Integrazione del sistema FireSIGHT con ISE per l'autenticazione utente RADIUS

Opzioni per il download

PDF (802.2 KB)
Visualizza con Adobe Reader su diversi dispositivi
ePub (638.6 KB)
Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (658.9 KB)
Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi

Aggiornato:14 agosto 2015

ID documento:118541

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento viene descritta la procedura di configurazione necessaria per integrare un Cisco FireSIGHT Management Center (FMC) o un dispositivo gestito Firepower con Cisco Identity Services Engine (ISE) per l'autenticazione utente RADIUS (Remote Authentication Dial In User Service).

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

Configurazione iniziale del sistema FireSIGHT e del dispositivo gestito tramite GUI e/o shell
Configurazione dei criteri di autenticazione e autorizzazione su ISE
Conoscenze base di RADIUS

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

Cisco ASA v9.2.1
ASA FirePOWER module v5.3.1
ISE 1.2

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Configurazione

Configurazione di ISE

Suggerimento: Esistono diversi modi per configurare l'autenticazione e i criteri di autorizzazione ISE in modo da supportare l'integrazione con i dispositivi di accesso alla rete (NAD), ad esempio Sourcefire. Nell'esempio seguente viene illustrato un modo per configurare l'integrazione. La configurazione di esempio è un punto di riferimento e può essere adattata alle esigenze di un'installazione specifica. La configurazione dell'autorizzazione prevede un processo in due fasi. Verranno definiti uno o più criteri di autorizzazione su ISE con ISE che restituirà coppie di valori di attributo RADIUS (coppie av) al FMC o al dispositivo gestito. Tali coppie av vengono quindi mappate a un gruppo di utenti locali definito nella configurazione dei criteri di sistema di FMC.

Configurazione di dispositivi e gruppi di dispositivi di rete

Dalla GUI di ISE, selezionare Administration > Network Resources > Network Devices (Amministrazione > Risorse di rete > Dispositivi di rete). Fare clic su +Aggiungi per aggiungere un nuovo dispositivo di accesso alla rete (NAD). Specificare un nome descrittivo e un indirizzo IP del dispositivo. Il CCP è definito nell'esempio seguente.

In Gruppo di dispositivi di rete, fare clic sulla freccia arancione accanto a Tutti i tipi di dispositivo. Fare clic sull' icona e selezionare Create New Network Device Group (Crea nuovo gruppo di dispositivi di rete). Nello screenshot di esempio seguente è stato configurato il tipo di dispositivo Sourcefire. Nella definizione della regola dei criteri di autorizzazione verrà fatto riferimento a questo tipo di dispositivo in un passaggio successivo. Fare clic su Salva.

Fare di nuovo clic sulla freccia arancione e selezionare il gruppo di dispositivi di rete configurato nel passaggio precedente

Selezionare la casella accanto a Impostazioni di autenticazione. Immettere la chiave privata condivisa RADIUS che verrà utilizzata per questo NAD. Nota La stessa chiave segreta condivisa verrà utilizzata in seguito durante la configurazione del server RADIUS su FireSIGHT MC. Per verificare il valore della chiave in testo normale, fare clic sul pulsante Mostra. Fare clic su Salva.

Ripetere i passaggi precedenti per tutti gli MC FireSIGHT e i dispositivi gestiti che richiedono l'autenticazione/autorizzazione utente RADIUS per l'accesso alla GUI e/o alla shell.

Configurazione della policy di autenticazione ISE:

Dalla GUI di ISE, selezionare Policy > Authentication (Policy > Autenticazione). Se si utilizzano i set di criteri, passare a Criteri > Set di criteri. L'esempio seguente viene estratto da un'implementazione ISE che utilizza le interfacce predefinite dei criteri di autenticazione e autorizzazione. La logica delle regole di autenticazione e autorizzazione è la stessa indipendentemente dall'approccio alla configurazione.
La regola predefinita (in caso di mancata corrispondenza) verrà utilizzata per autenticare le richieste RADIUS provenienti da NAD il cui metodo in uso non è MAC Authentication Bypass (MAB) o 802.1X. Come configurato per impostazione predefinita, questa regola cercherà gli account utente nell'origine identità Internal Users di ISE locale. È possibile modificare questa configurazione in modo che faccia riferimento a un'origine identità esterna, ad esempio Active Directory, LDAP e così via, come definito in Amministrazione > Gestione delle identità > Origini identità esterne. Per semplicità, in questo esempio gli account utente verranno definiti localmente sull'ISE, quindi non saranno necessarie ulteriori modifiche ai criteri di autenticazione.

Aggiunta di un utente locale a ISE

Passare a Amministrazione > Gestione delle identità > Identità > Utenti. Fare clic su Add. Immettere un nome utente e una password significativi. Nella selezione Gruppi utenti, selezionare un nome di gruppo esistente o fare clic sul segno + verde per aggiungere un nuovo gruppo. In questo esempio, l'utente "sfadmin" viene assegnato al gruppo personalizzato "Sourcefire Administrator". Questo gruppo di utenti verrà collegato al profilo di autorizzazione definito nel passaggio Configurazione dei criteri di autorizzazione ISE seguente. Fare clic su Salva.

Configurazione della policy di autorizzazione ISE

Passare a Criterio > Elementi criteri > Risultati > Autorizzazione > Profili di autorizzazione. Fare clic sul segno + verde per aggiungere un nuovo profilo di autorizzazione.
Specificare un nome descrittivo, ad esempio Amministratore Sourcefire. Selezionare ACCESS_ACCEPT per il tipo di accesso. In Operazioni comuni, scorrere verso il basso e selezionare la casella accanto a ASA VPN. Fare clic sulla freccia arancione e selezionare InternalUser:IdentityGroup. Fare clic su Salva.

Suggerimento: Poiché in questo esempio viene utilizzato l'archivio identità dell'utente locale ISE, l'opzione InternalUser:IdentityGroup viene utilizzata per semplificare la configurazione. Se si usa un archivio identità esterno, viene comunque usato l'attributo di autorizzazione VPN ASA. Tuttavia, il valore da restituire al dispositivo Sourcefire è configurato manualmente. Ad esempio, se si digita manualmente Administrator nella casella a discesa ASA VPN, un valore Class-25 av-pair di Class = Administrator verrà inviato al dispositivo Sourcefire. Questo valore può quindi essere mappato a un gruppo di utenti sourcefire come parte della configurazione dei criteri di sistema. Per gli utenti interni, entrambi i metodi di configurazione sono accettabili.

Esempio di utente interno

Esempio di utente esterno

Passare a Criteri > Autorizzazione e configurare un nuovo criterio di autorizzazione per le sessioni di amministrazione di Sourcefire. Nell'esempio seguente viene utilizzata la condizione DEVICE:Device Type per stabilire una corrispondenza con il tipo di dispositivo configurato nel
Sezione precedente Configurazione di dispositivi di rete e gruppi di dispositivi di rete. Questo criterio viene quindi associato al profilo di autorizzazione dell'amministratore di Sourcefire configurato in precedenza. Fare clic su Salva.

Configurazione criteri di sistema Sourcefire

Accedere a FireSIGHT MC e selezionare Sistema > Locale > Gestione utente. Fare clic sulla scheda Autenticazione di accesso. Fare clic sul pulsante + Crea oggetto di autenticazione per aggiungere un nuovo server RADIUS per l'autenticazione/autorizzazione utente.
Selezionare RADIUS per il metodo di autenticazione. Immettere un nome descrittivo per il server RADIUS. Immettere il nome host/indirizzo IP e la chiave privata RADIUS. La chiave segreta deve corrispondere alla chiave configurata in precedenza su ISE. Facoltativamente, immettere un nome host/indirizzo IP del server ISE di backup, se esistente.

Nella sezione Parametri specifici RADIUS, immettere la stringa della classe 25 a coppia av nella casella di testo accanto al nome del gruppo locale Sourcefire a cui associare l'accesso GUI. In questo esempio, il valore Class=User Identity Groups:Sourcefire Administrator viene mappato al gruppo Sourcefire Administrator. Questo è il valore che ISE restituisce come parte di ACCESS-ACCEPT. È possibile selezionare un ruolo utente predefinito per gli utenti autenticati ai quali non sono stati assegnati gruppi di classe 25. Fare clic su Save per salvare la configurazione o procedere alla sezione Verify sottostante per verificare l'autenticazione con ISE.

In Shell Access Filter, immettere un elenco di utenti separati da virgole per limitare le sessioni shell/SSH.

Abilita autenticazione esterna

Infine, completare i passaggi seguenti per abilitare l'autenticazione esterna nel CCP:

Passa a Sistema > Locale > Criteri di sistema.

Seleziona Autenticazione esterna sul pannello sinistro.

Cambia stato in Attivato (disattivata per impostazione predefinita).

Abilitare il server ISE RADIUS aggiunto.

Salvare il criterio e applicarlo nuovamente all'accessorio.

Verifica

Per verificare l'autenticazione dell'utente con ISE, scorrere fino alla sezione Parametri aggiuntivi di test e immettere un nome utente e una password per l'utente ISE. Fare clic su Test. Un test di successo avrà un successo ecologico: Messaggio Test Complete nella parte superiore della finestra del browser.

Per visualizzare i risultati dell'autenticazione di test, andare alla sezione Output test e fare clic sulla freccia nera accanto a Mostra dettagli. Nello screenshot di esempio riportato di seguito, notare la risposta "radiusauth: |Class=User Identity Groups:Sourcefire Administrator|" ricevuto da ISE. Questo valore deve corrispondere al valore Class associato al gruppo Sourcefire locale configurato nel MC FireSIGHT sopra riportato. Fare clic su Salva.

Dalla GUI ISE Admin, selezionare Operations > Authentication (Operazioni > Autenticazioni) per verificare se il test di autenticazione dell'utente è riuscito o meno.

Risoluzione dei problemi

Durante la verifica dell'autenticazione utente per ISE, l'errore seguente indica una mancata corrispondenza della chiave privata RADIUS o un nome utente/password errato.

Dalla GUI di amministrazione di ISE, selezionare Operations > Authentications (Operazioni > Autenticazioni). Un evento rosso è indicativo di un guasto mentre un evento verde è indicativo di un'autenticazione/autorizzazione/modifica di autorizzazione riuscita. Fare clic sull' icona per esaminare i dettagli dell'evento di autenticazione.