Configurazione dell'autenticazione e dell'autorizzazione esterne di FDM con ISE utilizzando RADIUS

Opzioni per il download

  • PDF     (2.9 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (2.8 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.6 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:8 luglio 2021
ID documento:217234

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritta la procedura per integrare Cisco Firepower Device Manager (FDM) con Identity Services Engine (ISE) per autenticare gli utenti amministratori con il protocollo RADIUS per l'accesso GUI e CLI.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Firepower Device Manager (FDM)
    • Identity Services Engine (ISE)
    • protocollo RADIUS

    Componenti usati

     Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Dispositivo Firepower Threat Defense (FTD), tutte le piattaforme Firepower Device Manager (FDM) versione 6.3.0+
    • ISE versione 3.0

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Interoperabilità

    • Server RADIUS con utenti configurati con ruoli utente
    • I ruoli utente devono essere configurati sul server RADIUS con cisco-av-pair
    • Cisco-av-pair = fdm.userrole.authority.admin
    • ISE può essere utilizzato come server RADIUS

    Licenze

    Nessuna licenza specifica richiesta, la licenza di base è sufficiente

    Premesse

    Questa funzionalità consente agli utenti di configurare l'autenticazione esterna con RADIUS e più ruoli utente per tali utenti.

    Supporto RADIUS per Management Access con 3 ruoli utente definiti dal sistema:

    • SOLA_LETTURA
    • READ_WRITE (impossibile eseguire azioni critiche del sistema come l'aggiornamento, il ripristino e così via)
    • ADMIN

    È possibile testare la configurazione del server RADIUS, monitorare le sessioni utente attive ed eliminare una sessione utente.

    La funzionalità è stata implementata in FDM versione 6.3.0. Prima della release 6.3.0, FDM era in grado di supportare un solo utente (amministratore).

    Per impostazione predefinita, Cisco Firepower Device Manager autentica e autorizza gli utenti in locale, in modo da disporre di un metodo di autenticazione e autorizzazione centralizzato e da poter utilizzare Cisco Identity Service Engine tramite il protocollo RADIUS.

    Esempio di rete

    Nell'immagine seguente viene illustrato un esempio di topologia di rete

    FDM Diagram

    Processo:

    1. L'utente Admin introduce le proprie credenziali.
    2. Processo di autenticazione attivato e ISE convalida le credenziali localmente o tramite Active Directory.
    3. Una volta completata l'autenticazione, ISE invia un pacchetto Permit per le informazioni di autenticazione e autorizzazione a FDM.
    4. L'account viene eseguito su ISE e l'autenticazione viene eseguita correttamente dal vivo.

    Configurazione

    Configurazione di FDM

    Passaggio 1. Accedere a FDM e selezionare Dispositivo > Impostazioni di sistema > scheda Accesso gestione

    1img

    Passaggio 2. Crea nuovo gruppo di server RADIUS

    2img

    Passaggio 3. Crea nuovo server RADIUS

    3img

    Screen Shot 2021-07-07 at 11.39.53

    Passaggio 4. Aggiungi server RADIUS al gruppo di server RADIUS

    5img

    Passaggio 5. Selezionare il gruppo creato come gruppo di server per la gestione

    6img

    fdm

    Passaggio 6. Salvare la configurazione

    7img

    Configurazione di ISE

    Passaggio 1. Icona tre righeecanogut_0-1625675448492nell'angolo superiore sinistro e selezionare Amministrazione > Risorse di rete > Dispositivi di rete

    NDimg

    Passaggio 2. Selezionare il pulsante +Aggiungi e definire Nome dispositivo di accesso alla rete e IndirizzoIP, quindi selezionare la casella di controllo RADIUS e definire un segreto condiviso. Seleziona all'invio

    ipaddress

    radius passwordNAD view

    Passaggio 3. Icona tre righeecanogut_1-1625676207352nell'angolo superiore sinistro e selezionare Amministrazione > Gestione delle identità > Gruppi

    Identity groups

    Passaggio 4. Selezionare Gruppi identità utente e fare clic sul pulsante +Aggiungi. Definire un nome e selezionarlo in Invia

    fdmadmin

    UIG overview

    fdmread

    Nota: in questo esempio, sono stati creati i gruppi di identità FDM_Admin e FDM_ReadOnly, è possibile ripetere il passo 4 per ogni tipo di utente Admin utilizzato in FDM.

    Passaggio 5. Passare all'icona a tre linee situata nell'angolo superiore sinistro e selezionare Amministrazione > Gestione delle identità > Identità. Selezionare +Aggiungi e definire nome utente e password, quindi selezionare il gruppo a cui appartiene l'utente. In questo esempio, gli utenti fdm_admin e fdm_readonly sono stati creati e assegnati rispettivamente ai gruppi FDM_Admin e FDM_ReadOnly.

    fdmauser

    fdmadmin2

    FDMoverview

    Passaggio 6. Selezionare l'icona a tre righe nell'angolo superiore sinistro e selezionare Criterio > Elementi criterio > Risultati > Autorizzazione > Profili di autorizzazione, selezionare +Aggiungi, definire un nome per il Profilo di autorizzazione. Selezionare Radius Service-type e Amministrativo, quindi selezionare Cisco-av-pair e incollare il ruolo che l'utente amministratore ottiene, in questo caso, l'utente riceve un privilegio di amministratore completo (fdm.userrole.authority.admin). Selezionare Invia. Ripetere questo passaggio per ogni ruolo, utente di sola lettura configurato come un altro esempio in questo documento.

    authzprofile

    attributes

    attributes oper

    Nota: assicurarsi che l'ordine della sezione Advance Attributes sia quello dell'esempio di immagini per evitare risultati imprevisti quando si esegue il login con GUI e CLI.

