RADIUS를 사용하여 ISE와 FDM 외부 인증 및 권한 부여 구성

다운로드 옵션

  • PDF     (3.0 MB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (2.8 MB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (1.6 MB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2021년 7월 8일
문서 ID:217234

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개

    이 문서에서는 GUI 및 CLI 액세스 모두에 대해 RADIUS 프로토콜을 사용하여 관리자 사용자 인증을 위해 Cisco Firepower Device Manager(FDM)를 ISE(Identity Services Engine)와 통합하는 절차에 대해 설명합니다.

    사전 요구 사항

    요구 사항

    다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

    • Firepower 디바이스 관리자(FDM)
    • Identity Services Engine(ISE)
    • RADIUS 프로토콜

    사용되는 구성 요소

     이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

    • FTD(Firepower Threat Defense) 디바이스, 모든 플랫폼 FDM(Firepower Device Manager) 버전 6.3.0+
    • ISE 버전 3.0

    이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

    상호운용성

    • 사용자 역할로 구성된 사용자가 있는 RADIUS 서버
    • 사용자 역할은 cisco-av-pair를 사용하여 RADIUS 서버에서 구성해야 합니다.
    • Cisco av 쌍 = fdm.userrole.authority.admin
    • ISE는 RADIUS 서버로 사용 할 수 있습니다

    라이센싱

    특정 라이센스 요구 사항이 없습니다. 기본 라이센스면 충분합니다.

    배경 정보

    이 기능을 통해 고객은 RADIUS를 통한 외부 인증 및 해당 사용자에 대한 여러 사용자 역할을 구성할 수 있습니다.

    3가지 시스템 정의 사용자 역할로 관리 액세스에 대한 RADIUS 지원:

    • 읽기 전용(_O)
    • READ_WRITE(업그레이드, 복원 등과 같은 시스템 중요 작업을 수행할 수 없음)
    • 관리자

    RADIUS 서버의 컨피그레이션을 테스트하고 활성 사용자 세션을 모니터링하고 사용자 세션을 삭제할 수 있는 기능이 있습니다.

    이 기능은 FDM 버전 6.3.0에서 구현되었습니다. 6.3.0 릴리스 이전에는 FDM에서 한 사용자(admin)만 지원했습니다.

    기본적으로 Cisco Firepower Device Manager는 RADIUS 프로토콜을 통해 Cisco Identity Service Engine을 사용할 수 있는 중앙 집중식 인증 및 권한 부여 방법을 갖기 위해 사용자를 로컬에서 인증하고 권한을 부여합니다.

    네트워크 다이어그램

    다음 이미지는 네트워크 토폴로지의 예를 제공합니다

    FDM Diagram

    프로세스:

    1. 관리자 사용자가 자격 증명을 도입합니다.
    2. 인증 프로세스가 트리거되고 ISE가 로컬 또는 Active Directory를 통해 자격 증명을 검증합니다.
    3. 인증이 성공하면 ISE는 인증 및 권한 부여 정보에 대한 허용 패킷을 FDM으로 전송합니다.
    4. 어카운트가 ISE에서 수행되고 성공적인 인증 라이브 로그가 발생합니다.

    구성

    FDM 구성

    1단계. FDM에 로그인하고 [장치] > [시스템 설정] > [관리 액세스] 탭으로 이동합니다

    1img

    2단계. 새 RADIUS 서버 그룹 생성

    2img

    3단계. 새 RADIUS 서버 생성

    3img

    Screen Shot 2021-07-07 at 11.39.53

    4단계. RADIUS 서버 그룹에 RADIUS 서버 추가

    5img

    5단계. 만든 그룹을 관리에 대한 서버 그룹으로 선택

    6img

    fdm

    6단계. 설정 저장

    7img

    ISE 구성

    1단계. 세 개의 라인으로 이동 아이콘ecanogut_0-1625675448492왼쪽 상단 모서리에 있으며 Administration(관리) > Network Resources(네트워크 리소스) > Network Devices(네트워크 디바이스)에서 선택합니다.

    NDimg

    2단계. +Add(추가) 버튼을 선택하고 Network Access Device Name(네트워크 액세스 디바이스 이름) 및 IPAddress(IPA 주소)를 정의한 다음 RADIUS 확인란을 선택하고 공유 암호를 정의합니다. 전송 시 선택

    ipaddress

    radius passwordNAD view

    3단계. 세 개의 라인으로 이동 아이콘ecanogut_1-1625676207352왼쪽 상단에 있으며 Administration(관리) > Identity Management(ID 관리) > Groups(그룹)를 선택합니다.

