使用RADIUS配置ISE的FDM外部身份驗證和授權

簡介

本文檔介紹將Cisco Firepower裝置管理器(FDM)與身份服務引擎(ISE)整合以便管理員使用者通過RADIUS協定進行GUI和CLI訪問的過程。

必要條件

需求

思科建議您瞭解以下主題：

• Firepower裝置管理器(FDM)
• 身分識別服務引擎 (ISE)
• RADIUS通訊協定

採用元件

 本文中的資訊係根據以下軟體和硬體版本：

• Firepower威脅防禦(FTD)裝置，所有平台Firepower裝置管理器(FDM)版本6.3.0+
• ISE版本3.0

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

互通性

• 使用者配置使用者角色的RADIUS伺服器
• 必須在RADIUS伺服器上使用cisco-av-pair配置使用者角色
• Cisco-av-pair = fdm.userrole.authority.admin
• ISE可用作RADIUS伺服器

授權

無特定許可證要求，基本許可證足夠

背景資訊

此功能允許客戶使用RADIUS為這些使用者配置外部身份驗證和多個使用者角色。

RADIUS支援，適用於具有3個系統定義使用者角色的管理存取：

• 只讀
• READ_WRITE（無法執行系統關鍵操作，如升級、還原等）
• 管理員

能夠測試RADIUS伺服器的配置，監控活動使用者會話和刪除使用者會話。

此功能在FDM 6.3.0版中實施。在6.3.0版之前，FDM僅支援一個使用者（管理員）。

預設情況下，思科Firepower裝置管理器在本地對使用者進行身份驗證和授權，以便採用集中式身份驗證和授權方法，您可通過RADIUS協定使用思科身份服務引擎。

網路圖表

下一張影象提供了網路拓撲示例

流程：

1. 管理員使用者引入其憑證。
2. 身份驗證過程已觸發，ISE在本地或通過Active Directory驗證憑證。
3. 身份驗證成功後，ISE會向FDM傳送用於身份驗證和授權資訊的允許資料包。
4. 帳戶在ISE上執行，並且身份驗證活動日誌成功。

設定

FDM 組態

步驟1.登入到FDM，然後導航到Device > System Settings > Management Access頁籤

步驟2.建立新的RADIUS伺服器群組

步驟3.創建新的RADIUS伺服器

步驟4.將RADIUS伺服器新增到RADIUS伺服器群組

步驟5.選擇建立的組作為管理伺服器組

步驟6.儲存組態

ISE 組態

步驟1.導航至三行圖示位於左上角，在Administration > Network Resources > Network Devices中選擇

步驟2.選擇+Add按鈕並定義Network Access Device Name和IPAddress，然後選中RADIUS覈取方塊並定義共用金鑰。提交時選擇

步驟3.導航至三行圖示位於左上角，選擇管理>身份管理>組

步驟4.在User Identity Groups上選擇，然後選擇on +Add按鈕。定義名稱並在提交時選擇

附註：在此示例中，建立了FDM_Admin和FDM_ReadOnly身份組，您可以對FDM上使用的每種型別的管理員使用者重複步驟4。

步驟5.導航至位於左上角的三行圖示，然後選擇管理>身份管理>身份。選擇on +Add並定義使用者名稱和密碼，然後選擇使用者所屬的組。在此示例中，分別建立了fdm_admin和fdm_readonly使用者並將其分配給FDM_Admin和FDM_ReadOnly組。

步驟6.選擇位於左上角的三個行圖示，然後導航到Policy > Policy Elements > Results > Authorization > Authorization Profiles，選擇on +Add，為Authorization Profile定義名稱。選擇Radius Service-type並選擇Administrative，然後選擇Cisco-av-pair，並貼上管理員使用者獲得的角色，在這種情況下，使用者將獲得完整的管理員許可權(fdm.serrole.authority.admin)。 選擇Submit。為每個角色（配置為本文檔中的另一個示例的只讀使用者）重複此步驟。

附註：確保「高級屬性」部分的順序與影象示例的順序相同，以避免在使用GUI和CLI登入時產生意外結果。

步驟8.選擇三行圖示並導航至Policy > Policy Sets。選擇時間 按鈕位於Policy Sets標題下，定義名稱並在中間的+按鈕上選擇以新增新條件。

步驟9.在「條件」視窗中，選擇新增屬性，然後選擇Network Device Icon,後跟Network access device IP address。  選擇屬性值並新增FDM IP地址。新增新條件，依次選擇Network Access和Protocol選項，選擇RADIUS，然後選擇使用一次。

步驟10.在allow protocols部分，選擇Device Default Admin。儲存時選擇

步驟11.選擇右箭頭 用於定義身份驗證和授權策略的策略集的圖示

步驟12.選擇 位於身份驗證策略標題下方，定義名稱並在中間的+上選擇以新增新條件。在「條件」視窗下，選擇新增屬性，然後在網路裝置圖示上依次選擇網路接入裝置IP地址。  選擇屬性值並新增FDM IP地址。完成後在使用時選擇

步驟13.選擇Internal Users作為Identity Store並選擇 儲存

附註：如果ISE加入到Active Directory，可以將身份儲存更改為AD儲存。

步驟14.選擇於 位於授權策略標題下方，定義名稱並在中間的+上選擇以新增新條件。在「條件」視窗下，選擇新增屬性，然後選擇Identity Group圖示，後跟Internal User:Identity Group。選擇FDM_Admin組，選擇AND和NEW選項以新增新條件，選擇埠圖示後跟RADIUS NAS-Port-Type:Virtual，然後選擇使用。

