Configureer FDM externe verificatie en autorisatie met ISE met RADIUS

Downloadopties

  • PDF     (2.9 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (2.8 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.6 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:8 juli 2021
Document-id:217234

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft de procedure om Cisco Firepower Device Manager (FDM) te integreren met Identity Services Engine (ISE) voor verificatie van beheerdergebruikers met RADIUS-protocol voor zowel GUI- als CLI-toegang.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Firepower Device Manager (FDM)
    • Identity Services Engine (ISE)
    • RADIUS-protocol

    Gebruikte componenten

     De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Firepower Threat Defense (FTD) apparaat, alle platforms Firepower Device Manager (FDM) versie 6.3.0+
    • ISE, versie 3.0

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Interoperabiliteit

    • RADIUS-server met gebruikers geconfigureerd met gebruikersrollen
    • Gebruikersrollen moeten op RADIUS-server met cisco-av-paar worden geconfigureerd
    • Cisco 8-av-paar = fdm.userrole.authority.admin
    • ISE kan als RADIUS-server worden gebruikt

    Licentie

    Geen specifieke vergunningsvereiste, is de basisvergunning voldoende

    Achtergrondinformatie

    Met deze functie kunnen klanten externe verificatie configureren met RADIUS en meerdere gebruikersrollen voor die gebruikers.

    RADIUS-ondersteuning voor Management Access met 3 systeemgedefinieerde gebruikersrollen:

    • ALLEEN READ_ONLY
    • READ_Write (kan geen systeemkritische acties uitvoeren zoals Upgrade, Herstel enz.)
    • BEHEERDER

    Er is de mogelijkheid om de configuratie van de RADIUS-server te testen en actieve gebruikerssessies te bewaken en een gebruikerssessie te verwijderen.

    De functie werd geïmplementeerd in FDM versie 6.3.0. Voorafgaand aan de 6.3.0 release had FDM slechts ondersteuning voor één gebruiker (admin).

    Standaard zal Cisco Firepower Device Manager gebruikers lokaal verifiëren en machtigen om een gecentraliseerde verificatie- en autorisatiemethode te hebben. U kunt Cisco Identity Service Engine via RADIUS-protocol gebruiken.

    Netwerkdiagram

    Het volgende beeld verstrekt een voorbeeld van een netwerktopologie

    FDM Diagram

    Proces:

    1. Beheerder introduceert de referenties.
    2. Verificatieproces geactiveerd en ISE valideert de referenties lokaal of via Active Directory.
    3. Zodra de verificatie succesvol is, stuurt ISE een Permit-pakket voor verificatie- en autorisatiegegevens naar FDM.
    4. De account wordt uitgevoerd op ISE en er gebeurt een succesvol live verificatielogboek.

    Configureren

    FDM-configuratie

    Stap 1. Inloggen in FDM en navigeren naar apparaat > Systeeminstellingen > tabblad Management Access

    1img

    Stap 2. Nieuwe RADIUS-servergroep maken

    2img

    Stap 3. Nieuwe RADIUS-server maken

    3img

    Screen Shot 2021-07-07 at 11.39.53

    Stap 4. RADIUS-server toevoegen aan de RADIUS-servergroep

    5img

    Stap 5. Geselecteerde groep als servergroep voor beheer selecteren

    6img

    fdm

    Stap 6. Sla de configuratie op

    7img

    ISE-configuratie

    Stap 1. Navigeren naar het pictogram met drie lijnenecanogut_0-1625675448492bevindt zich in de linkerbovenhoek en selecteer Beheer > Netwerkbronnen > Netwerkapparaten

    NDimg

    Stap 2. Selecteer de knop +Add en definieer de naam en het IP-adres van het netwerktoegangsapparaat, controleer vervolgens het selectievakje RADIUS en stel een gedeeld geheim in. Selecteer bij Verzenden

    ipaddress

    radius passwordNAD view

    Stap 3. Navigeren naar het pictogram met drie lijnenecanogut_1-1625676207352in de linkerbovenhoek en selecteer Beheer > Identity Management > Groepen

    Identity groups

    Stap 4. Selecteer Gebruikersidentiteitsgroepen en selecteer de knop +Add. Bepaal een naam en selecteer bij Verzenden

    fdmadmin

    UIG overview

    fdmread

    Opmerking: in dit voorbeeld, FDM_Admin en FDM_ReadOnly Identity groepen gemaakt, kunt u Stap 4 herhalen voor elk type Admin Gebruikers gebruikt op FDM.

