Integración de FireSIGHT System con ISE para la autenticación de usuario RADIUS

Opciones de descarga

PDF (802.3 KB)
Visualice con Adobe Reader en una variedad de dispositivos
ePub (639.1 KB)
Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (659.5 KB)
Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos

Actualizado:14 de agosto de 2015

ID del documento:118541

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe los pasos de configuración necesarios para integrar un Cisco FireSIGHT Management Center (FMC) o un dispositivo gestionado Firepower con Cisco Identity Services Engine (ISE) para la autenticación de usuario del servicio de acceso telefónico de autenticación remota (RADIUS).

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

Configuración inicial del sistema FireSIGHT y el dispositivo administrado a través de la GUI o shell
Configuración de políticas de autenticación y autorización en ISE
Conocimiento RADIUS básico

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

Cisco ASA v9.2.1
Módulo ASA FirePOWER v5.3.1
ISE 1.2

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Configurar

Configuración de ISE

Consejo: Hay varias formas de configurar las políticas de autenticación y autorización de ISE para admitir la integración con dispositivos de acceso a la red (NAD), como Sourcefire. El siguiente ejemplo es una manera de configurar la integración. La configuración de ejemplo es un punto de referencia y puede adaptarse a las necesidades de la implementación específica. Tenga en cuenta que la configuración de autorización es un proceso de dos pasos. Se definirán una o más políticas de autorización en ISE con ISE que devuelvan pares de valores de atributos RADIUS (pares av) al FMC o dispositivo administrado. Estos pares AV se asignan a un grupo de usuarios local definido en la configuración de la política del sistema FMC.

Configuración de dispositivos de red y grupos de dispositivos de red

Desde la GUI de ISE, navegue hasta Administration > Network Resources > Network Devices. Haga clic en +Agregar para agregar un nuevo dispositivo de acceso a la red (NAD). Proporcione un nombre descriptivo y una dirección IP del dispositivo. El FMC se define en el siguiente ejemplo.

En Grupo de dispositivos de red, haga clic en la flecha naranja junto a Todos los tipos de dispositivos. Haga clic en el icono y seleccione Crear nuevo grupo de dispositivos de red. En la captura de pantalla de ejemplo que se muestra a continuación, se ha configurado Device Type Sourcefire. Este tipo de dispositivo se hará referencia en la definición de regla de directiva de autorización en un paso posterior. Click Save.

Haga clic en la flecha naranja de nuevo y seleccione el grupo de dispositivos de red configurado en el paso anterior

Marque la casilla junto a Authentication Settings. Introduzca la clave secreta compartida RADIUS que se utilizará para este NAD. Tenga en cuenta que la misma clave secreta compartida se volverá a utilizar más tarde cuando se configure el servidor RADIUS en FireSIGHT MC. Para revisar el valor de la clave de texto sin formato, haga clic en el botón Mostrar. Click Save.

Repita los pasos anteriores para todos los MCs FireSIGHT y dispositivos administrados que requieran autenticación/autorización de usuario RADIUS para la GUI o el acceso al shell.

Configuración de la Política de Autenticación de ISE:

Desde la GUI de ISE, navegue hasta Policy > Authentication. Si utiliza conjuntos de políticas, navegue hasta Política > Conjuntos de políticas. El siguiente ejemplo se toma de una implementación de ISE que utiliza las interfaces de política de autenticación y autorización predeterminadas. La lógica de regla de autenticación y autorización es la misma independientemente del enfoque de configuración.
La regla predeterminada (si no hay coincidencia) se utilizará para autenticar las solicitudes RADIUS de los NAD donde el método en uso no es la omisión de autenticación MAC (MAB) o 802.1X. Tal como se configura de forma predeterminada, esta regla buscará las cuentas de usuario en el origen de identidad de usuarios internos locales de ISE. Esta configuración se puede modificar para hacer referencia a un origen de identidad externo como Active Directory, LDAP, etc, como se define en Administration > Identity Management > External Identity Sources. En aras de la simplicidad, este ejemplo definirá las cuentas de usuario localmente en ISE, por lo que no se requieren más modificaciones en la política de autenticación.

Adición de un usuario local a ISE

Vaya a Administration > Identity Management > Identities > Users. Haga clic en Add (Agregar). Introduzca un nombre de usuario y una contraseña válidos. En la selección Grupos de usuarios, seleccione un nombre de grupo existente o haga clic en el signo + para agregar un nuevo grupo. En este ejemplo, el usuario "sfadmin" se asigna al grupo personalizado "Sourcefire Administrator". Este grupo de usuarios se vinculará al perfil de autorización definido en el paso Configuración de la Política de Autorización de ISE a continuación. Click Save.

Configuración de la Política de Autorización de ISE

Vaya a Policy > Policy Elements > Results > Authorization > Authorization Profiles. Haga clic en el signo verde + para agregar un nuevo perfil de autorización.
Proporcione un nombre descriptivo como Sourcefire Administrator. Seleccione ACCESS_ACCEPT para el tipo de acceso. En Tareas comunes, desplácese hacia abajo y marque la casilla junto a ASA VPN. Haga clic en la flecha naranja y seleccione InternalUser:IdentityGroup. Click Save.

Consejo: Dado que en este ejemplo se utiliza el almacén de identidad de usuario local de ISE, se utiliza la opción de grupo InternalUser:IdentityGroup para simplificar la configuración. Si se utiliza un almacén de identidad externo, se sigue utilizando el atributo de autorización de VPN ASA; sin embargo, el valor que se devolverá al dispositivo Sourcefire se configura manualmente. Por ejemplo, al escribir manualmente Administrator en el cuadro desplegable ASA VPN, se enviará un valor Clase 25 av-pair de Clase = Administrador al dispositivo Sourcefire. Este valor se puede asignar a un grupo de usuarios de sourcefire como parte de la configuración de la política del sistema. Para los usuarios internos, cualquiera de los métodos de configuración es aceptable.

Ejemplo de usuario interno

Ejemplo de usuario externo

Navegue hasta Política > Autorización y configure una nueva política de autorización para las sesiones de administración de Sourcefire. El ejemplo siguiente utiliza la condición DEVICE:Device Type para coincidir con el tipo de dispositivo configurado en el
Sección anterior Configuración de Dispositivos de Red y Grupos de Dispositivos de Red. A continuación, esta política se asocia al perfil de autorización del administrador de Sourcefire configurado anteriormente. Click Save.

Configuración de la política del sistema de Sourcefire

Inicie sesión en FireSIGHT MC y navegue hasta System > Local > User Management. Haga clic en la pestaña Login Authentication. Haga clic en el botón + Crear objeto de autenticación para agregar un nuevo servidor RADIUS para la autenticación/autorización de usuario.
Seleccione RADIUS para el Método de Autenticación. Introduzca un nombre descriptivo para el servidor RADIUS. Ingrese el Nombre de Host/Dirección IP y la Clave Secreta RADIUS. La clave secreta debe coincidir con la clave previamente configurada en ISE. Opcionalmente, introduzca un servidor ISE de respaldo Nombre de host/dirección IP si existe alguno.

Bajo la sección Parámetros Específicos de RADIUS, ingrese la cadena Clase-25 av-pair en el cuadro de texto junto al nombre del grupo local de Sourcefire que debe coincidir para el acceso a la GUI. En este ejemplo, el valor Class=User Identity Groups:Sourcefire Administrator se asigna al grupo Sourcefire Administrator. Este es el valor que devuelve ISE como parte de ACCESS-ACCEPT. Opcionalmente, seleccione un rol de usuario predeterminado para usuarios autenticados que no tienen asignados grupos de clase 25. Haga clic en Guardar para guardar la configuración o continúe con la sección Verificar a continuación para probar la autenticación con ISE.

En Shell Access Filter, ingrese una lista de usuarios separados por comas para restringir las sesiones shell/SSH.

Habilitar autenticación externa

Finalmente, complete estos pasos para habilitar la autenticación externa en el FMC:

Vaya a Sistema > Local > Política del sistema.

Seleccionar Autenticación externa en el panel izquierdo.

Cambiar el estado a Habilitado (desactivado de forma predeterminada).

Habilite el servidor RADIUS ISE agregado.

Guarde la política y vuelva a aplicarla en el dispositivo.

Verificación

Para probar la autenticación de usuario con ISE, desplácese hacia abajo hasta la sección Parámetros de prueba adicionales e introduzca un nombre de usuario y una contraseña para el usuario de ISE. Haga clic en Prueba. Una prueba correcta dará como resultado un mensaje verde Correcto: Prueba finalizada en la parte superior de la ventana del navegador.

Para ver los resultados de la autenticación de prueba, vaya a la sección Resultados de prueba y haga clic en la flecha negra junto a Mostrar detalles. En la captura de pantalla de ejemplo a continuación, observe el mensaje "radiusauth - response: |Class=Grupos de identidad de usuario:Administrador de Sourcefire|" valor recibido de ISE. Esto debe coincidir con el valor Class asociado al grupo Sourcefire local configurado en el MC FireSIGHT anterior. Click Save.

Desde la GUI de administración de ISE, navegue hasta Operaciones > Autenticaciones para verificar el éxito o el fracaso de la prueba de autenticación de usuario.

Troubleshoot

Al probar la autenticación de usuario con ISE, el siguiente error indica una discordancia de clave secreta RADIUS o un nombre de usuario/contraseña incorrecto.

Desde la GUI de administración de ISE, navegue hasta Operaciones > Autenticaciones. Un evento rojo indica una falla mientras que un evento verde indica una autenticación/autorización/cambio de autorización exitosa. Haga clic en el icono para revisar los detalles del evento de autenticación.