دمج نظام FireSIGHT مع ACS 5.x لمصادقة مستخدم RADIUS

المقدمة

يصف هذا المستند خطوات التكوين المطلوبة لدمج مركز إدارة FireSIGHT (FMC) أو جهاز مدار FirePOWER من Cisco مع نظام التحكم في الوصول الآمن 5.x (ACS) من Cisco لمصادقة طلب الاتصال عن بعد في خدمة المستخدم (RADIUS) ومصادقة المستخدم.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• FireSIGHT System والتكوين الأولي للجهاز المدار عبر واجهة المستخدم الرسومية (GUI) و/أو طبقة
• تكوين سياسات المصادقة والتفويض على ACS 5.x
• معرفة RADIUS الأساسية

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• نظام التحكم بالوصول الآمن من Cisco 5.7 (ACS 5.7)
• Cisco FireSIGHT Manager Center 5.4.1

الإصدارات الواردة أعلاه هي أحدث الإصدارات المتوفرة حاليا. يتم دعم الميزة على جميع إصدارات ACS 5.x و FMC 5.x.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

التكوين

تهيئة ACS 5.x

تكوين أجهزة الشبكة ومجموعات أجهزة الشبكة

• من واجهة المستخدم الرسومية (ACS)، انتقل إلى مجموعة أجهزة الشبكة، وانقر فوق نوع الجهاز وقم بإنشاء مجموعة أجهزة. في المثال التالي على لقطة الشاشة، تم تكوين نوع الجهاز FireSight.  ستتم الإشارة إلى نوع الجهاز هذا في تعريف قاعدة نهج التخويل في خطوة لاحقة.  انقر فوق حفظ.

• من واجهة المستخدم الرسومية (ACS)، انتقل إلى مجموعة أجهزة الشبكة، وانقر على أجهزة NetWare وعملاء AAA وأضفت جهاز.  توفير اسم وصفي وعنوان IP للجهاز.  يتم تحديد "مركز إدارة FireSIGHT" في المثال التالي.

• في مجموعات أجهزة الشبكة، قم بتكوين نوع الجهاز نفسه كمجموعة أجهزة تم إنشاؤها في الخطوة أعلاه.

• حدد المربع المجاور لخيارات المصادقة، وحدد خانة الاختيار RADIUS وأدخل المفتاح السري المشترك الذي سيتم إستخدامه لهذا NAD. لاحظ أنه سيتم إستخدام المفتاح السري المشترك نفسه مرة أخرى لاحقا عند تكوين خادم RADIUS على مركز إدارة FireSIGHT.  لمراجعة قيمة مفتاح النص العادي، انقر زر إظهار.  انقر على إرسال.

•  كرر الخطوات المذكورة أعلاه لجميع مراكز إدارة FireSIGHT والأجهزة المدارة التي ستحتاج إلى مصادقة/تفويض مستخدم RADIUS للوصول إلى واجهة المستخدم الرسومية (GUI) و/أو shell.

إضافة مجموعة تعريف في ACS

• انتقل إلى Users and Identity Stores (المستخدمين ومتاجر الهويات)، قم بتكوين مجموعة الهويات. في هذا المثال، مجموعة الهوية التي تم إنشاؤها هي "FireSight Administrator".  سيتم ربط هذه المجموعة بملف تعريف التخويل المحدد في الخطوات أدناه. 

إضافة مستخدم محلي إلى ACS

• انتقل إلى Users and Identity Stores (المستخدمين ومتاجر الهويات)، وقم بتكوين Users في قسم متاجر الهويات الداخلية. أدخل المعلومات المطلوبة لإنشاء المستخدم المحلي، ثم حدد مجموعة الهوية التي تم إنشاؤها في الخطوة أعلاه وانقر فوق إرسال.

تكوين نهج ACS

• في واجهة المستخدم الرسومية (ACS)، انتقل إلى عناصر النهج > التخويل والأذونات > الوصول إلى الشبكة > ملفات تعريف التخويل.  إنشاء ملف تعريف تخويل جديد باسم وصفي. في المثال التالي، السياسة التي تم إنشاؤها هي FireSight Administrator.  

• في علامة التبويب سمات RADIUS، قم بإضافة سمة يدوية لتخويل مجموعة الهوية التي تم إنشاؤها أعلاه وانقر فوق إرسال

• انتقل إلى سياسات الوصول >خدمات الوصول > الوصول الافتراضي إلى الشبكة > التفويض وتكوين سياسة تفويض جديدة لجلسات إدارة FireSight Management Center.  يستخدم المثال التالي حالة NDG:نوع الجهاز ومجموعة الهوية لمطابقة نوع الجهاز ومجموعة الهوية التي تم تكوينها في الخطوات أعلاه.
• ثم يتم إقران هذا النهج بملف تعريف تخويل FireSight Administrator الذي تم تكوينه أعلاه كنتيجة.  انقر على إرسال.

تكوين FireSIGHT Management Center

تكوين سياسة نظام FireSIGHT Manager

• قم بتسجيل الدخول إلى وحدة التحكم FireSIGHT MC وانتقل إلى النظام > محلي > إدارة المستخدم.  انقر على علامة تبويب المصادقة الخارجية.  انقر فوق الزر + إنشاء كائن مصادقة لإضافة خادم RADIUS جديد لمصادقة/تفويض المستخدم.
• حدد RADIUS لأسلوب المصادقة.  أدخل اسما وصفيا لخادم RADIUS.  أدخل اسم المضيف/عنوان IP ومفتاح RADIUS السري.  يجب أن يتطابق المفتاح السري مع المفتاح الذي تم تكوينه مسبقا على ACS. أختر إدخال اسم مضيف/عنوان IP للنسخ الاحتياطي إذا كان موجودا.

• تحت قسم المعلمات الخاصة ب RADIUS، في هذا المثال، يتم تعيين قيمة Class=Groups:FireSIGHT Administrator على مجموعة FireSight Administrator.  هذه هي القيمة التي يردها ACS كجزء من Access-ACCEPT. انقر فوق حفظ لحفظ التكوين أو انتقل إلى قسم التحقق أدناه لاختبار المصادقة مع ACS. 

• تحت عامل تصفية الوصول إلى Shell، أدخل قائمة منفصلة بفاصلة للمستخدمين لتقييد جلسات عمل Shell/SSH.

تمكين المصادقة الخارجية

أخيرا، أتمت هذا steps in order to مكنت مصادقة خارجية على ال FMC:

1. انتقل إلى النظام > محلي > نهج النظام.
2. حدد المصادقة الخارجية في اللوحة اليسرى.
3. قم بتغيير الحالة إلى ممكن (معطل بشكل افتراضي).
4. قم بتمكين خادم ACS RADIUS المضاف.
5. قم بحفظ النهج وإعادة تطبيق النهج على الجهاز.

التحقق

• لاختبار مصادقة المستخدم مقابل ACS، قم بالتمرير إلى قسم معلمات الاختبار الإضافية وأدخل اسم مستخدم وكلمة مرور لمستخدم ACS.  طقطقة إختبار.  سينتج عن إختبار ناجح نجاح أخضر: رسالة إكمال الاختبار في أعلى نافذة المستعرض.

• لعرض نتائج مصادقة الاختبار، انتقل إلى قسم إختبار الإخراج وانقر فوق السهم الأسود الموجود بجوار إظهار التفاصيل.  في لقطة الشاشة أدناه، لاحظ الرد: |Class=Groups:FireSIGHT Administrator|" القيمة التي تم تلقيها من ACS. يجب أن يتطابق هذا مع قيمة Class المقترنة بمجموعة FireSIGHT المحلية التي تم تكوينها على FireSIGHT MC أعلاه.  انقر فوق حفظ.