キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
告知

JTAC-Mid-Career-Recruitment-2021.3

 AMATopBanner2021.4.23.JPG

 2021Apr.TopBanner.JPG

 

FMC: RADIUS認証による管理ユーザの追加

509
閲覧回数
15
いいね!
0
コメント

 

はじめに

本稿ではRADIUS認証により Firepower Management Center (以下FMC) の管理ユーザを追加する設定例をご案内させて頂きます。

FMC はデフォルトで二種類の内部admin ユーザを持っております。一つはWebインターフェイスのユーザで、もう一つはCLIアクセス権が付与されたユーザですが、これら二つのadmin ユーザは異なるユーザです。

admin 以外のWeb インターフェイスのユーザは FMC内部ユーザとして FMC GUI から追加できます。しかしCLIユーザはFMCの内部ユーザとして追加できず、外部認証により外部ユーザとして追加する必要があります。

FMC は外部認証としてLDAPRADIUSをサポートしています。本稿では RADIUS サーバを外部認証サーバとして CLI ユーザを追加する設定例を示します。

本稿ではVirtual FMC 6.4 及び Identity Service Engine (以下 ISE )2.4 を使用します。

 

一、FMC側の設定

FMCに外部認証を設定するためには外部認証オブジェクトを追加する必要があります。

1. [System] > [Users] を選択し、[External Authentication] タブから [Add External Authentication Object] をクリックします。

2. [Authentication Method] [RADIUS] に設定します。

3. [Name] にオブジェクトの名前を設定します。

4. [Primary Server] [Host Name/IP Address] に使用する RADIUS サーバのアドレス、 [RADIUS Secret Key] RADIUS サーバとの共有鍵を入力します。

5. [RADIUS-Specific Parameters] を入力します。

 本稿では “testadmin1” と言うユーザを設定し、AdministratorMaintenance UserNetwork Admin のロールを与えることにします。

6. [Shell Access Filter] に “testadmin1” を追加します。

 これにより “testadmin1” FMC CLI アクセスが可能となります。

7. [Save] をクリックし保存します。

FMC1.png
8. [External Authentication] タブに戻り [Shell Authentication] から作成した外部認証オブジェクトを選択し、オブジェクトの右側のバーをスライドして [Enabled] を有効にします。

FMC3.png

 

FMC 側の設定は以上で完了となります。

 

二、ISE 側の設定

1. Administration > Network Resources > Network Devices から “Add” ボタンをクリックして新規デバイスを追加します。

2. [IP Address] FMC のアドレスを入力し、 [RADIUS Authentication Settings] [Shared Secret] FMC で設定した共通鍵を入力します。

ISE1.png

 

3. Administration > Identity Management > Identities > Users から “Add” をクリックして新規ユーザを追加します。

4. [Network Access User] [Name] FMC で作成したユーザ “testadmin1” を入力し、 [Login Password] “testadmin1” のパスワードを設定します。

ISE2.png

5. Policy > Policy Sets Default ポリシーを選択します。

6. Authentication Policy > Default から [All_User_ID_Stores] を選択します。

7. Authorization Policy > Default [PermitAccess] に設定します。

ISE3.png

ISE4.png

ISE 側の設定は以上で完了となります。 

 ※ 5, 6, 7 は本稿でテスト用に設定していますので、実際に使用する際にはカスタマイズしてください。

 

三、確認

1. ターミナルソフト( 本稿では Teraterm ) を開き FMC testadmin1 ユーザーで接続します。

SSH1.png

 

2. testadmin1 ユーザでログインでき、/etc/passwd に追加されているのが確認できます。

SSH2.pngSSH3.png

 

参考文献

管理アクセス用のユーザアカウント

https://www.cisco.com/c/ja_jp/td/docs/security/firepower/640/configuration/guide/fpmc-config-guide-v64/fpmc-config-guide-v64_chapter_011.html#id_63531