    Stap 5. Navigeer naar het pictogram met drie lijnen linksboven en selecteer Beheer > Identity Management > Identities. Selecteer op +Add en definieer de gebruikersnaam en het wachtwoord en selecteer vervolgens de groep waartoe de gebruiker behoort. In dit voorbeeld, werden fdm_admin en fdm_readonly gebruikers gecreëerd en toegewezen aan respectievelijk FDM_Admin en FDM_ReadOnly groep.

    fdmauser

    fdmadmin2

    FDMoverview

    Stap 6. Selecteer het pictogram met drie regels linksboven en ga naar Policy > Policy Elements > Results > Authorisation > Authorisation Profiles, selecteer on +Add, definieer een naam voor het autorisatieprofiel. Selecteer Radius Service-type en selecteer Administratief, selecteer vervolgens Cisco-av-paar en plak de rol die de beheerder krijgt, in dit geval ontvangt de gebruiker een volledige admin-voorrecht (fdm.userrole.authority.admin). Selecteer bij Verzenden. Herhaal deze stap voor elke rol, alleen-lezen gebruiker die als een ander voorbeeld in dit document is geconfigureerd.

    authzprofile

    attributes

    attributes oper

    Opmerking: Zorg ervoor dat de volgorde van de sectie Geavanceerde eigenschappen gelijk is aan het voorbeeld van afbeeldingen om onverwachte resultaten te voorkomen bij inloggen met GUI en CLI.

    Stap 8. Selecteer het pictogram met drie lijnen en navigeer naar Policy > Policy Sets. Selecteren op ecanogut_3-1625677265767 de knop onder de titel Beleidssets, definieert een naam en selecteert u in het midden op de +-toets om een nieuwe voorwaarde toe te voegen.

    Stap 9. Selecteer onder het venster Voorwaarde de optie om een kenmerk toe te voegen en selecteer vervolgens het pictogram Netwerkapparaat gevolgd door het IP-adres van het Netwerktoegangsapparaat.  Selecteer Attribute Value en voeg het FDM IP-adres toe. Voeg een nieuwe voorwaarde toe en selecteer op Network Access gevolgd door de optie Protocol, selecteer op RADIUS en selecteer op Use once done.

    policy set

    Stap 10. Selecteer onder Protocollen toestaan de optie Standaard apparaatbeheer. Selecteer dit bij Opslaan

    default

    Stap 11. Selecteer dit met de juiste pijl ecanogut_4-1625677518377pictogram van het beleid dat is ingesteld om het verificatie- en autorisatiebeleid te definiëren

    Stap 12. Selecteren op ecanogut_5-1625677518378 onder de titel Verificatiebeleid, definieer een naam en selecteer + in het midden om een nieuwe voorwaarde toe te voegen. Selecteer onder het venster Voorwaarde de optie om een kenmerk toe te voegen en selecteer vervolgens het pictogram Netwerkapparaat gevolgd door het IP-adres van het netwerktoegangsapparaat.  Selecteer op Attribute Value en voeg het FDM IP-adres toe. Selecteer deze optie op Use once done

    Stap 13. Selecteer Interne Gebruikers als Identity Store en selecteer op Opslaan

    authe

    Opmerking: Identity Store kan worden gewijzigd in AD Store als ISE wordt aangesloten bij een Active Directory.