    Passaggio 8. Selezionare l'icona a tre righe e passare a Criterio > Set di criteri. Seleziona su ecanogut_3-1625677265767 situato sotto il titolo Set di criteri, definire un nome e selezionare il pulsante + al centro per aggiungere una nuova condizione.

    Passaggio 9. Nella finestra Condizione, selezionare per aggiungere un attributo, quindi selezionare Icona periferica di rete seguito da Indirizzo IP periferica di accesso alla rete.  Selezionare Valore attributo e aggiungere l'indirizzo IP di FDM. Aggiungere una nuova condizione e selezionare Accesso rete seguito da Protocollo, selezionare RADIUS e selezionare Usa al termine.

    policy set

    Passaggio 10. Nella sezione Consenti protocolli selezionare Amministratore predefinito dispositivo. Seleziona al salvataggio

    default

    Passaggio 11. Fare clic sulla freccia destra ecanogut_4-1625677518377icona del set di criteri per la definizione dei criteri di autenticazione e autorizzazione

    Passaggio 12. Seleziona su ecanogut_5-1625677518378 situato sotto il titolo del criterio di autenticazione, definire un nome e selezionare il segno + al centro per aggiungere una nuova condizione. Nella finestra Condizione, selezionare per aggiungere un attributo, quindi fare clic su Icona Periferica di rete seguita da Indirizzo IP periferica di accesso alla rete.  Selezionare Valore attributo e aggiungere l'indirizzo IP di FDM. Selezionare una volta utilizzato

    Passaggio 13. Selezionare Utenti interni come archivio identità e selezionare Salva

    authe

    Nota: l'archivio identità può essere modificato in archivio Active Directory se ISE viene aggiunto a un Active Directory.

    Passaggio 14. Seleziona su ecanogut_6-1625677601286situato sotto il titolo del criterio di autorizzazione, definire un nome e selezionare il segno + al centro per aggiungere una nuova condizione. Nella finestra Condizione, selezionare per aggiungere un attributo, quindi selezionare l'icona Gruppo di identità seguita da Utente interno: Gruppo di identità. Selezionare il gruppo FDM_Admin, selezionare l'opzione AND insieme all'opzione NEW per aggiungere una nuova condizione, selezionare l'icona della porta seguita da RADIUS NAS-Port-Type:Virtual e selezionare l'opzione Use.

    authori

    Passaggio 15. In Profili, selezionare il profilo creato al punto 6, quindi scegliere Salva

    Ripetere i passaggi 14 e 15 per il gruppo FDM_ReadOnly

    authorization2

    Passaggio 16 (facoltativo).  Passare all'icona a tre righe nell'angolo superiore sinistro e selezionare Amministrazione > Sistema > Manutenzione > Repository e selezionare +Aggiungi per aggiungere un repository utilizzato per memorizzare il file di dump TCP per la risoluzione dei problemi.

    Passaggio 17 (facoltativo). Definire un nome repository, un protocollo, un nome server, un percorso e le credenziali. Al termine, selezionare Invia.

    backup

    Verifica

    Passaggio 1.Passare a Oggetti > scheda Origini identità e verificare la configurazione del server e del server RADIUS

    10img

    Passaggio 2. Selezionare Periferica > Impostazioni di sistema > Scheda Accesso gestione e selezionare il pulsante TEST

    8img

    Passaggio 3. Inserire le credenziali utente e selezionare il pulsante TEST

    9img

    Passaggio 4. Aprire una nuova finestra del browser e digitare https.//FDM_ip_Address, utilizzare il nome utente e la password fdm_admin creati nel passaggio 5 della sezione di configurazione ISE.

    FDMGUI

    È possibile verificare l'esito positivo del tentativo di accesso ai log live di ISE RADIUS

    Logs

    L'utente amministratore può anche essere rivisto su FDM nell'angolo superiore destro

    FDMG

    Cisco Firepower Device Manager CLI (utente amministratore)

    CLI1

    CLI2

    Risoluzione dei problemi

    Le informazioni contenute in questa sezione permettono di risolvere i problemi relativi alla configurazione.

    Convalida della comunicazione con lo strumento TCP Dump su ISE

    Passaggio 1. Effettuare il login ad ISE, selezionare l'icona a tre linee situata nell'angolo superiore sinistro, quindi selezionare Operations > Troubleshoot > Diagnostic Tools (Operazioni > Risoluzione dei problemi > Strumenti diagnostici).

    Passaggio 2. In Strumenti generali selezionare su Dump TCP e quindi fare clic su Aggiungi+. Selezionare Nome host, Nome file interfaccia di rete, Repository e, facoltativamente, un filtro per raccogliere solo il flusso di comunicazione dell'indirizzo IP di FDM. Selezionare Salva ed esegui

    TCP tump

    Passaggio 3. Accedere all'interfaccia utente di FDM e digitare le credenziali dell'amministratore.

    Passaggio 4. In ISE, selezionare il pulsante Stop e verificare che il file pcap sia stato inviato al repository definito. 

    TCP2

    TCP3

    TCP4

    Passaggio 5. Aprire il file pcap per verificare la corretta comunicazione tra FDM e ISE.

    pcap

    Se nel file pcap non sono visualizzate voci, convalidare le opzioni successive:

    1. L'indirizzo IP ISE destro è stato aggiunto alla configurazione FDM
    2. Se al centro si trova un firewall, verificare che la porta 1812-1813 sia autorizzata.
    3. Controllare la comunicazione tra ISE e FDM

    Convalida della comunicazione con il file generato da FDM.

    Nella pagina Risoluzione dei problemi relativi ai file generati dal dispositivo FDM cercare le parole chiave:

    • HelperAccessoPasswordFdm
    • NGFWDefaultUserMgmt
    • GestoreStatoOrigineAAAA
    • GestioneOriginiIdentitàRadius

    Tutti i log relativi a questa funzione sono disponibili in /var/log/cisco/ngfw-onbox.log

    Riferimenti:

    https://www.cisco.com/c/en/us/td/docs/security/firepower/640/fdm/fptd-fdm-config-guide-640/fptd-fdm-mgmt.html#id_73793

    Problemi comuni

    Caso 1 - Autenticazione esterna non funzionante

    • Verifica secretKey, port o hostname
    • Configurazione errata di AVP su RADIUS
    • Il server può trovarsi in un "tempo di inattività"

    Caso 2 - Test IdentitySource non riuscito

    • Assicurarsi che le modifiche apportate all'oggetto siano state salvate
    • Verificare che le credenziali siano corrette

    Limitazioni

    • FDM consente un massimo di 5 sessioni FDM attive.
    • La creazione dei risultati della 6a sessione nella 1a sessione è stata revocata
    • Il nome di RadiusIdentitySourceGroup non può essere "LocalIdentitySource"
    • Massimo 16 RadiusIdentitySources in un RadiusIdentitySourceGroup
    • Una configurazione errata degli AVP su RADIUS comporta il rifiuto dell'accesso a FDM

    Domande e risposte

    D: Questa funzione funziona in modalità di valutazione?

    R: Sì

    D: Se due utenti di sola lettura eseguono l'accesso, dove hanno accesso all'utente di sola lettura 1, e accedono da due browser diff.  Come si presenterà?  Cosa succederà?

    R: Le sessioni di entrambi gli utenti vengono visualizzate nella pagina Sessioni utente attive con lo stesso nome.  Ogni voce mostra un singolo valore per il timestamp.

    D: Qual è il comportamento del server RADIUS esterno in caso di rifiuto di accesso rispetto a "nessuna risposta" se l'autenticazione locale è stata configurata per il secondo?

    R: È possibile provare l'autenticazione LOCALE anche se si ottiene il rifiuto di Access o nessuna risposta se l'autenticazione locale è stata configurata per seconda.

    D. In che modo ISE differenzia una richiesta RADIUS per l'accesso amministratore da una richiesta RADIUS per l'autenticazione di un utente VPN RA

    R: ISE non distingue una richiesta RADIUS per gli utenti Admin da RAVPN. FDM analizza l'attributo cisco-avpair per stabilire come autorizzare l'accesso amministratore. ISE invia tutti gli attributi configurati per l'utente in entrambi i casi.

    D: Ciò significa che i log ISE non sono in grado di distinguere tra un accesso amministratore FDM e lo stesso utente che accede alla VPN ad accesso remoto sullo stesso dispositivo.  Esiste un attributo RADIUS passato ad ISE nella richiesta di accesso su cui ISE può scrivere la chiave?

    R: Di seguito sono riportati gli attributi RADIUS upstream inviati da FTD ad ISE durante l'autenticazione RADIUS per RAVPN. Questi non vengono inviati come parte della richiesta di accesso alla gestione dell'autenticazione esterna e possono essere utilizzati per differenziare un log di amministrazione FDM in rispetto al login utente RAVPN.

            146 - Nome gruppo tunnel o nome profilo connessione.

            150 - Tipo di client (valori applicabili: 2 = AnyConnect Client SSL VPN, 6 = AnyConnect Client IPsec VPN (IKEv2)).

            151 - Tipo di sessione (valori applicabili: 1 = AnyConnect Client, SSL VPN, 2 = AnyConnect Client, IPSec VPN (IKEv2).

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    07-Jul-2021
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Anita Pietrzyk
      Specialista del successo dei clienti
    • Emmanuel Cano
      Cisco Professional Services
    • Horacio Arroyo
      Cisco Professional Services

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci