Introdução
Este documento descreve o processo de como configurar o acesso de Autorização/Autenticação Radius para o Secure Firewall Cluster Manager com ISE.
Pré-requisitos
Requisitos
A Cisco recomenda ter conhecimento dos seguintes tópicos:
- Gerenciador de chassi de firewall seguro (FCM)
- Cisco Identity Services Engine (ISE)
- Autenticação RADIUS
Componentes Utilizados
- Dispositivo de segurança Cisco Firepower 4110 FXOS v2.12
- Cisco Identity Services Engine (ISE) v3.2 patch 4
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Configurar
Configurações
Gerenciador de chassi de firewall seguro
Etapa 1. Faça login na GUI do Firepower Chassis Manager.
Etapa 2. Navegue até Configurações da plataforma
![Captura de tela 2024-02-01 às 16.28.18](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-00.png)
Etapa 3. No menu esquerdo, clique sobre AAA. Selecione Radius e Adicionar um novo provedor RADIUS.
![Captura de tela 2024-02-01 às 16h30.28](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-01.png)
Etapa 4. Preencha o menu do prompt com as informações solicitadas do provedor Radius. Click OK.
![Captura de tela 2024-02-01 às 16h41,17.](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-02.png)
Etapa 5. Navegue até Sistema > Gerenciamento de usuários
![Captura de tela 2024-02-01 às 16h46,57.](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-03.png)
Etapa 6. Clique na guia Settings (Configurações) e defina Default Authentication (Autenticação padrão) no menu suspenso para Radius; em seguida, role para baixo e salve a configuração.
![Captura de tela 2024-02-01 às 16.52.58.](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-04.png)
Observação: a configuração do FCM foi concluída neste ponto.
Identity Service Engine
Etapa 1. Adicione um novo dispositivo de rede.
Navegue até o ícone de hambúrguer ≡ localizado no canto superior esquerdo > Administração > Recursos de rede > Dispositivos de rede > +Adicionar.
![Captura de tela 2024-02-01 às 17h04](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-05.png)
Etapa 2. Preencha os parâmetros solicitados sobre as novas informações de dispositivos de rede.
2.1 Marque a caixa de seleção RADIUS
2.2 Configure a mesma chave secreta compartilhada que consta na configuração FCM Radius.
2.1 Role para baixo e clique em Submit (Enviar).
![Captura de tela 2024-02-01 às 17h13.](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-06.png)
Etapa 3. A opção Validate the new device (Validar o novo dispositivo) é exibida em Network Devices (Dispositivos de rede).
![Imagem de 2024-02-01 às 17h19.](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-07.png)
Etapa 4. Crie os Grupos de Identidade de Usuário necessários. Navegue até o ícone de hambúrguer ≡ localizado no canto superior esquerdo > Administração > Gerenciamento de identidade > Grupos > Grupos de identidade do usuário > + Adicionar
![Captura de tela 2024-02-01 às 17h21,59](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-08.png)
Etapa 5. Defina um nome para o Grupo de Identidade de Usuário Admin e clique em Enviar para salvar a configuração.
![Captura de tela 2024-02-01 às 17h32](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-09.png)
5.1 Repita o mesmo processo para usuários ReadOnly.
![Captura de tela 2024-02-01 às 17h34-56.](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-10.png)
Etapa 6. Valide os novos grupos de usuários que estão sendo exibidos em Grupos de identidade de usuário.
![Captura de tela 2024-02-01 às 17h37](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-11.png)
Passo 7. Crie os usuários locais e adicione-os ao seu grupo de correspondentes. Navegue até o ícone de hambúrguer ≡ > Administração > Gerenciamento de Identidades > Identidades > + Adicionar.
![Captura de tela 2024-02-01 às 17h39](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-12.png)
7.1 Adicione o usuário com direitos de Administrador. Defina um nome, uma senha e atribua-os a FPR-4110-Admin, role para baixo e clique em Enviar para salvar as alterações.
![Captura de tela 2024-02-01 às 17h42](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-13.png)
7.2 Adicione o usuário com direitos ReadOnly. Defina um nome e uma senha e atribua-os a FPR-4110-ReadOnly, role para baixo e clique em Submit para salvar as alterações.
![Captura de tela 2024-02-01 às 17h46.28](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-14.png)
7.3 Valide se os usuários estão em Network Access Users (Usuários de acesso à rede).
![Captura de tela 2024-02-01 às 17h50.](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-15.png)
Etapa 8.Crie o perfil de autorização para o usuário Admin.
O chassi FXOS inclui as seguintes funções de usuário:
- Administrador - Acesso completo de leitura e gravação a todo o sistema. A conta de administrador padrão recebe essa função por padrão e não pode ser alterada.
- Somente Leitura - Acesso somente leitura à configuração do sistema sem privilégios para modificar o estado do sistema.
- Operações - Acesso de leitura e gravação à configuração NTP, configuração do Smart Call Home para Smart Licensing e logs do sistema, incluindo servidores e falhas do syslog. Acesso de leitura ao restante do sistema.
- AAA - Acesso de leitura e gravação a usuários, funções e configuração AAA. Acesso de leitura ao restante do sistema
Atribuições para cada função:
cisco-av-pair=shell:roles="admin"
cisco-av-pair=shell:roles="aaa"
cisco-av-pair=shell:roles="operações"
cisco-av-pair=shell:roles="somente leitura"
Observação: esta documentação define apenas atributos admin e somente leitura.