    Identity groups

    4단계. User Identity Groups(사용자 ID 그룹)를 선택하고 +Add(추가) 버튼을 선택합니다. 이름을 정의하고 Submit(제출)을 선택합니다.

    fdmadmin

    UIG overview

    fdmread

    참고: 이 예에서는 FDM_Admin 및 FDM_ReadOnly ID 그룹이 생성되었으므로 FDM에서 사용되는 각 관리자 사용자 유형에 대해 4단계를 반복할 수 있습니다.

    5단계. 왼쪽 상단 모서리에 있는 세 개의 라인 아이콘으로 이동하고 Administration(관리) > Identity Management(ID 관리) > Identities(ID)를 선택합니다. +Add(추가)에서 선택하고 사용자 이름과 비밀번호를 정의한 다음 사용자가 속한 그룹을 선택합니다. 이 예에서는 fdm_admin 및 fdm_readonly 사용자가 생성되어 각각 FDM_Admin 및 FDM_ReadOnly 그룹에 할당되었습니다.

    fdmauser

    fdmadmin2

    FDMoverview

    6단계. 왼쪽 상단에 있는 세 개의 라인 아이콘을 선택하고 Policy > Policy Elements > Results > Authorization > Authorization Profiles로 이동하여 +Add에서 선택하고 Authorization Profile의 이름을 정의합니다. Radius Service-type을 선택하고 Administrative를 선택한 다음 Cisco av-pair를 선택하고 admin 사용자가 가져오는 역할을 붙여넣습니다. 이 경우 사용자가 전체 관리 권한(fdm.userrole.authority.admin)을 수신합니다. Submit(제출)에서 선택합니다. 이 문서의 다른 예로 구성된 읽기 전용 사용자인 각 역할에 대해 이 단계를 반복합니다.

    authzprofile

    attributes

    attributes oper

    참고: GUI 및 CLI로 로그인할 때 예기치 않은 결과가 발생하지 않도록 Advance attributes 섹션의 순서가 이미지 예와 같은지 확인합니다.

    8단계. 3개의 라인 아이콘을 선택하고 Policy(정책) > Policy Sets(정책 집합)로 이동합니다. 선택 ecanogut_3-1625677265767 Policy Sets(정책 세트) 제목 아래에 있는 버튼을 새 조건을 추가하려면 이름을 정의하고 중간에 있는 + 버튼을 선택합니다.

    9단계. Condition(조건) 창에서 특성을 추가하도록 선택한 다음 Network Device Icon(네트워크 디바이스 아이콘) 및 Network access device IP address(네트워크 액세스 디바이스 IP 주소)를 차례로 선택합니다.  속성 값을 선택하고 FDM IP 주소를 추가합니다. 새 조건을 추가하고 Network Access(네트워크 액세스)를 선택한 다음 Protocol(프로토콜) 옵션을 선택하고 RADIUS에서 선택한 다음 Use on Use(사용)를 선택합니다.

    policy set

    10단계. Allow protocols(프로토콜 허용) 섹션에서 Device Default Admin(디바이스 기본 관리)을 선택합니다. 저장 시 선택

    default

    11단계. 오른쪽 화살표에서 선택 ecanogut_4-1625677518377인증 및 권한 부여 정책 정의로 설정된 정책의 아이콘

    12단계. 선택 ecanogut_5-1625677518378 Authentication Policy(인증 정책) 제목 아래에 있는 이름을 정의하고 중간에 있는 +를 선택하여 새 조건을 추가합니다. Condition(조건) 창에서 특성을 추가하도록 선택한 다음 Network Device Icon(네트워크 디바이스 아이콘) 및 Network access device IP address(네트워크 액세스 디바이스 IP 주소)를 차례로 선택합니다.  [속성 값]을 선택하고 FDM IP 주소를 추가합니다. 한 번 사용 완료 시 선택

    13단계. Internal Users(내부 사용자)를 ID 저장소로 선택하고 다음을 선택합니다. 저장

    authe

    참고: ISE가 Active Directory에 조인된 경우 ID 저장소를 AD 저장소로 변경할 수 있습니다.

