RADIUSを使用したISEでのFDM外部認証および認可の設定

概要

このドキュメントでは、GUIとCLIの両方のアクセスのために、Cisco Firepower Device Manager(FDM)を管理者ユーザ認証のIdentity Services Engine(ISE)とRADIUSプロトコルに統合する手順について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• Firepower Device Manager(FDM)
• Identity Services Engine（ISE）
• RADIUS プロトコル

使用するコンポーネント

 このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• Firepower Threat Defense(FTD)デバイス、すべてのプラットフォームFirepower Device Manager(FDM)バージョン6.3.0+
• ISE バージョン 3.0

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

相互運用性

• ユーザロールが設定されたユーザを持つRADIUSサーバ
• ユーザロールは、cisco-av-pairを使用してRADIUSサーバ上で設定する必要があります
• Cisco-av-pair = fdm.userrole.authority.admin
• ISEはRADIUSサーバとして使用可能

ライセンス

特定のライセンス要件はありません。基本ライセンスで十分です

背景説明

この機能を使用すると、RADIUSを使用して外部認証を設定し、それらのユーザに対して複数のユーザロールを設定できます。

3つのシステム定義ユーザロールによる管理アクセスのRADIUSサポート：

• 読み取り専用
• READ_WRITE（アップグレード、リストアなどのシステム・クリティカルなアクションを実行できない）
• ADMIN

RADIUSサーバの設定をテストし、アクティブなユーザセッションを監視してユーザセッションを削除する機能があります。

この機能は、FDMバージョン6.3.0で実装されました。6.3.0より前のリリースでは、FDMは1人のユーザー(admin)のみをサポートしていました。

デフォルトでは、Cisco Firepower Device Manager(FDM)はローカルでユーザを認証および許可します。RADIUSプロトコルを介してCisco Identity Service Engineを使用できる中央集中型の認証および許可方式が必要です。

ネットワーク図

次の図は、ネットワークトポロジの例を示しています

プロセス：

1. 管理者ユーザがクレデンシャルを入力します。
2. 認証プロセスがトリガーされ、ISEがクレデンシャルをローカルまたはActive Directory経由で検証します。
3. 認証が成功すると、ISEは認証および許可情報の許可パケットをFDMに送信します。
4. アカウントはISEで実行され、認証の成功のライブログが発生します。

設定

FDM による構成

ステップ 1：FDMにログインし、「デバイス」>「システム設定」>「管理アクセス」タブに移動します

ステップ 2：新しいRADIUSサーバグループの作成

ステップ 3：新しいRADIUSサーバの作成

ステップ 4：RADIUSサーバグループへのRADIUSサーバの追加

ステップ 5：作成したグループを[Server Group for Management]として選択します

手順 6：設定の保存

ISE の設定

ステップ 1：3行アイコンに移動左上隅にある[Administration] > [Network Resources] > [Network Devices] を選択します。

ステップ 2：+Addボタンを選択し、Network Access Device Name（NAD；ネットワークアクセスデバイス名）とIPアドレスを定義し、次にRADIUSチェックボックスをオンにして、共有秘密を定義します。送信時に選択

ステップ 3：3行アイコンに移動左上隅にある[Administration] > [Identity Management] > [Groups]を選択します。

ステップ 4：[User Identity Groups]を選択し、[on +Add] ボタンを選択します。名前を定義し、[Submit]を選択します。

注意：この例では、FDM_AdminおよびFDM_ReadOnlyのIDグループが作成されています。FDMで使用される管理者ユーザーのタイプごとに手順4を繰り返すことができます。

ステップ 5：左上隅にある3行アイコンに移動し、[Administration] > [Identity Management] > [Identities] を選択します。+Addを選択してユーザ名とパスワードを定義し、ユーザが属するグループを選択します。この例では、fdm_adminおよびfdm_readonlyユーザーが作成され、それぞれFDM_AdminおよびFDM_ReadOnlyグループに割り当てられています。

手順 6：左上隅にある3行のアイコンを選択し、[Policy] > [Policy Elements] > [Results] > [Authorization] > [Authorization Profiles] に移動し、[on] +[Add] を選択して、認可プロファイルの名前を定義します。Radius Service-typeを選択し、Administrativeを選択してからCisco-av-pairを選択し、adminユーザが取得するロールを貼り付けます。この場合、ユーザは完全なadmin権限(fdm.userrole.authority.admin)を受け取ります。[Submit] を選択します。このドキュメントの別の例として設定されている読み取り専用ユーザのロールごとに、この手順を繰り返します。

注：GUIおよびCLIでログインする際に予期しない結果が生じるのを防ぐため、高度な属性のセクションの順序は、イメージの例と同じにしてください。

ステップ 8：3行アイコンを選択し、[Policy] > [Policy Sets] に移動します。オンを選択 [Policy Sets]タイトルの下にあるボタンで名前を定義し、中央にある[+] ボタンを選択して新しい条件を追加します。

ステップ 9：[Condition]ウィンドウで、属性を選択して追加し、[Network Device] アイコンを選択してから、[Network access device IP address]を選択します。  [Attribute Value] を選択し、FDMのIPアドレスを追加します。新しい条件を追加し、[Network Access] を選択してから[Protocol]オプションを選択し、[on RADIUS] を選択して、[Use once done]を選択します。

ステップ 10：[allow protocols]セクションで、[Device Default Admin] を選択します。保存時に選択

ステップ 11右矢印を選択します。 認証および認可ポリシーを定義するポリシーセットのアイコン

ステップ 12オンを選択 [Authentication Policy title]の下にある名前を定義し、中央の[+]を選択して新しい条件を追加します。[Condition]ウィンドウで、属性を選択して追加し、[Network Device] アイコンを選択してから、[Network access device IP address]を選択します。  [Attribute Value] を選択し、FDMのIPアドレスを追加します。[Use once done] を選択します。

ステップ 13[Identity Store]として[Internal Users] を選択し、[on]を選択します。 保存します。

注:ISEがActive Directoryに参加している場合は、IDストアをADストアに変更できます。

ステップ 14：オンを選択 [Authorization Policy title]の下にある名前を定義し、中央の[+]を選択して新しい条件を追加します。[Condition]ウィンドウで、属性を選択して追加し、[Identity Group] アイコンを選択してから、[Internal User:Identity Group] を選択します。FDM_Adminグループを選択し、「AND」オプションと「NEW」オプションを選択して新しい条件を追加し、「on port」アイコンを選択してから「RADIUS NAS-Port-Type:Virtual」を選択して「on Use」を選択します。

ステップ 15：[Profiles]で、ステップ6で作成したプロファイルを選択し、[Save] を選択します

FDM_ReadOnlyグループに対してステップ14と15を繰り返します

ステップ 16（オプション）：  左上隅にある3行のアイコンに移動し、[Administration] > [System] > [Maintenance] > [Repository] を選択し、[on +Add] を選択して、トラブルシューティング用にTCPダンプファイルの保存に使用するリポジトリを追加します。

ステップ 17（オプション）：リポジトリ名、プロトコル、サーバ名、パス、およびクレデンシャルを定義します。[Submit] を選択します。

確認

ステップ1:[Objects] > [Identity Sources]タブに移動し、RADIUSサーバとグループサーバの設定を確認します。

ステップ 2：[Device] > [System Settings] > [Management Access] タブに移動し、[TEST] ボタンを選択します

ステップ3：ユーザクレデンシャルを挿入し、[TEST] ボタンを選択します

ステップ 4：新しいウィンドウ・ブラウザを開き、https.//FDM_ip_Addressと入力し、手順5のISE構成セクションで作成したfdm_adminユーザー名とパスワードを使用します。

ログインの成功は、ISE RADIUSライブログで確認できます

管理者ユーザーは、右上隅のFDMでも確認できます

Cisco Firepower Device Manager(FDM)CLI（管理ユーザ）

トラブルシュート

このセクションでは、設定のトラブルシューティングに役立つ情報を説明します。

ISEのTCPダンプツールによる通信検証

ステップ 1：ISEにログインし、左上隅にある3行のアイコンを選択して、[Operations] > [Troubleshoot] > [Diagnostic Tools] に移動します。