Navegue até o ícone de hambúrguer ≡ > Política > Elementos de Política > Resultados > Autorização > Perfis de Autorização > +Adicionar.
Defina um nome para o perfil de autorização, deixe Tipo de acesso como ACCESS_ACCEPT e em Configurações avançadas de atributos adicione cisco-av-pair=shell:roles="admin" com e clique em Enviar.
![Captura de tela 2024-02-02 às 10.57.21.](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-16.png)
![Captura de tela 2024-02-02 às 11.01.23.](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-17.png)
8.1 Repita a etapa anterior para criar o perfil de autorização para o usuário somente leitura. Crie a classe Radius com o valor read-only Administrator desta vez.
![Imagem de 2024-02-01 às 18h01.34.](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-18.png)
![Captura de tela 2024-02-02 às 11h03.22](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-19.png)
Etapa 9.Crie um conjunto de políticas correspondente ao endereço IP do FMC. Isso evita que outros dispositivos concedam acesso aos usuários.
Navegue para ≡ > Política > Conjuntos de políticas >Adicionar sinal de ícone no canto superior esquerdo.
![Captura de tela 2024-02-02 às 11.07.53.](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-20.png)
9.1 Uma nova linha é colocada na parte superior de seus conjuntos de políticas. Clique no ícone Adicionar para configurar uma nova condição.
![Captura de tela 2024-02-02 às 11.09.41.](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-21.png)
9.2 Adicione uma condição superior para o atributo RADIUS NAS-IP-Addresscorrespondente ao endereço IP do FCM e clique em Usar.
![Captura de tela 2024-02-02 às 11.12.33.](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-22.png)
![Captura de tela 2024-02-02 às 11.13.25.](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-23.png)
9.3 Depois de concluir, clique em Save.
![Captura de tela 2024-02-02 às 12.09.04.](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-24.png)
Dica: para este exercício, permitimos a lista Default Network Access Protocols. Você pode criar uma nova lista e restringi-la conforme necessário.
Etapa 10. Visualize o novo conjunto de políticas, pressionando o ícone >colocado no final da linha.
![Captura de tela 2024-02-02 às 12.13.33.](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-25.png)
10.1 Expanda o menu Authorization Policy e clique em (+) para adicionar uma nova condição.
![Captura de tela 2024-02-02 às 12h18,59.](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-26.png)
10.2 Defina as condições para corresponder ao grupo DictionaryIdentity com AttributeName igual a User Identity Groups: FPR-4110-Admins(o nome do grupo criado na Etapa 7) e clickUse.
![Captura de tela 2024-02-02 às 12.20.20.](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-27.png)
![Captura de tela 2024-02-02 às 12h21.29](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-28.png)
Etapa 10.3 Validar que a nova condição está configurada na política de autorização e adicionar um perfil de usuário em Perfis.
![Captura de tela 2024-02-02 às 12h26.51](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-29.png)
Etapa 11. Repita o mesmo processo na etapa 9 para Read-only Users e clique em Save.
Verificar
1. Tente fazer login na GUI do FCM usando as novas credenciais do Radius
2. Navegue até o ícone do hambúrguer ≡ > Operações > Raio > Registros ao vivo.
3. As informações exibidas mostram se um usuário efetuou login com êxito.
![Captura de tela 2024-02-02 às 12.53.45.](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-30.png)
4. Validar a função Usuários registrados na CLI do Chassi do Firewall Seguro.
![Captura de tela 2024-02-02 às 13h00](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-31.png)
Troubleshooting
1. Na GUI do ISE , navegue até o ícone de hambúrguer ≡ > Operações > Radius > Registros ao vivo.
1.1 Valide se a solicitação de sessão de log está alcançando o nó do ISE.
1.2 Para status de falha, revise os detalhes da sessão.
![Captura de tela 2024-02-01 às 18h33](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-32.png)
2. Para solicitações que não aparecem nos logs do Radius Live , revise se a solicitação UDP está alcançando o nó ISE por meio de uma captura de pacote.
Navegue até o ícone de hambúrguer ≡ > Operações > Solução de problemas > Ferramentas de diagnóstico > dump TCP. Adicione uma nova captura e baixe o arquivo em sua máquina local para verificar se os pacotes UDP estão chegando ao nó ISE.
2.1 Preencha as informações solicitadas, role para baixo e clique em Save.
![Captura de tela 2024-02-02 às 13h12.](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-33.png)
2.2 Selecione e inicie a captura.
![Captura de tela 2024-02-02 às 13h22.19](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-34.png)
2.3 Tentativa de fazer login no chassi do firewall seguro enquanto a captura do ISE está em execução
2.4 Pare o despejo TCP no ISE e baixe o arquivo para uma máquina local.
2.5 Reveja a saída do tráfego.
Saída esperada:
Pacote No1. Solicitação do firewall seguro para o servidor ISE através da porta 1812 (RADIUS)
Pacote No2. Resposta do servidor ISE aceitando a solicitação inicial.
![Captura de tela 2024-02-02 às 13h25](/c/dam/en/us/support/docs/security/firepower-4100-series/221646-configure-ise-radius-authentication-for-35.png)