    14단계. 선택 ecanogut_6-1625677601286Authorization Policy(권한 부여 정책) 제목 아래에 있는 이름을 정의하고 중간에 있는 +를 선택하여 새 조건을 추가합니다. Condition(조건) 창에서 특성을 추가하도록 선택한 다음 Identity Group(ID 그룹) 아이콘에서 Internal User:Identity Group(내부 사용자:ID 그룹)을 선택합니다. FDM_Admin 그룹을 선택하고 ANDNEW 옵션과 함께 선택하여 새 조건을 추가합니다. 그러면 포트 아이콘에서 선택한 다음 RADIUS NAS-Port-Type:Virtual을 선택하고 사용 시를 선택합니다.

    authori

    15단계. Profiles(프로파일)에서 6단계에서 생성한 프로파일을 선택한 다음 Save(저장)를 선택합니다

    FDM_ReadOnly 그룹에 대해 14단계와 15단계를 반복합니다

    authorization2

    16단계(선택 사항)  왼쪽 상단 모서리에 있는 세 개의 라인 아이콘으로 이동하여 Administration > System > Maintenance > Repository를 선택하고 +Add를 선택하여 문제 해결을 위해 TCP 덤프 파일을 저장하는 데 사용되는 리포지토리를 추가합니다.

    17단계(선택 사항) 저장소 이름, 프로토콜, 서버 이름, 경로 및 자격 증명을 정의합니다. 완료되면 Submit(제출)을 선택합니다.

    backup

    다음을 확인합니다.

    1단계.Objects(개체) > Identity Sources(ID 소스) 탭으로 이동하여 RADIUS Server and Group Server(RADIUS 서버 및 그룹 서버) 컨피그레이션을 확인합니다

    10img

    2단계. Device(디바이스) > System Settings(시스템 설정) > Management Access(관리 액세스) 탭으로 이동하고 TEST(테스트) 버튼을 선택합니다

    8img

    3단계.사용자 자격 증명을 삽입하고 TEST(테스트) 버튼을 선택합니다

    9img

    4단계. 새 창 브라우저를 열고 https를 입력합니다.//FDM_ip_Address, ISE 구성 섹션의 5단계에서 생성한 fdm_admin 사용자 이름 및 비밀번호를 사용합니다.

    FDMGUI

    성공적인 로그인 시도는 ISE RADIUS 라이브 로그에서 확인할 수 있습니다.

    Logs

    관리자 사용자는 오른쪽 위 모서리에 있는 FDM에서도 검토할 수 있습니다

    FDMG

    Cisco Firepower Device Manager CLI(관리자)

    CLI1

    CLI2

    문제 해결

    이 섹션에서는 컨피그레이션 트러블슈팅에 사용할 수 있는 정보를 제공합니다.

    ISE의 TCP 덤프 도구와의 통신 검증

    1단계. ISE에 로그인하고 왼쪽 상단 모서리에 있는 세 개의 회선 아이콘을 선택하고 Operations(운영) > Troubleshoot(문제 해결) > Diagnostic Tools(진단 도구)로 이동합니다.

    2단계. General tools(일반 도구)에서 on TCP Dumps(TCP 덤프)를 선택한 다음 Add+(추가+)를 선택합니다. 호스트 이름, 네트워크 인터페이스 파일 이름, 리포지토리 및 선택적으로 필터를 선택하여 FDM IP 주소 통신 흐름만 수집합니다. 저장 및 실행 시 선택

    TCP tump

    3단계. FDM UI에 로그인하고 관리자 자격 증명을 입력합니다.

    4단계. ISE에서 Stop(중지) 버튼을 선택하고 pcap 파일이 정의된 저장소로 전송되었는지 확인합니다. 

    TCP2

    TCP3

    TCP4

    5단계. pcap 파일을 열어 FDM과 ISE 간의 성공적인 통신을 검증합니다.

    pcap

    pcap 파일에 항목이 표시되지 않으면 다음 옵션을 확인합니다.

    1. 올바른 ISE IP 주소가 FDM 구성에 추가되었습니다.
    2. 방화벽이 중간 검증 포트 1812-1813에 있는 경우 허용됩니다.
    3. ISE와 FDM 간의 통신 확인

    FDM 생성 파일과의 통신 검증

    FDM 장치 페이지에서 생성된 파일 문제 해결에서 키워드를 찾습니다.

