簡介
本文檔介紹如何為使用ISE的安全防火牆機箱管理器配置Radius授權/身份驗證訪問的過程。
必要條件
需求
思科建議瞭解以下主題:
- 安全防火牆機箱管理員(FCM)
- 思科身分識別服務引擎(ISE)
- RADIUS 驗證
採用元件
- Cisco Firepower 4110安全裝置FXOS v2.12
- 思科身分識別服務引擎(ISE)v3.2補丁4
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
設定
組態
安全防火牆機箱管理員
步驟 1.登入到Firepower機箱管理器GUI。
步驟 2.導航到平台設定
步驟 3.從左側選單中按一下AAA。 選擇Radius並新增新的RADIUS提供程式。
步驟 4.使用所請求的Radius提供程式資訊填充提示選單。按一下「OK」(確定)。
步驟 5.導覽至System > User Management
步驟 6.按一下「Settings(設定)」頁籤,將下拉選單中的「Default Authentication(預設身份驗證)」設定為「Radius(半徑)」 ,然後向下滾動並儲存配置。
身分識別服務引擎
步驟 1. 新增新網路裝置。
導航到位於左上角≡Administration > Network Resources > Network Devices > +Add中的漢堡圖示。
步驟 2. 填寫有關新網路裝置資訊的請求引數。
2.1選中RADIUS覈取方塊
2.2配置與FCM Radius配置相同的共用金鑰。
2.1向下滾動並按一下「提交」。
步驟 3.驗證「Network Devices(網路裝置)」下顯示的新裝置。
步驟 4. 建立所需的使用者身份組。導航到位於左上角≡Administration > Identity Management > Groups > User Identity Groups > + Add中的漢堡圖示
步驟 5.設定管理員使用者身份組的名稱,然後按一下提交以儲存配置。
5.1對只讀使用者重複相同的過程。
步驟 6.驗證在使用者身份組下顯示的新使用者組。
步驟 7. 建立本地使用者並將他們新增到其往來行組。 導航到漢堡圖示≡ > Administration > Identity Management > Identities > + Add。
7.1新增具有管理員許可權的使用者。設定名稱、密碼並將其分配給FPR-4110-Admin,向下滾動並點選Submit以儲存更改。
7.2新增具有只讀許可權的使用者。設定名稱、密碼並將其分配給FPR-4110-ReadOnly,向下滾動,然後按一下Submit以儲存更改。
7.3驗證使用者是否處於Network Access Users(網路訪問使用者)。
步驟 8.為管理員使用者建立授權配置檔案。
FXOS機箱包括以下使用者角色:
- Administrator — 對整個系統的完全讀寫訪問許可權。預設情況下為預設管理員帳戶分配此角色,並且無法更改。
- 只讀 — 對系統配置的只讀訪問許可權,無修改系統狀態的許可權。
- 操作 — 對NTP配置、智慧許可的Smart Call Home配置以及系統日誌(包括系統日誌伺服器和故障)的讀寫訪問許可權。對系統其餘部分的讀取訪問許可權。
- AAA — 對使用者、角色和AAA配置的讀寫訪問。對系統其餘部分的讀取訪問許可權
每個角色的屬性:
cisco-av-pair=shell:roles="admin"
cisco-av-pair=shell:roles="aaa"
cisco-av-pair=shell:roles="operations"
cisco-av-pair=shell:roles="只讀"
導航到漢堡圖示≡ > Policy > Policy Elements > Results > Authorization > Authorization Profiles > +Add。
定義授權配置檔案的名稱,將訪問型別保留為ACCESS_ACCEPT,然後在Advanced Attributes Settings下新增cisco-av-pair=shell:roles="admin",然後按一下Submit。
8.1 重複上一步為只讀使用者建立授權配置檔案。建立值為只讀的Radius類這次改為管理員。
步驟9.創建與FMC IP地址匹配的策略集。這是為了防止其他裝置向使用者授予訪問許可權。
導航到≡ > Policy > Policy Sets >在左上角新增圖示符號。
9.1新行位於策略集的頂部。按一下Add圖示配置新條件。
9.2為與FCM IP地址匹配的RADIUS NAS-IP-Addressattribute新增一個頂部條件,然後按一下 使用.
9.3完成後,按一下Save。
提示:在本練習中,我們允許使用預設網路訪問協定清單。您可以建立一個新清單並根據需要縮小該清單的範圍。
步驟 10. 通過按>檢視新策略集。圖示置於行的末尾。
10.1 展開Authorization Policy選單,然後單擊(+)新增新條件。
10.2設定條件以匹配DictionaryIdentity Groupwith AttributeName Equals User Identity Groups: FPR-4110-Admins(在步驟7中建立的組名稱),然後按一下Use。
第10.3步驗證在Authorization policy中配置的新條件,然後在下面新增使用者配置檔案 設定檔.
步驟 11. 對只讀使用者重複步驟9中的相同過程,然後單擊Save。
驗證
1.嘗試使用新的Radius憑證登入到FCM GUI
2.導航至burger icon ≡ > Operations > Radius > Live logs。
3.顯示的資訊顯示使用者是否成功登入。
4.從Secure Firewall Chassis CLI驗證Logged users角色。
疑難排解
1.在ISE GUI上,導航到漢堡圖示≡> Operations > Radius > Live logs。
1.1驗證日誌會話請求是否到達ISE節點。
1.2對於失敗狀態,請檢視會話的詳細資訊。
2.對於未顯示在Radius Live日誌中的請求,請檢視UDP請求是否通過資料包捕獲到達ISE節點。
導航到burger icon ≡ > Operations > Troubleshooting > Diagnostic Tools > TCP dump。新增新捕獲並將檔案下載到本地電腦,以檢視UDP資料包是否到達ISE節點。
2.1填寫請求的資訊,向下滾動並按一下 儲存。
2.2選擇並啟動捕獲。
2.3嘗試在ISE捕獲運行時登入到安全防火牆機箱
2.4停止ISE中的TCP轉儲並將檔案下載到本地電腦。
2.5檢查流量輸出。
預期輸出:
資料包No1。通過埠1812(RADIUS)從安全防火牆向ISE伺服器發出請求
資料包No2。ISE伺服器答覆接受初始請求。