Firepower Système d'exploitation extensible (FXOS) 2.2 : Authentification/autorisation du châssis pour la gestion à distance avec ISE à l'aide de TACACS+
Contenu
Introduction
Ce document décrit comment configurer l'authentification et l'autorisation TACACS+ pour le châssis Firepower eXtensible Operating System (FXOS) via Identity Services Engine (ISE).
Le châssis FXOS comprend les rôles d'utilisateur suivants :
- Administrateur : accès complet en lecture-écriture à l'ensemble du système. Ce rôle est attribué par défaut au compte d'administration par défaut et il ne peut pas être modifié.
- Lecture seule : accès en lecture seule à la configuration du système sans privilèges permettant de modifier l'état du système.
- Opérations : accès en lecture-écriture à la configuration NTP, à la configuration Smart Call Home pour Smart Licensing et aux journaux système, y compris les serveurs syslog et les pannes. Accès en lecture au reste du système.
- AAA : accès en lecture-écriture aux utilisateurs, aux rôles et à la configuration AAA. Accès en lecture au reste du système.
Par l'intermédiaire de l'interface de ligne de commande, ceci peut être vu comme suit :
fpr4120-TAC-A /security* # show role
Rôle :
Nom du rôle Priv.
—
aaa aaa
admin admin
opérations opérationnelles
lecture seule
Contribué par Tony Remirez, Jose Soto, Ingénieurs TAC Cisco.
Conditions préalables
Conditions requises
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Connaissance de Firepower eXtensible Operating System (FXOS)
- Connaissance de la configuration ISE
- La licence TACACS+ Device Administration est requise dans ISE
Components Used
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- Appliance de sécurité Cisco Firepower 4120 version 2.2
- Cisco Identity Services Engine virtuel 2.2.0.470
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Configuration
L'objectif de la configuration est de :
- Authentifier les utilisateurs qui se connectent à l'interface utilisateur graphique Web et à SSH de FXOS via ISE
- Autoriser les utilisateurs à se connecter à l'interface utilisateur graphique Web et à SSH de FXOS en fonction de leur rôle d'utilisateur respectif au moyen de ISE.
- Vérifier le bon fonctionnement de l'authentification et de l'autorisation sur FXOS par le biais de ISE
Diagramme du réseau
Configurations
Configuration du châssis FXOS
Création d'un fournisseur TACACS+
Étape 1. Accédez à Paramètres de la plate-forme > AAA.
Étape 2. Cliquez sur l'onglet TACACS.
Étape 3. Pour chaque fournisseur TACACS+ à ajouter (jusqu'à 16 fournisseurs).
3.1. Dans la zone Fournisseurs TACACS, cliquez sur Ajouter.
3.2. Une fois la boîte de dialogue Ajouter un fournisseur TACACS ouverte, saisissez les valeurs requises.
3.3. Cliquez sur OK pour fermer la boîte de dialogue Ajouter un fournisseur TACACS.
Étape 4. Click Save.
Étape 5. Accédez à System > User Management > Settings.
Étape 6. Sous Authentification par défaut, sélectionnez TACACS.
Création d'un fournisseur TACACS+ à l'aide de l'interface de ligne de commande
Étape 1. Afin d'activer l'authentification TACACS, exécutez les commandes suivantes.
fpr4120-TAC-A# scope security
fpr4120-TAC-A /security # scope default-auth
fpr4120-TAC-A /security/default-auth # set realm tacacs
Étape 2. Utilisez la commande show detail pour vérifier la configuration.
fpr4120-TAC-A /security/default-auth # show detail
Authentification par défaut :
Domaine d'administration : Tacas
Domaine opérationnel : Tacas
Période d'actualisation de la session Web (en secondes) : 600
Délai d'attente de session (en secondes) pour les sessions web, ssh, telnet : 600
Délai d'attente de session absolue (en secondes) pour les sessions Web, ssh et telnet : 3600
Délai d'expiration de la session de la console série (en secondes) : 600
Délai d'attente de session absolue de la console série (en secondes) : 3600
Groupe de serveurs Admin Authentication :
Groupe de serveurs d'authentification opérationnelle :
Utilisation du deuxième facteur : Non
Étape 3. Afin de configurer les paramètres du serveur TACACS, exécutez les commandes suivantes.