    Stap 14. Selecteren op ecanogut_6-1625677601286gevestigd onder de titel van het Beleid van de Vergunning, definieer een naam en selecteer op + in het midden om een nieuwe voorwaarde toe te voegen. Selecteer onder het venster Voorwaarde de optie om een kenmerk toe te voegen en selecteer vervolgens het pictogram Identity Group gevolgd door Internal User:Identity Group. Selecteer de FDM_Admin Group, selecteer de EN samen met NEW optie om een nieuwe voorwaarde toe te voegen, selecteer op poortpictogram gevolgd door RADIUS NAS-Port-Type:Virtual en selecteer op Use.

    authori

    Stap 15. Selecteer onder Profielen het profiel dat in Stap 6 is gemaakt en selecteer vervolgens Opslaan

    Herhaal stap 14 en 15 voor FDM_ReadOnly groep

    authorization2

    Stap 16 (optioneel).  Blader naar het pictogram met drie lijnen in de linkerbovenhoek en selecteer Beheer > Systeem > Onderhoud > Opslagplaats en selecteer op +Add om een opslagplaats toe te voegen die wordt gebruikt om TCP Dump-bestand op te slaan voor probleemoplossingsdoeleinden.

    Stap 17 (optioneel). Definieer een naam, protocol, servernaam, pad en referenties van de repository. Selecteer op Indienen als u klaar bent.

    backup

    Verifiëren

    Stap 1.Navigeer naar objecten > tabblad Identity Source en controleer de configuratie van RADIUS-server en -groepsserver

    10img

    Stap 2. Navigeer naar Apparaat > Systeeminstellingen > het tabblad Toegang beheren en selecteer de knop TEST

    8img

    Stap 3.Plaats gebruikersreferenties en selecteer de TEST-knop

    9img

    Stap 4. Open een nieuwe vensterbrowser en typ https.//FDM_ip_Address, gebruik fdm_admin gebruikersnaam en wachtwoord dat gecreëerd is in stap 5 onder de sectie ISE-configuratie.

    FDMGUI

    Succesvolle inlogpoging kan worden geverifieerd op de live-logs van ISE RADIUS

    Logs

    Admin User kan ook worden bekeken op FDM in de rechterbovenhoek

    FDMG

    Cisco Firepower Device Manager CLI (beheerder)

    CLI1

    CLI2

    Problemen oplossen

    Deze sectie verschaft de informatie die u kunt gebruiken om problemen met uw configuratie op te lossen.

    Communicatievalidatie met TCP Dump tool op ISE

    Stap 1. Log in op ISE en selecteer het pictogram met drie lijnen in de linkerbovenhoek en navigeer naar Operations > Probleemoplossing > Diagnostische tools.

    Stap 2. Selecteer onder Algemene gereedschappen de optie op TCP Dumps en selecteer vervolgens op Add+. Selecteer Hostname, Network Interface File Name, Repository en optioneel een filter om alleen FDM IP-adrescommunicatie stroom te verzamelen. Selecteer deze optie bij Opslaan en uitvoeren

    TCP tump

    Stap 3. Log in op FDM UI en typ de beheerdersreferenties.

    Stap 4. Selecteer op ISE de knop Stop en controleer of het pcap-bestand naar de gedefinieerde repository is verstuurd. 

    TCP2

    TCP3

    TCP4

    Stap 5. Open het pcap-bestand om de succesvolle communicatie tussen FDM en ISE te valideren.

    pcap

    Als er geen items worden weergegeven in het pcap-bestand, valideert u de volgende opties:

    1. Het juiste ISE-IP-adres is toegevoegd aan de FDM-configuratie
    2. Als een firewall zich in het midden bevindt, is de verify-poort 1812-1813 toegestaan.
    3. Controleer de communicatie tussen ISE en FDM

    Communicatievalidatie met FDM-gegenereerd bestand.