ステップ 2：[General tools]で[on TCP Dumps]を選択し、次に[Add+] を選択します。「ホスト名」、「ネットワーク・インタフェース・ファイル名」、「リポジトリ」、およびオプションでFDM IPアドレス通信フローのみを収集するフィルタを選択します。[Save and Run] を選択します。

ステップ 3：FDM UIにログインし、管理者のログイン情報を入力します。

ステップ 4：ISEで[Stop] ボタンを選択し、pcapファイルが定義されたリポジトリに送信されたことを確認します。 

ステップ 5：pcapファイルを開き、FDMとISE間の正常な通信を検証します。

pcapファイルにエントリが表示されない場合は、次のオプションを検証します。

1. 右ISE IPアドレスがFDM構成に追加されました
2. ファイアウォールが中央にある場合は、ポート1812-1813が許可されていることを確認します。
3. ISEとFDM間の通信を確認します。

FDMで生成されたファイルとの通信検証。

FDMデバイス・ページから生成されたトラブルシューティング・ファイルで、キーワードを探します：

• FdmPasswordLoginHelper
• NGFWDefaultUserMgmt
• AAAIdentitySourceStatusManager
• RadiusIdentitySource Manager

この機能に関連するすべてのログは、/var/log/cisco/ngfw-onbox.logにあります。

参照:

https://www.cisco.com/c/en/us/td/docs/security/firepower/640/fdm/fptd-fdm-config-guide-640/fptd-fdm-mgmt.html#id_73793

一般的な問題

ケース1：外部認証が機能していない

• secretKey、port、またはhostnameを確認します。
• RADIUSでのAVPの設定ミス
• サーバが「デッドタイム」状態になる可能性がある

ケース2:Test IdentitySource fails

• オブジェクトへの変更が保存されていることを確認します
• クレデンシャルが正しいことを確認します

制限

• FDMでは、最大5つのアクティブなFDMセッションが可能です。
• 6番目のセッションを作成すると、1番目のセッションが取り消されます
• RadiusIdentitySourceGroupの名前を"LocalIdentitySource"にすることはできません
• 1つのRadiusIdentitySourceGroupに対して最大16個のRadiusIdentitySources
• RADIUSでのAVPの設定ミスにより、FDMへのアクセスが拒否される

Q&A

Q：この機能は評価モードで動作しますか。

A：はい

Q: 2人の読み取り専用ユーザがログインした場合、では読み取り専用ユーザ1にアクセスでき、2つの異なるブラウザからログインします。  どう見える？  何が起こるか。

A：両方のユーザーのセッションが、アクティブユーザーセッションページに同じ名前で表示されます。  各エントリには、タイムスタンプの個々の値が表示されます。

Q：外部RADIUSサーバがアクセス拒否を提供するのに対し、2番目にローカル認証が設定されている場合、「応答なし」ですか。

A:2番目にローカル認証を設定している場合は、アクセス拒否または応答がない場合でも、ローカル認証を試すことができます。

Q:ISEがRA VPNユーザを認証するための管理者ログインのRADIUS要求とRADIUS要求を区別する方法

A:ISEでは、AdminユーザとRAVPNユーザのRADIUS要求は区別されません。FDMはcisco-avpair属性を参照して、Adminアクセスの許可を決定します。どちらの場合も、ISEはユーザ用に設定されたすべての属性を送信します。

Q：つまり、ISEログでは、FDM管理者ログインと、同じデバイス上のリモートアクセスVPNにアクセスしている同じユーザを区別できません。  ISEがキーを設定できるアクセス要求でISEに渡されるRADIUS属性はありますか。

A：次に、RAVPNのRADIUS認証中にFTDからISEに送信されるアップストリームRADIUS属性を示します。これらは外部認証管理アクセス要求の一部として送信されず、FDM管理ログインとRAVPNユーザー・ログインを区別するために使用できます。

        146：トンネルグループ名または接続プロファイル名。

        150:Client Type(Applicable values: 2 = AnyConnect Client SSL VPN、6 = AnyConnect Client IPsec VPN(IKEv2)。

        151:Session Type(適用可能な値：1 = AnyConnect Client SSL VPN、2 = AnyConnect Client IPSec VPN(IKEv2)。