簡介
本文檔介紹在安全Web訪問(SWA)上配置外部身份驗證的步驟,將Cisco ISE作為RADIUS伺服器。
必要條件
需求
思科建議您瞭解以下主題:
- 思科安全Web裝置的基本知識。
- 瞭解ISE上的身份驗證和授權策略配置。
- 基本RADIUS知識。
思科建議您同時擁有:
- SWA和ISE管理訪問許可權。
- 相容的WSA和ISE版本。
採用元件
本檔案中的資訊是根據以下軟體版本:
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
當您為SWA的管理使用者啟用外部身份驗證時,裝置將使用在外部身份驗證配置中指定的輕型目錄訪問協定(LDAP)或RADIUS伺服器驗證使用者憑據。
網路拓撲
網路拓撲圖
管理使用者使用其憑據訪問埠443上的SWA。SWA使用RADIUS伺服器驗證憑證。
設定
ISE 組態
步驟 1. 新增新網路裝置。導覽至Administration > Network Resources > Network Devices > +Add。
在ISE中將SWA新增為網路裝置
步驟 2. 為網路裝置對象分配Name並插入SWA IP地址。
勾選RADIUS 複選框,並定義共用密碼。
注意:稍後必須在SWA中配置相同的RADIUS伺服器。
配置SWA網路裝置共用金鑰
步驟 2.1.按一下「Submit」。
提交網路裝置配置
步驟 3. 建立所需的使用者身份組。導航到管理>身份管理>組>使用者身份組> + Add。
注意:您需要配置不同的使用者組以匹配不同型別的使用者。
新增使用者身份組
步驟 4.輸入組名稱、說明(可選)和提交。對每個組重複這些步驟。在本例中,您為管理員使用者建立一個組,為只讀使用者建立一個組。
新增使用者身份組為SWA只讀使用者新增使用者身份組
步驟 5.您需要建立與SWA中配置的使用者名稱匹配的網路訪問使用者。
建立Network Access Users並將其新增到其往來行組。導航到管理>身份管理>身份> +新增。
在ISE中新增本地使用者
步驟 5.1.您需要建立具有管理員許可權的網路訪問使用者。指定名稱和密碼。
新增管理員使用者
步驟 5.2.在User Groups部分中選擇SWA Admin。將管理員組分配給管理員使用者
步驟 5.3.您需要建立具有只讀許可權的使用者。指定名稱和密碼。
新增只讀使用者
步驟 5.4.在User Groups部分中選擇SWA ReadOnly。
將只讀使用者組分配給只讀使用者
步驟 6. 為管理員使用者建立Authorization Profile。
導航到Policy > Policy Elements > Results > Authorization > Authorization Profiles > +Add。
定義授權配置檔案的名稱,並確保訪問型別設定為ACCESS_ACCEPT。
為管理員使用者新增授權配置檔案
步驟 6.1.在「高級屬性設定」中,導航到Radius > Class—[25],然後輸入值Administrator,然後按一下Submit。為管理員使用者新增授權配置檔案
步驟 7. 重複步驟6為只讀使用者建立Authorization Profile。
為只讀使用者新增授權配置檔案
步驟 7.1.這次請用ReadUser而不是Administrator值建立Radius:Class。
為只讀使用者新增授權配置檔案
步驟 8. 建立與SWA IP地址匹配的策略集。這是為了阻止使用這些使用者憑據訪問其他裝置。
導覽至Policy > PolicySets,然後按一下+位於左上角的圖示。
在ISE中新增策略集
步驟 8.1. 新行位於策略集的頂部。
命名新策略並為RADIUS NAS-IP-Address屬性新增條件以匹配SWA IP地址。
按一下Use以保留更改並退出編輯器。
新增策略以對映SWA網路裝置
步驟 8.2.按一下「Save」。
策略儲存
提示:本文允許使用預設網路訪問協定清單。您可以建立新清單並根據需要縮小範圍。
步驟 9.要檢視新的Policy Sets,請按一下View列中的> 圖示。展開Authorization Policy選單,然後按一下+ 圖示以新增新的規則,以允許訪問具有管理員許可權的使用者。
設定名稱。
步驟 9.1.要建立匹配管理員使用者組的條件,請按一下+圖示。新增授權策略條件
步驟 9.2.設定條件以匹配Dictionary Identity Group和Attribute Name Equals User Identity Groups: SWA admin。選擇身份組作為條件
步驟 9.3.向下滾動並選擇User Identity Groups: SWA admin。向下滾動Select Identity Group Name
步驟 9.4.按一下「Use」。
為SWA管理員使用者組選擇授權策略
步驟 10. 按一下+圖示可新增第二個規則,以允許訪問具有只讀許可權的使用者。
設定名稱。
設定條件以將Dictionary Identity Group與Attribute Name Equals User Identity Groups: SWA ReadOnly匹配,然後按一下Use。
為只讀使用者組選擇授權策略
步驟 11. 分別為每個規則設定Authorization Profile,然後按一下Save。
選擇授權配置檔案
SWA配置
步驟 1.在SWA GUI中,導航到System Administration,然後點選Users。
步驟 2.按一下「External Authentication」中的「Enable」。
在SWA中啟用外部身份驗證
步驟 3.在RADIUS伺服器主機名欄位中輸入ISE的IP地址或FQDN,並輸入在步驟2(ISE配置)中配置的相同共用金鑰。
步驟 4.在組對映中選擇將外部身份驗證的使用者對映到多個本地角色。
步驟 4.1.在RADIUS CLASS Attribute欄位中輸入Administrator,然後選擇Role Administrator。
步驟 4.2.在RADIUS CLASS Attribute欄位中輸入ReadUser,然後選擇角色只讀操作員。
RADIUS伺服器的外部身份驗證配置
第5步:要在SWA中配置使用者,請點選Add User。輸入使用者名稱,然後選擇所需角色所需的使用者型別。輸入Passphrase和Retype Passphrase,如果裝置無法連線到任何外部RADIUS伺服器,則GUI訪問需要此密碼。
注意:如果裝置無法連線到任何外部伺服器,則它會嘗試將使用者驗證為在Secure Web裝置上定義的本地使用者。
SWA中的使用者配置
第6步:單擊Submit和Commit Changes。
驗證
使用配置的使用者憑證訪問SWA GUI並檢查ISE中的即時日誌。要檢查ISE中的即時日誌,請導航到操作>即時日誌:
驗證使用者登入ISE
相關資訊