下顯示的新裝置。

步驟 4. 建立所需的使用者身份組。導航到位於左上角≡Administration > Identity Management > Groups > User Identity Groups > + Add中的漢堡圖示

步驟 5.設定管理員使用者身份組的名稱，然後按一下提交以儲存配置。

5.1對只讀使用者重複相同的過程。

步驟 6.驗證在使用者身份組下顯示的新使用者組。

步驟 7. 建立本地使用者並將他們新增到其往來行組。 導航到漢堡圖示≡ > Administration > Identity Management > Identities > + Add。 

7.1新增具有管理員許可權的使用者。設定名稱、密碼並將其分配給FPR-4110-Admin，向下滾動並點選Submit以儲存更改。

 7.2新增具有只讀許可權的使用者。設定名稱、密碼並將其分配給FPR-4110-ReadOnly，向下滾動，然後按一下Submit以儲存更改。

  7.3驗證使用者是否處於Network Access Users(網路訪問使用者)。

步驟 8.為管理員使用者建立授權配置檔案。 

FXOS機箱包括以下使用者角色：

• Administrator — 對整個系統的完全讀寫訪問許可權。預設情況下為預設管理員帳戶分配此角色，並且無法更改。
• 只讀 — 對系統配置的只讀訪問許可權，無修改系統狀態的許可權。
• 操作 — 對NTP配置、智慧許可的Smart Call Home配置以及系統日誌（包括系統日誌伺服器和故障）的讀寫訪問許可權。對系統其餘部分的讀取訪問許可權。
• AAA — 對使用者、角色和AAA配置的讀寫訪問。對系統其餘部分的讀取訪問許可權

每個角色的屬性：

cisco-av-pair=shell:roles="admin"

cisco-av-pair=shell:roles="aaa"

cisco-av-pair=shell:roles="operations"

cisco-av-pair=shell:roles="只讀"

導航到漢堡圖示≡ > Policy > Policy Elements > Results > Authorization > Authorization Profiles > +Add。

定義授權配置檔案的名稱，將訪問型別保留為ACCESS_ACCEPT，然後在Advanced Attributes Settings下新增cisco-av-pair=shell:roles="admin"，然後按一下Submit。

8.1 重複上一步為只讀使用者建立授權配置檔案。建立值為只讀的Radius類這次改為管理員。

   

步驟9.創建與FMC IP地址匹配的策略集。這是為了防止其他裝置向使用者授予訪問許可權。 

導航到≡ > Policy > Policy Sets >在左上角新增圖示符號。

9.1新行位於策略集的頂部。按一下Add圖示配置新條件。

9.2為與FCM IP地址匹配的RADIUS NAS-IP-Addressattribute新增一個頂部條件，然後按一下 使用.

      

9.3完成後，按一下Save。

步驟 10. 通過按>檢視新策略集。圖示置於行的末尾。

10.1 展開Authorization Policy選單，然後單擊(+)新增新條件。

10.2設定條件以匹配DictionaryIdentity Groupwith AttributeName Equals User Identity Groups: FPR-4110-Admins（在步驟7中建立的組名稱），然後按一下Use。

    

第10.3步驗證在Authorization policy中配置的新條件，然後在下面新增使用者配置檔案 設定檔.



步驟 11. 對只讀使用者重複步驟9中的相同過程，然後單擊Save。

驗證

1.嘗試使用新的Radius憑證登入到FCM GUI

2.導航至burger icon ≡ > Operations > Radius > Live logs。

3.顯示的資訊顯示使用者是否成功登入。

4.從Secure Firewall Chassis CLI驗證Logged users角色。

疑難排解

1.在ISE GUI上，導航到漢堡圖示≡> Operations > Radius > Live logs。

    1.1驗證日誌會話請求是否到達ISE節點。
    1.2對於失敗狀態，請檢視會話的詳細資訊。

2.對於未顯示在Radius Live日誌中的請求，請檢視UDP請求是否通過資料包捕獲到達ISE節點。

 導航到burger icon ≡ > Operations > Troubleshooting > Diagnostic Tools > TCP dump。新增新捕獲並將檔案下載到本地電腦，以檢視UDP資料包是否到達ISE節點。   

2.1填寫請求的資訊，向下滾動並按一下 儲存。

 2.2選擇並啟動捕獲。

 2.3嘗試在ISE捕獲運行時登入到安全防火牆機箱

 2.4停止ISE中的TCP轉儲並將檔案下載到本地電腦。

 2.5檢查流量輸出。

預期輸出：

資料包No1。通過埠1812(RADIUS)從安全防火牆向ISE伺服器發出請求
資料包No2。ISE伺服器答覆接受初始請求。