火力 6.0 pxGrid与ISE的集成-自签名证书

我将使用自签名证书通过Firepower v6.0.x进行配置,以便与ISE进行pxGrid集成。我们在上一篇文章中介绍了使用CA签名证书对Firepower进行配置的过程,您会发现该配置与本文中的配置非常相似。 

在Firepower管理中心(FMC)中,导航到 目的s>Object Management>PKI>Internal CAs 然后点击 产生CA 按钮并提供证书信息。

 

单击铅笔图标并下载证书。

此时,它将要求您输入密码。我用了 思科123 并下载了证书。 

重命名p12文件,然后使用WinSCP将其复制到FMC。

SSH到SMC,并使用以下命令将P12文件转换为CER和KEY文件:

sudo openssl pkcs12 -nokeys -clcerts -in fmc2.p12 -out fmc2.cer

sudo openssl pkcs12 -nocerts-输入fmc2.p12-输出fmc2.key

输入之前使用的加密密码。

使用WinSCP将CER和KEY文件移出FMC。 

在ISE中,导航至 行政>System>Certificates>Trusted 证明书 并导入FMC cer文件。

 

导航 行政>System>Certificates>System 证明书,请选中ISE自签名证书旁边的框,然后单击 出口。导出证书和私钥。它将以zip文件下载。解压缩它,并将证书名称更改为易于阅读的名称。 

 

 

 

在FMC中,导航到 目的>Object Management>PKI>Trusted CAs 然后点击 加 受信任的CA 按钮。添加ISE可信证书,并使用为它配置的加密密钥。 

导航 目的>Object Management>PKI>Internal Certs 然后点击 添加内部证书 按钮。添加Firepower cer和密钥文件。 

删除包属性。

和<no> at the end.

确保输入加密密码,然后单击 好。

导航 系统>Integration>Identity Sources 然后点击 身分识别 Services Engine 按钮。

填写ISE IP地址,并为前两个CA字段使用先前上传的ISE证书。对于第三个,使用先前创建的FMC2证书,然后单击

在ISE中,导航至 行政>pxGrid Services 查看添加的Firepower管理中心。 

如果您按照上述步骤操作,但仍然无法执行,请检查以下内容:

  • 检查FMC和ISE之间的网络连接(从CLI ping等)
  • 如果您使用的是ISE 2.0或更低版本,则需要单击 启用自动注册 而是在 行政>pxGrid Services>Clients
  • 确保您使用的ISE客户端上已启用pxGrid Persona
  • 确保没有 待批准 行政>pxGrid Services

我们将配置的下一件事是Firepower中的Active Directory领域。导航 系统>Integration>Realms 然后点击 新境界。

在里面 Add New Realm 弹出窗口,添加以下内容:

  • 领域名称
  • (可选)说明
  • 选择一种类型-AD或LDAP
  • 输入AD主域
  • 添加用户名
  • 添加密码
  • 基本DN
  • 群组DN 
  • 选择组属性-成员 

在下一页上,单击 添加目录 按钮并添加域服务器。

点击 测试 按钮以确保您可以连接到AD服务器,然后单击

单击“用户下载”选项卡。在此标签上,选中旁边的框 下载用户和组 然后单击立即下载按钮以下载AD组。

请点击 保存领域。 

您将被带回“领域”页面。确保启用了状态滑块以启用此领域

导航 政策规定>Access Control>Identity 然后点击 新政策。命名新策略,然后单击 好。 在下一页上,单击 添加规则 并创建如下的被动身份验证策略:

请点击 并保存您的身份政策。  

 

现在,我们将新创建的身份策略添加到访问控制策略中。导航 政策规定>Access Control>Access Control 并修改您的政策。在顶部,单击“身份策略”旁边的链接,然后从下拉列表中选择新策略,然后单击“保存”。

点击 高级 标签并编辑 传输/网络层预处理器设置 并选中旁边的框 跟踪连接时忽略VLAN标头 然后点击

救 you 访问控制 Policy.

要验证您是否正在获取有关主机的信息,请导航至 分析>Users>User Activity 并且您应该看到ISE传递的信息。

现在,我们将基于ISE属性创建一个策略。导航 政策规定>Access Control>Access Control 并修改您的政策。请点击 添加规则 并单击“ 伊势属性”选项卡

在此标签下,我们可以基于以下内容创建规则:

  • 安全组标签
  • 设备类型 
  • 位置IP

按照这个规则,我要 根据Domain Admin SGT阻止社交媒体:

单击“确定”,保存并部署我的策略后,应阻止任何使用Domain Admin SGT的人访问社交媒体。