Configurar a autenticação externa do SWA com o ISE como um servidor RADIUS

Opções de download

  • PDF     (2.5 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (2.5 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (2.2 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:5 de fevereiro de 2024
ID do documento:221602

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve as etapas para configurar a autenticação externa no Secure Web Access (SWA) com o Cisco ISE como um servidor RADIUS.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Conhecimento básico no Cisco Secure Web Appliance.
    • Conhecimento da configuração das políticas de autenticação e autorização no ISE.
    • Conhecimento RADIUS básico.

    A Cisco recomenda que você também tenha:

    • Acesso de administração SWA e ISE.
    • Versões compatíveis do WSA e do ISE.

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software:

    • SWA 14.0.2-012
    • ISE 3.0.0

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    Quando você habilita a autenticação externa para usuários administrativos do seu SWA, o dispositivo verifica as credenciais do usuário com um servidor LDAP ou RADIUS, conforme especificado na configuração de autenticação externa.

    Topologia de rede

    Diagrama de Topologia de RedeDiagrama de Topologia de Rede

    Os usuários administrativos acessam o SWA na porta 443 com suas credenciais. O SWA verifica as credenciais com o servidor RADIUS.

    Configurar

    Configuração do ISE

    Etapa 1. Adicione um novo dispositivo de rede. Navegue até Administração > Recursos de rede > Dispositivos de rede > +Adicionar.

    Adicionar SWA como dispositivo de rede no ISEAdicionar SWA como dispositivo de rede no ISE

    Etapa 2. Atribua um Name ao objeto do dispositivo de rede e insira o endereço IP do SWA.

    Marque a caixa de seleção RADIUS e defina um segredo compartilhado.

    note-icon

    Observação: a mesma chave deve ser usada posteriormente para configurar o servidor RADIUS no SWA.

    Configurar chave compartilhada do dispositivo de rede SWAConfigurar chave compartilhada do dispositivo de rede SWA

    Etapa 2.1. Clique em Submit.

    Enviar configuração do dispositivo de redeEnviar configuração do dispositivo de rede

    Etapa 3. Crie os Grupos de Identidade de Usuário necessários. Navegue até Administração > Gerenciamento de identidades > Grupos > Grupos de identidades do usuário > + Adicionar.

    note-icon

    Observação: você precisa configurar diferentes grupos de usuários para corresponder a diferentes tipos de usuários.

    Adicionar grupo de identidade do usuárioAdicionar grupo de identidade do usuário

    Etapa 4. Insira o nome do grupo, a descrição (opcional) e Enviar. Repita essas etapas para cada grupo. Neste exemplo, você cria um grupo para usuários Administradores e outro para usuários Somente leitura.

    Adicionar grupo de identidade de usuário para usuários administradores do SWAAdicionar Adicionar grupo de identidade de usuário para usuários somente leitura do SWAgrupo de identidade de usuárioAdicionar grupo de identidade de usuário para usuários somente leitura do SWA

    Etapa 5. Você precisa criar usuários de acesso à rede que correspondam ao nome de usuário configurado no SWA.

    Crie os Usuários de Acesso à Rede e adicione-os ao seu grupo de correspondentes. Navegue até Administração > Gerenciamento de identidades > Identidades > + Adicionar.

    Adicionar usuários locais no ISEAdicionar usuários locais no ISE

    Etapa 5.1. Você precisa criar um Network Access Users com direitos de administrador. Atribua um nome e uma senha.

    Adicionar usuário administradorAdicionar usuário administrador

    Etapa 5.2. Escolha SWA Admin na seção Grupos de usuários.Atribuir grupo de administradores ao usuário administradorAtribuir grupo de administradores ao usuário administrador

    Etapa 5.3. Você precisa criar um usuário com direitos Somente Leitura. Atribua um nome e uma senha.

    Adicionar usuário somente leituraAdicionar usuário somente leitura

    Etapa 5.4. Escolha SWA ReadOnly na seção User Groups.

    Atribuir grupo de usuários somente leitura ao usuário somente leituraAtribuir grupo de usuários somente leitura ao usuário somente leitura

    Etapa 6. Crie o perfil de autorização para o usuário Admin.

    Navegue até Política > Elementos de política > Resultados > Autorização > Perfis de autorização > +Adicionar.

    Defina um nome para o perfil de autorização e certifique-se de que o tipo de acesso esteja definido como ACCESS_ACCEPT.

    Adicionar perfil de autorização para usuários administradoresAdicionar perfil de autorização para usuários administradores

    Etapa 6.1. Nas Advanced Attributes Settings, navegue até Radius > Class—[25], insira o valor Administrator e clique em Submit.Adicionar perfil de autorização para usuários administradoresAdd Authorization Profile for Admin Users

    Passo 7. Repita a etapa 6 para criar o perfil de autorização para o usuário somente leitura.

