將ISE作為RADIUS伺服器配置SWA第二因素身份驗證

已更新: 2024 年 2 月 6 日
文件 ID:221634

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文檔介紹如何在將Cisco身份服務引擎作為RADIUS伺服器的安全Web裝置上配置第二因素身份驗證。

    必要條件

    需求

    思科建議您瞭解以下主題:

    • SWA的基本知識。
    • 瞭解ISE上的身份驗證和授權策略配置。
    • 基本RADIUS知識。

    思科建議您同時擁有:

    • 安全網路裝置(SWA)和思科身份服務引擎(ISE)管理訪問。
    • 您的ISE已整合到Active Directory或LDAP。
    • Active Directory或LDAP配置為使用者名稱「admin」以驗證SWA預設「admin」帳戶。
    • 相容的WSA和ISE版本。

    採用元件

    本檔案中的資訊是根據以下軟體版本:

    • SWA 14.0.2-012
    • ISE 3.0.0。

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    背景資訊

    當您在SWA上為管理使用者啟用第二因素身份驗證時,裝置將在驗證SWA中配置的憑據之後再次使用RADIUS伺服器驗證使用者憑據。

    網路拓撲

    Image- Network Topology Diagram圖 — 網路拓撲圖

    管理使用者使用其憑據訪問埠443上的SWA。SWA通過RADIUS伺服器驗證憑據以進行第二次身份驗證。

    配置步驟

    ISE 組態

    步驟 1. 新增新網路裝置。導覽至Administration > Network Resources > Network Devices > +Add。

    Image- Add SWA as Network Device in ISE在ISE中將SWA新增為網路裝置

    步驟 2.在ISE中配置網路裝置。

    步驟 2.1.為網路裝置對象指定Name

    步驟 2.2.插入SWA IP地址

    步驟 2.3.勾選RADIUS復選框。

    步驟 2.4.定義共享金鑰

    note-icon

    :以後配置SWA時必須使用相同的金鑰。

    Image- Configure SWA Network Device Shared Key配置SWA網路裝置共用金鑰

    步驟 2.5.按一下「Submit」。

    Submit Network Device Configuration提交網路裝置配置

    步驟 3.您需要建立與SWA中配置的使用者名稱匹配的網路訪問使用者。導航到Administration > Identity Management > Identities > + Add。

    Image- Add Local Users in ISE在ISE中新增本地使用者

    步驟 3.1.指定名稱
    步驟3.2(可選)輸入使用者的電子郵件地址。
    步驟 3.3.設定密碼.
    步驟 3.4.按一下「Save」。

    Image- Add a local User in ISE在ISE中新增本地使用者

    步驟 4.建立與SWA IP地址匹配的策略集。這是為了阻止使用這些使用者憑據訪問其他裝置。

    導覽至Policy > PolicySets,然後按一下位於左上角的+icon。

    Image- Add Policy Set in ISE在ISE中新增策略集

    步驟 4.1. 新行位於策略集的頂部。輸入新策略的名稱。

    步驟 4.2.RADIUS NAS-IP-Address屬性新增條件以匹配SWA IP地址。

    步驟 4.3.按一下Use以保留更改並退出編輯器。

    Image- Add Policy to Map SWA Network Device新增策略以對映SWA網路裝置

    步驟 4.4.按一下「Save」。

    Image - Policy Save策略儲存

    note-icon

    注意:此示例允許預設網路訪問協定清單。您可以建立一個新清單並根據需要縮小該清單的範圍。

    步驟 5.要檢視新的策略集,請按一下檢視中的「>圖示。

    步驟 5.1.展開Authorization Policy選單,然後點選+圖示以新增新規則,以允許對所有經過身份驗證的使用者進行訪問。

    步驟 5.2.設定名稱。

    步驟 5.3.設定條件以匹配Dictionary Network Access with Attribute AuthenticationStatus Equals AuthenticationPassed,然後按一下Use

    Image- Select Authorization Condition選擇授權條件

    步驟 6. 將預設PermitAccess設定為Authorization Profile,然後按一下Save

    Image- Select Authorization Profile選擇授權配置檔案

    SWA配置

    步驟 1.在SWA GUI中,導航到System Administration,然後點選Users。 

    步驟 2.按一下Second Factor Authentication Settings中的Enable

    Image- Enable Second Factor Authentication in SWA在SWA中啟用第二因素身份驗證

    步驟 3. 在RADIUS Server Hostname欄位中輸入ISE的IP地址,並輸入ISE配置步驟2中配置的共用金鑰。

    步驟 4. 選擇需要啟用「第二個因素」實施的預定義角色。

    caution-icon

    注意:如果您在SWA中啟用第二因素身份驗證,則預設的「admin」帳戶也會通過第二因素實施啟用。您必須將ISE與LDAP或Active Directory(AD)整合以驗證「admin」憑證,因為ISE不允許將「admin」配置為網路訪問使用者。

    Image- Enable Second Factor Authentication in SWA在SWA中啟用第二因素身份驗證

    caution-icon

    注意:如果您在SWA中啟用第二因素身份驗證,則預設的「admin」帳戶也會通過第二因素實施啟用。您必須將ISE與LDAP或Active Directory(AD)整合以驗證「admin」憑證,因為ISE不允許將「admin」配置為網路訪問使用者。

    Image- Configure Second Factor Authentication配置第二因素身份驗證

    第5步:要在SWA中配置使用者,請點選新增使用者。輸入使用者名稱,然後選擇所需角色所需的使用者型別。輸入密碼短語並重新鍵入密碼短語。

    Image- User configuration in SWASWA中的使用者配置

    第6步:單SubmitCommit Changes

    驗證

    使用配置的使用者憑據訪問SWA GUI。成功驗證後,系統會將您重新導向至輔助驗證頁面。在此,您需要輸入在ISE中配置的輔助身份驗證憑證。

    Image- Verify Second Factor Login驗證第二個因素登入

    參考資料

    修訂記錄

    修訂 發佈日期 意見
    1.0
    06-Feb-2024
    初始版本
    TAC Authored

    由思科工程師貢獻

    • 安尼爾·拉詹
      Cisco TAC工程師

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品