步驟15.在配置檔案下，選擇在步驟6中建立的配置檔案，然後選擇Save

對FDM_ReadOnly組重複步驟14和15

第16步（可選）。  導航到位於左上角的三行圖示，在Administration > System > Maintenance > Repository上選擇，然後選擇+ Add以新增用於儲存TCP轉儲檔案以進行故障排除的儲存庫。

第17步（可選）。 定義儲存庫名稱、協定、伺服器名稱、路徑和憑據。完成後在Submit上選擇。

驗證

步驟1.導覽至Objects > Identity Sources選項卡，然後驗證RADIUS伺服器和組伺服器配置

步驟2.導覽至Device > System Settings > Management Access選項卡，然後選擇TEST按鈕

步驟3.插入使用者憑證並選擇TEST按鈕

步驟4.開啟新視窗瀏覽器並鍵入https.//FDM_ip_Address，使用ISE配置部分下步驟5中建立的fdm_admin使用者名稱和密碼。

可在ISE RADIUS即時日誌上驗證登入嘗試是否成功

還可以檢視右上角的FDM上的管理員使用者

Cisco Firepower裝置管理器CLI（管理員使用者）

疑難排解

本節提供的資訊用於對組態進行疑難排解。

通過ISE上的TCP轉儲工具進行通訊驗證

步驟1.登入ISE並選擇位於左上角的三行圖示並導航到操作>故障排除>診斷工具。

步驟2.在General tools下，選擇on TCP Dumps，然後選擇Add+。選擇主機名、網路介面檔名、儲存庫（可選）以及過濾器，以僅收集FDM IP地址通訊流。在「儲存並運行」中選擇

步驟3.登入FDM UI並鍵入管理員憑據。

步驟4.在ISE上，選擇Stop按鈕並驗證pcap檔案已傳送到定義的儲存庫。 

步驟5.開啟pcap檔案驗證FDM和ISE之間的成功通訊。

如果在pcap檔案上未顯示任何條目，則驗證以下選項：

1. 已在FDM配置中新增正確的ISE IP地址
2. 如果防火牆位於中間，驗證是否允許埠1812-1813。
3. 檢查ISE和FDM之間的通訊

與FDM生成的檔案的通訊驗證。

在排除從FDM裝置頁面生成的檔案故障時，查詢關鍵字：

• FdmPasswordLoginHelper
• NGFWDefaultUserMgmt
• AAAIdentitySourceStatusManager
• RadiusIdentitySourceManager

有關此功能的所有日誌都可以在/var/log/cisco/ngfw-onbox.log中找到

參考資料：

https://www.cisco.com/c/en/us/td/docs/security/firepower/640/fdm/fptd-fdm-config-guide-640/fptd-fdm-mgmt.html#id_73793

常見問題

案例1 — 外部驗證無法運作

• 檢查secretKey、埠或主機名
• RADIUS上的AVP組態錯誤
• 伺服器可能處於「Dead Time」

案例2 — 測試IdentitySource失敗

• 確保儲存對對象的更改
• 確保憑據正確

限制

• FDM最多允許5個活動的FDM會話。
• 建立第6個會話會導致第1個會話被吊銷
• RadiusIdentitySourceGroup的名稱不能為「LocalIdentitySource」
• 最多16個RadiusIdentitySource到RadiusIdentitySourceGroup
• 在RADIUS上錯誤配置AVP會導致拒絕訪問FDM

問答

Q:   此功能是否在「評估」模式下工作？

A:是

Q:  如果兩個只讀使用者登入（其中擁有只讀使用者1的訪問許可權），則他們從兩個不同的瀏覽器登入。  它將如何顯示？  會發生什麼？

A:兩個使用者的會話都以相同名稱顯示在活動使用者會話頁面中。  每個條目顯示時間戳的單個值。

Q:  行為是外部radius伺服器提供存取拒絕與如果您在第二天配置了本地身份驗證，則為「無響應」？

A:  即使您配置了2nd的本地身份驗證，也可能會嘗試本地身份驗證，即使您獲得拒絕訪問或無響應。

Q:  ISE如何區分管理員登入的RADIUS請求與驗證RA VPN使用者的RADIUS請求

A:  ISE不會區分管理員和RAVPN使用者的RADIUS請求。FDM檢視cisco-avpair屬性以確定Admin訪問許可權的授權。在這兩種情況下，ISE都會傳送為使用者配置的所有屬性。

Q:  這意味著ISE日誌無法區分FDM管理員登入和同一使用者訪問同一裝置上的遠端訪問VPN。  在ISE可以金鑰的訪問請求中，是否有任何RADIUS屬性傳遞到ISE?

A:  以下是在RADIUS身份驗證期間從FTD傳送到ISE的上行RADIUS屬性。這些屬性不會作為外部身份驗證管理訪問請求的一部分傳送，並且可用於區分FDM管理登入與RAVPN使用者登入。

        146 — 隧道組名稱或連線配置檔名稱。

        150 — 客戶端型別(適用值：2 = AnyConnect Client SSL VPN，6 = AnyConnect Client IPsec VPN(IKEv2)。

        151 — 會話型別(適用值：1 = AnyConnect客戶端SSL VPN，2 = AnyConnect客戶端IPSec VPN(IKEv2)。