    Adicionar perfil de autorização para usuários somente leituraAdicionar perfil de autorização para usuários somente leitura

    ETAPA 7.1. Desta vez, crie Radius:Class com o valor ReadUser em vez de Administrator.

    Adicionar perfil de autorização para usuários somente leituraAdicionar perfil de autorização para usuários somente leitura

    Etapa 8. Crie conjuntos de políticas que correspondam ao endereço IP SWA. Isso evita o acesso a outros dispositivos com essas credenciais de usuário.

    Navegue para Política > Conjuntos de políticas e clique no ícone + no canto superior esquerdo.

    Adicionar conjunto de políticas no ISEAdicionar conjunto de políticas no ISE

    Etapa 8.1. Uma nova linha é colocada na parte superior dos conjuntos de políticas.

    Nomeie a nova política e adicione uma condição para que o atributo RADIUS NAS-IP-Address corresponda ao endereço IP do SWA.

    Clique em Usar para manter as alterações e sair do editor.

    Adicionar política para mapear o dispositivo de rede SWAAdicionar política para mapear o dispositivo de rede SWA

    Etapa 8.2. Click Save.

    Salvamento de políticaSalvamento de política

    ícone de dica

    Dica: neste artigo, a lista Default Network Access Protocols é permitida. Você pode criar uma nova lista e restringir conforme necessário.

    Etapa 9. Para exibir os novos conjuntos de políticas, clique no ícone > na coluna Exibir. Expanda o menu Authorization Policy e clique no ícone + para adicionar uma nova regra para permitir o acesso ao usuário com direitos administrativos.

    Defina um nome.

    Etapa 9.1. Para criar uma condição que corresponda ao grupo de usuários Admin, clique no ícone +.Adicionar Condição de Política de AutorizaçãoAdicionar condição de política de autorização

    Etapa 9.2. Defina as condições para corresponder ao Dicionário Grupo de Identidade com o Atributo Nome igual à Identidade do Usuário Grupos: SWA admin.Selecionar Grupo de Identidades como CondiçãoSelecione Grupo de Identidade como Condição

    Etapa 9.3. Role para baixo e selecione User Identity Groups: SWA admin.Role para baixo e selecione Nome do grupo de identidadeRole para baixo e selecione Identity Group Name

    Etapa 9.4. Clique em Usar.

    Selecione a política de autorização para o grupo de usuários do administrador do SWASelecione a política de autorização para o grupo de usuários do administrador do SWA

    Etapa 10. Clique no ícone + para adicionar uma segunda regra para permitir o acesso ao usuário com direitos somente leitura.

    Defina um nome.

    Defina as condições para corresponder ao Dicionário Grupo de Identidade com o Atributo Nome é igual a Grupos de Identidade de Usuário: SWA ReadOnly e clique em Usar.

    Selecionar Diretiva de Autorização para Grupo de Usuários Somente LeituraSelecionar Diretiva de Autorização para Grupo de Usuários Somente Leitura

    Etapa 11. Defina o Authorization Profile para cada regra e clique em Save.

    Selecionar perfil de autorizaçãoSelecionar perfil de autorização

    Configuração de SWA

    Etapa 1. Na GUI do SWA, navegue para Administração do sistema e clique em Usuários

    Etapa 2. Clique em Enable em External Authentication.

    Habilitar autenticação externa em SWAHabilitar autenticação externa em SWA

    Etapa 3. Insira o endereço IP ou o FQDN do ISE no campo Nome de host do servidor RADIUS e insira o mesmo segredo compartilhado que está configurado na Etapa 2, Configuração do ISE.

    Etapa 4. Selecione Mapear usuários autenticados externamente para várias funções locais em Mapeamento de grupos.

    Etapa 4.1. Informe Administrador no campo Atributo CLASSE RADIUS e selecione a Função Administrador.

    Etapa 4.2. Digite ReadUser no campo Atributo CLASS RADIUS e selecione a função Operador somente leitura

    Configuração de Autenticação Externa para Servidor RADIUSConfiguração de Autenticação Externa para Servidor RADIUS

    Etapa 5: Para configurar Usuários no SWA, clique em Adicionar usuário. Insira User Name e selecione User Type necessário para a função desejada. Insira Passphrase e Retype Passphrase, que são necessários para acesso à GUI se o dispositivo não puder se conectar a um servidor RADIUS externo.

    note-icon

    Observação: se o equipamento não puder se conectar a nenhum servidor externo, ele tentará autenticar o usuário como um usuário local definido no Secure Web Appliance.

    Configuração do usuário no SWAConfiguração do usuário no SWA

    Etapa 6: Clique em Enviar e em Confirmar alterações.

    Verificar

    Acesse a GUI do SWA com as credenciais de usuário configuradas e verifique os registros em tempo real no ISE. Para verificar os logs ao vivo no ISE, navegue para Operations > Live Logs:

    Verificar o login do usuário ISEVerificar o login do usuário ISE

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    05-Feb-2024
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Anil Rajan
      Engenheiro do Cisco TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos