Introdução
Este documento descreve as etapas para configurar a autenticação externa no Secure Web Access (SWA) com o Cisco ISE como um servidor RADIUS.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Conhecimento básico no Cisco Secure Web Appliance.
- Conhecimento da configuração das políticas de autenticação e autorização no ISE.
- Conhecimento RADIUS básico.
A Cisco recomenda que você também tenha:
- Acesso de administração SWA e ISE.
- Versões compatíveis do WSA e do ISE.
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software:
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Informações de Apoio
Quando você habilita a autenticação externa para usuários administrativos do seu SWA, o dispositivo verifica as credenciais do usuário com um servidor LDAP ou RADIUS, conforme especificado na configuração de autenticação externa.
Topologia de rede
Diagrama de Topologia de Rede
Os usuários administrativos acessam o SWA na porta 443 com suas credenciais. O SWA verifica as credenciais com o servidor RADIUS.
Configurar
Configuração do ISE
Etapa 1. Adicione um novo dispositivo de rede. Navegue até Administração > Recursos de rede > Dispositivos de rede > +Adicionar.
Adicionar SWA como dispositivo de rede no ISE
Etapa 2. Atribua um Name ao objeto do dispositivo de rede e insira o endereço IP do SWA.
Marque a caixa de seleção RADIUS e defina um segredo compartilhado.
Observação: a mesma chave deve ser usada posteriormente para configurar o servidor RADIUS no SWA.
Configurar chave compartilhada do dispositivo de rede SWA
Etapa 2.1. Clique em Submit.
Enviar configuração do dispositivo de rede
Etapa 3. Crie os Grupos de Identidade de Usuário necessários. Navegue até Administração > Gerenciamento de identidades > Grupos > Grupos de identidades do usuário > + Adicionar.
Observação: você precisa configurar diferentes grupos de usuários para corresponder a diferentes tipos de usuários.
Adicionar grupo de identidade do usuário
Etapa 4. Insira o nome do grupo, a descrição (opcional) e Enviar. Repita essas etapas para cada grupo. Neste exemplo, você cria um grupo para usuários Administradores e outro para usuários Somente leitura.
Adicionar grupo de identidade de usuárioAdicionar grupo de identidade de usuário para usuários somente leitura do SWA
Etapa 5. Você precisa criar usuários de acesso à rede que correspondam ao nome de usuário configurado no SWA.
Crie os Usuários de Acesso à Rede e adicione-os ao seu grupo de correspondentes. Navegue até Administração > Gerenciamento de identidades > Identidades > + Adicionar.
Adicionar usuários locais no ISE
Etapa 5.1. Você precisa criar um Network Access Users com direitos de administrador. Atribua um nome e uma senha.
Adicionar usuário administrador
Etapa 5.2. Escolha SWA Admin na seção Grupos de usuários.Atribuir grupo de administradores ao usuário administrador
Etapa 5.3. Você precisa criar um usuário com direitos Somente Leitura. Atribua um nome e uma senha.
Adicionar usuário somente leitura
Etapa 5.4. Escolha SWA ReadOnly na seção User Groups.
Atribuir grupo de usuários somente leitura ao usuário somente leitura
Etapa 6. Crie o perfil de autorização para o usuário Admin.
Navegue até Política > Elementos de política > Resultados > Autorização > Perfis de autorização > +Adicionar.
Defina um nome para o perfil de autorização e certifique-se de que o tipo de acesso esteja definido como ACCESS_ACCEPT.
Adicionar perfil de autorização para usuários administradores
Etapa 6.1. Nas Advanced Attributes Settings, navegue até Radius > Class—[25], insira o valor Administrator e clique em Submit.Add Authorization Profile for Admin Users
Passo 7. Repita a etapa 6 para criar o perfil de autorização para o usuário somente leitura.
Adicionar perfil de autorização para usuários somente leitura
ETAPA 7.1. Desta vez, crie Radius:Class com o valor ReadUser em vez de Administrator.
Adicionar perfil de autorização para usuários somente leitura
Etapa 8. Crie conjuntos de políticas que correspondam ao endereço IP SWA. Isso evita o acesso a outros dispositivos com essas credenciais de usuário.
Navegue para Política > Conjuntos de políticas e clique no ícone + no canto superior esquerdo.
Adicionar conjunto de políticas no ISE
Etapa 8.1. Uma nova linha é colocada na parte superior dos conjuntos de políticas.
Nomeie a nova política e adicione uma condição para que o atributo RADIUS NAS-IP-Address corresponda ao endereço IP do SWA.
Clique em Usar para manter as alterações e sair do editor.
Adicionar política para mapear o dispositivo de rede SWA
Etapa 8.2. Click Save.
Salvamento de política
Dica: neste artigo, a lista Default Network Access Protocols é permitida. Você pode criar uma nova lista e restringir conforme necessário.
Etapa 9. Para exibir os novos conjuntos de políticas, clique no ícone > na coluna Exibir. Expanda o menu Authorization Policy e clique no ícone + para adicionar uma nova regra para permitir o acesso ao usuário com direitos administrativos.
Defina um nome.
Etapa 9.1. Para criar uma condição que corresponda ao grupo de usuários Admin, clique no ícone +.Adicionar condição de política de autorização
Etapa 9.2. Defina as condições para corresponder ao Dicionário Grupo de Identidade com o Atributo Nome igual à Identidade do Usuário Grupos: SWA admin.Selecione Grupo de Identidade como Condição
Etapa 9.3. Role para baixo e selecione User Identity Groups: SWA admin.Role para baixo e selecione Identity Group Name
Etapa 9.4. Clique em Usar.
Selecione a política de autorização para o grupo de usuários do administrador do SWA
Etapa 10. Clique no ícone + para adicionar uma segunda regra para permitir o acesso ao usuário com direitos somente leitura.
Defina um nome.
Defina as condições para corresponder ao Dicionário Grupo de Identidade com o Atributo Nome é igual a Grupos de Identidade de Usuário: SWA ReadOnly e clique em Usar.
Selecionar Diretiva de Autorização para Grupo de Usuários Somente Leitura
Etapa 11. Defina o Authorization Profile para cada regra e clique em Save.
Selecionar perfil de autorização
Configuração de SWA
Etapa 1. Na GUI do SWA, navegue para Administração do sistema e clique em Usuários.
Etapa 2. Clique em Enable em External Authentication.
Habilitar autenticação externa em SWA
Etapa 3. Insira o endereço IP ou o FQDN do ISE no campo Nome de host do servidor RADIUS e insira o mesmo segredo compartilhado que está configurado na Etapa 2, Configuração do ISE.
Etapa 4. Selecione Mapear usuários autenticados externamente para várias funções locais em Mapeamento de grupos.
Etapa 4.1. Informe Administrador no campo Atributo CLASSE RADIUS e selecione a Função Administrador.
Etapa 4.2. Digite ReadUser no campo Atributo CLASS RADIUS e selecione a função Operador somente leitura.
Configuração de Autenticação Externa para Servidor RADIUS
Etapa 5: Para configurar Usuários no SWA, clique em Adicionar usuário. Insira User Name e selecione User Type necessário para a função desejada. Insira Passphrase e Retype Passphrase, que são necessários para acesso à GUI se o dispositivo não puder se conectar a um servidor RADIUS externo.
Observação: se o equipamento não puder se conectar a nenhum servidor externo, ele tentará autenticar o usuário como um usuário local definido no Secure Web Appliance.
Configuração do usuário no SWA
Etapa 6: Clique em Enviar e em Confirmar alterações.
Verificar
Acesse a GUI do SWA com as credenciais de usuário configuradas e verifique os registros em tempo real no ISE. Para verificar os logs ao vivo no ISE, navegue para Operations > Live Logs:
Verificar o login do usuário ISE
Informações Relacionadas