Cisco FTD RAVPN с MFA с SecurID и AD (ISE в качестве прокси для SecurID)
-
Сценарий; - Удаленный доступ VPN, настроенный с MFA на Cisco FTD, аутентификация будет осуществляться с помощью SercurID и AD через ISE, авторизация осуществляется через AD. - Аутентификация SecurID проксируется через RADIUS с использованием сервера ISE в качестве промежуточного звена. Я могу успешно настроить аутентификацию по ISE, используя только AD или только SecurID, но не оба одновременно. Как мне настроить это в ISE, чтобы пользователи аутентифицировались по внешнему источнику идентификации SecurID, а затем по AD? Нужно ли настроить 2 разных набора политик? Один для SecurID и один для AD? Как отличить, что первый запрос аутентификации предназначен для SecurID? Насколько я понимаю, FW отправит первый запрос, а затем второй, однако, судя по моим попыткам устранить неполадку, сервер ISE видит их как запросы RADIUS от одного и того же хоста, поэтому я не могу определить/указать, как обрабатывать их отдельно.
-
Мне удалось разобраться в этой проблеме... Вот решение/обходной путь/исправление, я включу в него все, что смогу. Проблема возникает из-за того, что Cisco FTD изначально не поддерживает SDI, устройство должно использовать прокси RADIUS, в данном/нашем случае ISE. Когда MFA настроена, FTD выполняет первую аутентификацию, а затем вторую. Если вы используете тот же сервер (ISE) для аутентификации AD, что и для прокси RSA, то сервер ISE фактически видит два почти идентичных запроса от одного и того же хоста, и поэтому вы не можете различить по условию набора политик ISE, какой из них какой. Обходной путь/решение: - Настройте хосты группы серверов AAA, которые будут использоваться для SecurID, вручную установив интерфейс для управления в настройках хоста; ![brext_0-1749820485166.png] - Настройте хосты группы серверов Radius для AD через ISE по умолчанию (маршрутизация), в данном случае это наш внутренний интерфейс; ![brext_1-1749820652550.png] В результате вы можете настроить условия набора политик ISE для сопоставления на основе IP-адреса запроса и назначить другой профиль аутентификации на основе этого. Однако, если все ваши IP-адреса FW связаны с одним узлом в ISE, вам необходимо разделить их на два, здесь я назначил интерфейсы mgmt другому узлу с суффиксом «-MGMT». По результатам моего тестирования, если вы этого не сделаете, ISE будет рассматривать второй запрос как дубликат и попытается аутентифицировать оба запроса с помощью одного и того же метода — я не знаю, почему это происходит. Кроме того, если вы используете ISE для аутентификации входов в систему управления, вам также необходимо установить дополнительные условия для сопоставления с PIX7x-Client-Type. Помните, что этот более конкретный набор политик должен быть выше входов в систему управления. Он будет выглядеть примерно так: ![brext_2-1749820948513.png] Для того чтобы вышеуказанное работало, предполагается, что ваш интерфейс управления имеет внутреннюю связь с вашим сервером ISE. Если это не так, вы можете настроить внутреннюю часть с помощью подинтерфейса в другом VRF или использовать маршрутизацию на основе политики на IP-адресе подинтерфейса — к счастью, я не сталкивался с этой проблемой.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти