簡介
本文檔介紹如何在將Cisco身份服務引擎作為RADIUS伺服器的安全Web裝置上配置第二因素身份驗證。
必要條件
需求
思科建議您瞭解以下主題:
- SWA的基本知識。
- 瞭解ISE上的身份驗證和授權策略配置。
- 基本RADIUS知識。
思科建議您同時擁有:
- 安全網路裝置(SWA)和思科身份服務引擎(ISE)管理訪問。
- 您的ISE已整合到Active Directory或LDAP。
- Active Directory或LDAP配置為使用者名稱「admin」以驗證SWA預設「admin」帳戶。
- 相容的WSA和ISE版本。
採用元件
本檔案中的資訊是根據以下軟體版本:
- SWA 14.0.2-012
- ISE 3.0.0。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
當您在SWA上為管理使用者啟用第二因素身份驗證時,裝置將在驗證SWA中配置的憑據之後再次使用RADIUS伺服器驗證使用者憑據。
網路拓撲
圖 — 網路拓撲圖
管理使用者使用其憑據訪問埠443上的SWA。SWA通過RADIUS伺服器驗證憑據以進行第二次身份驗證。
配置步驟
ISE 組態
步驟 1. 新增新網路裝置。導覽至Administration > Network Resources > Network Devices > +Add。
在ISE中將SWA新增為網路裝置
步驟 2.在ISE中配置網路裝置。
步驟 2.1.為網路裝置對象指定Name。
步驟 2.2.插入SWA IP地址。
步驟 2.3.勾選RADIUS復選框。
步驟 2.4.定義共享金鑰。
配置SWA網路裝置共用金鑰
步驟 2.5.按一下「Submit」。
提交網路裝置配置
步驟 3.您需要建立與SWA中配置的使用者名稱匹配的網路訪問使用者。導航到Administration > Identity Management > Identities > + Add。
在ISE中新增本地使用者
步驟 3.1.指定名稱。
步驟3.2(可選)輸入使用者的電子郵件地址。
步驟 3.3.設定密碼.
步驟 3.4.按一下「Save」。
在ISE中新增本地使用者
步驟 4.建立與SWA IP地址匹配的策略集。這是為了阻止使用這些使用者憑據訪問其他裝置。
導覽至Policy > PolicySets,然後按一下位於左上角的+icon。
在ISE中新增策略集
步驟 4.1. 新行位於策略集的頂部。輸入新策略的名稱。
步驟 4.2.為RADIUS NAS-IP-Address屬性新增條件以匹配SWA IP地址。
步驟 4.3.按一下Use以保留更改並退出編輯器。
新增策略以對映SWA網路裝置
步驟 4.4.按一下「Save」。
策略儲存
注意:此示例允許預設網路訪問協定清單。您可以建立一個新清單並根據需要縮小該清單的範圍。
步驟 5.要檢視新的策略集,請按一下檢視列中的「>」圖示。
步驟 5.1.展開Authorization Policy選單,然後點選+圖示以新增新規則,以允許對所有經過身份驗證的使用者進行訪問。
步驟 5.2.設定名稱。
步驟 5.3.設定條件以匹配Dictionary Network Access with Attribute AuthenticationStatus Equals AuthenticationPassed,然後按一下Use。
選擇授權條件
步驟 6. 將預設PermitAccess設定為Authorization Profile,然後按一下Save。
選擇授權配置檔案
SWA配置
步驟 1.在SWA GUI中,導航到System Administration,然後點選Users。
步驟 2.按一下Second Factor Authentication Settings中的Enable。
在SWA中啟用第二因素身份驗證
步驟 3. 在RADIUS Server Hostname欄位中輸入ISE的IP地址,並輸入ISE配置步驟2中配置的共用金鑰。
步驟 4. 選擇需要啟用「第二個因素」實施的預定義角色。
注意:如果您在SWA中啟用第二因素身份驗證,則預設的「admin」帳戶也會通過第二因素實施啟用。您必須將ISE與LDAP或Active Directory(AD)整合以驗證「admin」憑證,因為ISE不允許將「admin」配置為網路訪問使用者。
在SWA中啟用第二因素身份驗證
注意:如果您在SWA中啟用第二因素身份驗證,則預設的「admin」帳戶也會通過第二因素實施啟用。您必須將ISE與LDAP或Active Directory(AD)整合以驗證「admin」憑證,因為ISE不允許將「admin」配置為網路訪問使用者。
配置第二因素身份驗證
第5步:要在SWA中配置使用者,請點選新增使用者。輸入使用者名稱,然後選擇所需角色所需的使用者型別。輸入密碼短語並重新鍵入密碼短語。
SWA中的使用者配置
第6步:單擊Submit和Commit Changes。
驗證
使用配置的使用者憑據訪問SWA GUI。成功驗證後,系統會將您重新導向至輔助驗證頁面。在此,您需要輸入在ISE中配置的輔助身份驗證憑證。
驗證第二個因素登入
參考資料