    In probleemoplossing bestand gegenereerd vanuit FDM Apparaatpagina zoekt u naar trefwoorden:

    • FDMPasswordLoginHelper
    • Standaard NGFW-gebruikersbeheer
    • AAIdentitySourceStatusManager
    • RadiusIdentitySource Manager

    Alle logbestanden die betrekking hebben op deze functie zijn te vinden op /var/log/cisco/ngfw-onbox.log

    Referenties:

    https://www.cisco.com/c/en/us/td/docs/security/firepower/640/fdm/fptd-fdm-config-guide-640/fptd-fdm-mgmt.html#id_73793

    Veelvoorkomende problemen

    Zaak 1 - Externe Autoriteit werkt niet

    • Controleer de geheime sleutel, poort of hostnaam
    • Misconfiguratie van AVP's op RADIUS
    • De server kan zich in 'Dead Time' bevinden

    Case 2 - Test IdentitySource mislukt

    • Zorg ervoor dat de wijzigingen in het object zijn opgeslagen
    • Controleer of de referenties correct zijn

    Beperkingen

    • FDM staat maximaal 5 actieve FDM-sessies toe.
    • Verwezenlijking van de resultaten van de 6e sessie in de 1e herroepen sessie
    • De naam van RadiusIdentitySourceGroup kan niet "LocalIdentitySource" zijn
    • Max. aantal 16 RadiusIdentitySources voor een RadiusIdentitySourceGroup
    • Misconfiguratie van AVP's op RADIUS leidt tot ontzegging van toegang tot FDM

    Vraag en antwoord

    V: Werkt deze functie in evaluatiemodus?

    A: Ja

    Q: Als twee alleen-lezen gebruikers inloggen, waar hebben toegang tot alleen-lezen gebruiker 1, en ze inloggen van twee verschillende browsers.  Hoe zal het uitwijzen?  Wat zal er gebeuren?

    A: Beide gebruikerssessies worden weergegeven op de pagina met actieve gebruikerssessies met dezelfde naam.  Elke ingang toont een individuele waarde voor de tijdzegel.

    V: Wat is het gedrag is de externe radius server biedt een toegangsweigering vs. "geen reactie" als u lokale auth ingesteld 2nd?

    A: U kunt lokale auth proberen, zelfs als u toegang geweigerd of geen reactie krijgt als u lokale auth ingesteld 2nd.

    V: Hoe ISE een RADIUS-verzoek voor admin-aanmelding onderscheidt van een RADIUS-verzoek om een RA VPN-gebruiker te authenticeren

    A: ISE maakt geen onderscheid tussen een RADIUS-verzoek voor Admin vs RAVPN-gebruikers. FDM bekijkt de cisco-avpair attributen om te bepalen hoe u autorisatie kunt verkrijgen voor beheerderstoegang. ISE stuurt alle eigenschappen die voor de gebruiker zijn geconfigureerd in beide gevallen.

    Q: Dat betekent de logboeken van ISE niet in staat is om tussen een FDM admin login en dat zelfde gebruiker te onderscheiden die tot verre toegang VPN op zelfde apparaat toegang hebben.  Is er een RADIUS-kenmerk dat aan ISE wordt doorgegeven in het toegangsverzoek waarop ISE kan intoetsen?

    A: Hieronder staan de stroomopwaartse RADIUS-kenmerken die tijdens RADIUS-verificatie voor RAVPN van de FTD naar ISE worden verzonden. Deze worden niet verzonden als deel van Externe Autorisatie Management Access Aanvraag en kunnen worden gebruikt om een FDM-beheerlog in Vs RAVPN-gebruikersaanmelding te onderscheiden.

            146 - Tunnel Group Name of Connection Profile Name.

            150 - Clienttype (toepasselijke waarden: 2 = AnyConnect Client SSL VPN, 6 = AnyConnect Client IPsec VPN (IKEv2).

            151 - Sessietype (toepasselijke waarden: 1 = AnyConnect Client SSL VPN, 2 = AnyConnect Client IPSec VPN (IKEv2).

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    07-Jul-2021
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Anita Pietrzyk
      Customer Success Specialist
    • Emmanuel Cano
      Cisco Professional-services
    • Horacio Arroyo
      Cisco Professional-services

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco