دمج نظام FireSIGHT مع ISE لمصادقة مستخدم RADIUS

المقدمة

يصف هذا المستند خطوات التكوين المطلوبة لدمج مركز إدارة FireSIGHT (FMC) أو الجهاز المدار FirePOWER من Cisco باستخدام محرك خدمات الهوية من Cisco (ISE) لمصادقة طلب المصادقة عن بعد في مصادقة المستخدم (RADIUS).

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• FireSIGHT System والتكوين الأولي للجهاز المدار عبر واجهة المستخدم الرسومية (GUI) و/أو طبقة
• تكوين سياسات المصادقة والتفويض على ISE
• معرفة RADIUS الأساسية

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• Cisco ASA V9.2.1
• الوحدة النمطية ASA FirePOWER v5.3.1
• ISE 1.2

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

التكوين

تكوين ISE

تلميح: هناك طرق متعددة لتكوين سياسات مصادقة وتفويض ISE لدعم التكامل مع أجهزة الوصول إلى الشبكة (NAD) مثل Sourcefire.  المثال التالي هو إحدى طرق تكوين المشاركة.  وتشكل عينة التكوين نقطة مرجعية ويمكن تكييفها لتلائم إحتياجات النشر المحدد.  لاحظ أن تكوين التفويض هو عملية على خطوتين.  سيتم تحديد سياسة تفويض واحدة أو أكثر على ISE مع قيام ISE بإرجاع أزواج قيمة سمة RADIUS (أزواج القيمة AV) إلى FMC أو الجهاز المدار.  وبعد ذلك يتم تعيين أزواج الصوت والفيديو هذه إلى مجموعة مستخدمين محليين يتم تعريفها في تكوين نهج نظام FMC.

تكوين أجهزة الشبكة ومجموعات أجهزة الشبكة

• من واجهة المستخدم الرسومية ISE، انتقل إلى الإدارة > موارد الشبكة > أجهزة الشبكة.  انقر فوق +إضافة لإضافة جهاز وصول جديد إلى الشبكة (NAD).  توفير اسم وصفي وعنوان IP للجهاز.  يتم تحديد FMC في المثال التالي.

• تحت مجموعة أجهزة الشبكة، انقر فوق السهم البرتقالي بجوار جميع أنواع الأجهزة.  انقر على الرمز وحدد إنشاء مجموعة أجهزة شبكة جديدة.  في المثال لقطة الشاشة الذي يلي، تم تكوين Device Type Sourcefire.  ستتم الإشارة إلى نوع الجهاز هذا في تعريف قاعدة نهج التخويل في خطوة لاحقة.  طقطقة حفظ.

• انقر فوق السهم البرتقالي مرة أخرى وحدد مجموعة أجهزة الشبكة التي تم تكوينها في الخطوة أعلاه

• حدد المربع المجاور لإعدادات المصادقة.  أدخل المفتاح السري المشترك ل RADIUS الذي سيتم إستخدامه لهذا NAD.  لاحظ أنه سيتم إستخدام المفتاح السري المشترك نفسه مرة أخرى لاحقا عند تكوين خادم RADIUS على وحدة التحكم MC FireSIGHT.  لمراجعة قيمة مفتاح النص العادي، انقر زر إظهار.  طقطقة حفظ.

•  كرر الخطوات المذكورة أعلاه لجميع وحدات التحكم في الوصول FireSIGHT والأجهزة المدارة التي تتطلب مصادقة/تفويض مستخدم RADIUS للوصول إلى واجهة المستخدم الرسومية (GUI) و/أو shell.

تكوين سياسة مصادقة ISE:

• من واجهة المستخدم الرسومية ISE، انتقل إلى السياسة > المصادقة.  في حالة إستخدام مجموعات النهج، انتقل إلى السياسة > مجموعات النهج.  المثال التالي مأخوذ من نشر ISE يستخدم واجهات سياسة المصادقة والتفويض الافتراضية.  يعد منطق قاعدة المصادقة والتفويض هو نفسه بغض النظر عن نهج التكوين.
• سيتم إستخدام القاعدة الافتراضية (في حالة عدم وجود تطابق) لمصادقة طلبات RADIUS من NAD حيث تكون الطريقة المستخدمة ليست مجازة مصادقة MAC (MAB) أو 802.1X.  وكما تم تكوينها بشكل افتراضي، ستبحث هذه القاعدة عن حسابات المستخدمين في مصدر هوية المستخدمين الداخليين المحليين ل ISE.  يمكن تعديل هذا التكوين للإشارة إلى مصدر هوية خارجي مثل Active Directory و LDAP، إلخ كما هو محدد تحت الإدارة > إدارة الهوية > مصادر الهوية الخارجية.  من أجل التبسيط، سيقوم هذا المثال بتحديد حسابات المستخدمين محليا على ISE حتى لا يتطلب الأمر أي تعديلات أخرى على سياسة المصادقة.  

إضافة مستخدم محلي إلى ISE

• انتقل إلى إدارة > إدارة الهوية > هويات > مستخدمين.  انقر فوق إضافة (Add).  أدخل اسم مستخدم وكلمة مرور ذوي معنى. تحت تحديد مجموعات المستخدمين، حدد اسم مجموعة موجود أو انقر فوق علامة + خضراء لإضافة مجموعة جديدة.  في هذا المثال، يتم تعيين المستخدم "sfadmin" إلى المجموعة المخصصة "Sourcefire Administrator".  سيتم ربط مجموعة المستخدمين هذه بملف تعريف التخويل المحدد في الخطوة أدناه تكوين نهج تخويل ISE.  طقطقة حفظ. 

تكوين نهج تخويل ISE

• انتقل إلى السياسة > عناصر السياسة > النتائج > التخويل > ملفات تخصيص التخويل.  انقر على علامة + أخضر لإضافة ملف تعريف تخويل جديد.
• توفير اسم وصفي مثل مسؤول Sourcefire.  حدد ACCESS_ACCEPT ل نوع الوصول.  تحت المهام المشتركة، قم بالتمرير إلى الأسفل وحدد المربع المجاور ل ASA VPN.  انقر فوق السهم البرتقالي وحدد InternalUser:IdentityGroup.  طقطقة حفظ.

تلميح: لأن هذا المثال يستخدم مخزن هوية المستخدم المحلي ISE، يتم إستخدام خيار مجموعة InternalUser:IdentityGroup لتبسيط التكوين.  إذا كنت تستخدم مخزن هوية خارجي، فإن سمة تخويل ASA VPN لا تزال تستخدم، ومع ذلك، يتم تكوين القيمة التي سيتم إرجاعها إلى جهاز Sourcefire يدويا.  على سبيل المثال، ستؤدي كتابة المسؤول يدويا في المربع المنسدل ASA VPN إلى حدوث قيمة من الفئة Class-25 AV-pair للفئة = إرسال المسؤول إلى جهاز Sourcefire.  ويمكن بعد ذلك تعيين هذه القيمة إلى مجموعة مستخدم Sourcefire كجزء من تكوين نهج النظام.  بالنسبة للمستخدمين الداخليين، إما أن تكون طريقة التكوين مقبولة.

مثال مستخدم داخلي

مثال مستخدم خارجي

• انتقل إلى نهج > تفويض وتكوين سياسة تفويض جديدة لجلسات إدارة Sourcefire.  يستخدم المثال التالي شرط Device:Device Type لمطابقة نوع الجهاز الذي تم تكوينه في

  قسم تكوين أجهزة الشبكة ومجموعات أجهزة الشبكة أعلاه.  ثم يتم إقران هذا النهج بملف تعريف تخويل مسؤول Sourcefire الذي تم تكوينه أعلاه.  طقطقة حفظ.