    • FdmPasswordLoginHelper
    • NGFWD기본UserMgmt
    • AAAIdentitySourceStatusManager
    • RadiusIdentitySourceManager

    이 기능과 관련된 모든 로그는 /var/log/cisco/ngfw-onbox.log에서 확인할 수 있습니다.

    참조:

    https://www.cisco.com/c/en/us/td/docs/security/firepower/640/fdm/fptd-fdm-config-guide-640/fptd-fdm-mgmt.html#id_73793

    일반적인 문제

    사례 1 - 외부 인증이 작동하지 않음

    • SecretKey, port 또는 hostname 확인
    • RADIUS에서 AVP의 잘못된 컨피그레이션
    • 서버는 'Dead Time'에 있을 수 있습니다.

    사례 2 - IdentitySource 테스트 실패

    • 객체에 대한 변경 사항이 저장되었는지 확인합니다.
    • 자격 증명이 올바른지 확인하십시오.

    제한 사항

    • FDM은 최대 5개의 활성 FDM 세션을 허용합니다.
    • 6번째 세션을 생성하면 1번째 세션이 취소됩니다.
    • RadiusIdentitySourceGroup 이름은 "LocalIdentitySource"일 수 없습니다.
    • RadiusIdentitySourceGroup에 대한 RadiusIdentitySources 최대 16개
    • RADIUS에서 AVP를 잘못 구성하면 FDM에 대한 액세스가 거부됩니다

    질문과 대답

    Q: 이 기능은 평가 모드에서 작동합니까?

    A: 예

    Q: 두 명의 읽기 전용 사용자가 로그인하고 여기서 읽기 전용 사용자 1에 액세스할 수 있으며 두 개의 서로 다른 브라우저에서 로그인합니다.  어떻게 나오나요?  무슨 일이 일어날까요?

    A: 두 사용자의 세션이 모두 활성 사용자 세션 페이지에 같은 이름으로 표시됩니다.  각 항목은 타임스탬프에 대한 개별 값을 표시합니다.

    Q: 외부 radius 서버가 액세스 거부를 제공하는 경우와 두 번째로 구성된 로컬 인증이 있는 경우 "응답 없음"

    A: 두 번째로 구성된 로컬 인증이 있는 경우 액세스 거부가 발생하거나 응답이 없는 경우에도 LOCAL 인증을 시도할 수 있습니다.

    Q: ISE에서 관리자 로그인에 대한 RADIUS 요청과 RADIUS 요청을 구별하여 RA VPN 사용자를 인증하는 방법

    A: ISE는 관리자 및 RAVPN 사용자에 대한 RADIUS 요청을 구분하지 않습니다. FDM은 cisco-avpair 특성을 확인하여 관리자 액세스에 대한 권한 부여를 확인합니다. ISE는 두 경우 모두에서 사용자에 대해 구성된 모든 특성을 전송합니다.

    Q: ISE 로그는 FDM 관리자 로그인과 동일한 사용자가 동일한 디바이스에서 원격 액세스 VPN에 액세스하는 것을 구분할 수 없습니다.  ISE가 키할 수 있는 액세스 요청에서 ISE에 전달된 RADIUS 특성이 있습니까?

    A: 다음은 RAVPN에 대한 RADIUS 인증 중에 FTD에서 ISE로 전송되는 업스트림 RADIUS 특성입니다. 이러한 항목은 외부 인증 관리 액세스 요청의 일부로 전송되지 않으며 FDM 관리 로그인과 RAVPN 사용자 로그인을 구분하는 데 사용할 수 있습니다.

            146 - 터널 그룹 이름 또는 연결 프로파일 이름

            150 - 클라이언트 유형(적용 가능한 값: 2 = AnyConnect 클라이언트 SSL VPN, 6 = AnyConnect 클라이언트 IPsec VPN(IKEv2))

            151 - 세션 유형(적용 가능한 값: 1 = AnyConnect 클라이언트 SSL VPN, 2 = AnyConnect 클라이언트 IPSec VPN(IKEv2)

    개정 이력

    개정 게시 날짜 의견
    1.0
    07-Jul-2021
    최초 릴리스
    TAC Authored

    Cisco 엔지니어가 작성

    • Anita Pietrzyk
      고객 성공 전문가
    • Emmanuel Cano
      Cisco 전문 서비스
    • Horacio Arroyo
      Cisco 전문 서비스

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의