تكوين نهج نظام Sourcefire

• قم بتسجيل الدخول إلى وحدة التحكم FireSIGHT MC وانتقل إلى النظام > محلي > إدارة المستخدم.  انقر على علامة التبويب مصادقة تسجيل الدخول.  انقر فوق الزر + إنشاء كائن مصادقة لإضافة خادم RADIUS جديد لمصادقة/تفويض المستخدم.
• حدد RADIUS لأسلوب المصادقة.  أدخل اسما وصفيا لخادم RADIUS.  أدخل اسم المضيف/عنوان IP ومفتاح RADIUS السري.  يجب أن يتطابق المفتاح السري مع المفتاح الذي تم تكوينه مسبقا على ISE.  وبشكل إختياري، أدخل اسم مضيف خادم ISE للنسخ الاحتياطي/عنوان IP إذا كان موجودا.

• تحت قسم المعلمات الخاصة ب RADIUS، أدخل سلسلة الفئة-25 av-pair في مربع النص المجاور لاسم المجموعة المحلية Sourcefire التي سيتم مطابقتها للوصول إلى واجهة المستخدم الرسومية (GUI).  في هذا المثال، يتم تعيين Class=User Identity Groups:Sourcefire Administrator value على مجموعة مسؤول Sourcefire.  هذه هي القيمة التي يقوم ISE بإرجاعها كجزء من Access-ACCEPT.  إختياريا، حدد دور مستخدم افتراضي للمستخدمين المصادق عليهم الذين ليس لديهم مجموعات الفئة 25 معينة.  انقر فوق حفظ لحفظ التكوين أو انتقل إلى قسم التحقق أدناه لاختبار المصادقة مع ISE. 

• تحت عامل تصفية الوصول إلى Shell، أدخل قائمة منفصلة بفاصلة للمستخدمين لتقييد جلسات عمل Shell/SSH.

تمكين المصادقة الخارجية

أخيرا، أتمت هذا steps in order to مكنت مصادقة خارجية على ال FMC:

1. انتقل إلى النظام > محلي > سياسة النظام.
2. تحديد المصادقة الخارجية على اللوحة اليسرى.
3. تغيير الحالة إلى ممكن (معطل بشكل افتراضي).
4. قم بتمكين خادم ISE RADIUS المضاف.
5. قم بحفظ النهج وإعادة تطبيق النهج على الجهاز.

التحقق من الصحة

• لاختبار مصادقة المستخدم مقابل ISE، قم بالتمرير إلى قسم معلمات الاختبار الإضافية وأدخل اسم مستخدم وكلمة مرور لمستخدم ISE.  طقطقة إختبار.  سينتج عن إختبار ناجح نجاح أخضر: رسالة إكمال الاختبار في أعلى نافذة المستعرض.

• لعرض نتائج مصادقة الاختبار، انتقل إلى قسم إختبار الإخراج وانقر فوق السهم الأسود الموجود بجوار إظهار التفاصيل.  في لقطة الشاشة أدناه، لاحظ الرد: |Class=مجموعات هوية المستخدم:Sourcefire Administrator|" القيمة المستلمة من ISE.  يجب أن يتطابق هذا مع قيمة الفئة المقترنة بمجموعة Sourcefire المحلية التي تم تكوينها على FireSIGHT MC أعلاه.  طقطقة حفظ.

• من واجهة المستخدم الرسومية (GUI) الخاصة بإدارة ISE، انتقل إلى العمليات > المصادقة للتحقق من نجاح إختبار مصادقة المستخدم أو فشله.

استكشاف الأخطاء وإصلاحها

• عند إختبار مصادقة المستخدم مقابل ISE، يشير الخطأ التالي إلى عدم تطابق مفتاح RADIUS السري أو اسم مستخدم/كلمة مرور غير صحيحة. 

• من واجهة المستخدم الرسومية (GUI) لإدارة ISE، انتقل إلى العمليات > المصادقة.  يشير الحدث الأحمر إلى حدوث فشل بينما يشير الحدث الأخضر إلى نجاح المصادقة/التفويض/تغيير التفويض.  انقر على الرمز لمراجعة تفاصيل حدث المصادقة.

معلومات ذات صلة

الدعم التقني والمستندات - Cisco Systems