fpr4120-TAC-A# scope security
fpr4120-TAC-A /security # scope tacacs
fpr4120-TAC-A /security/tacacs # entrez server 10.88.244.50
fpr4120-TAC-A /security/tacacs/server # set descr « ACS Server »
fpr4120-TAC-A /security/tacacs/server* # set key
Saisissez la clé : ******
Confirmez la clé : ******
Étape 4. Utilisez la commande show detail pour vérifier la configuration.
fpr4120-TAC-A /security/tacacs/server* # show detail
Serveur TACACS+ :
Nom d'hôte, nom de domaine complet ou adresse IP : 10.88.244.50
Description :
Commande : 1
Port : 49
Clé : ****
timeout : 5
Configuration du serveur ISE
Ajout du FXOS en tant que ressource réseau
Étape 1. Accédez à Administration > Network Resources > Network Devices.
Étape 2. Cliquez sur Add.
Étape 3. Entrez les valeurs requises (Nom, Adresse IP, Type de périphérique et Activer TACACS+ et ajoutez la CLÉ), cliquez sur Envoyer.
Création des groupes d'identités et des utilisateurs
Étape 1. Accédez à Administration > Identity Management > Groups > User Identity Groups.
Étape 2. Cliquez sur Add.
Étape 3. Entrez la valeur de Name et cliquez sur Submit.
Étape 4. Répétez l'étape 3 pour tous les rôles utilisateur requis.
Étape 5. Accédez à Administration > Identity Management > Identity > Users.
Étape 6. Cliquez sur Add.
Étape 7. Saisissez les valeurs requises (Nom, Groupe d'utilisateurs, Mot de passe).
Étape 8. Répétez l'étape 6 pour tous les utilisateurs requis.
Création du profil Shell pour chaque rôle utilisateur
Étape 1. Accédez à Centres de travail > Administration des périphériques > Eléments de stratégie > Résultats > Profils TACACS et cliquez sur +AJOUTER.
Étape 2. Saisissez les valeurs requises pour le profil TACACS
2.1. Saisissez le nom.
2.2. Dans l'ONGLET Vue RAW, configurez CISCO-AV-PAIR suivant.
cisco-av-pair=shell : rôles=« admin »
2.3. Cliquez sur Submit.
Étape 3. Répétez l'étape 2 pour les autres rôles d'utilisateur à l'aide des paires Cisco-AV suivantes.
cisco-av-pair=shell : rôles=« aaa »
cisco-av-pair=shell : rôles=« opérations »
cisco-av-pair=shell : rôles=« lecture seule »
Création de la stratégie d'autorisation TACACS
Étape 1. Accédez à Centres de travail > Administration des périphériques > Jeux de stratégies d'administration des périphériques.
Étape 2. Assurez-vous que la stratégie d'authentification pointe vers la base de données Utilisateurs internes ou vers le magasin d'identités requis.
Étape 3. Cliquez sur la flèche à la fin de la stratégie d'autorisation par défaut et cliquez sur Insérer une règle ci-dessus.
Étape 4. Entrez les valeurs de la règle avec les paramètres requis :
4.1. Nom de la règle : Règle d'administration FXOS.
4.2. Conditions.
Si : Le groupe d'identités utilisateur est FXOS ADMIN
Et Périphérique : Type de périphérique égal à tous les types de périphériques #FXOS
Profil Shell : Profil_Admin_FXOS
Étape 5. Cliquez sur Done.
Étape 6. Répétez les étapes 3 et 4 pour les autres rôles d'utilisateur et, lorsque vous avez terminé, cliquez sur ENREGISTRER.
Vérification
Vous pouvez maintenant tester chaque utilisateur et vérifier le rôle d'utilisateur assigné.
Vérification du châssis FXOS
1. Établissez une connexion Telnet ou SSH au châssis FXOS et connectez-vous à l'aide de l'un des utilisateurs créés sur l'ISE.
username (nom d’utilisateur) : fxosadmin
Mot de passe :
fpr4120-TAC-A# sécurité de portée
fpr4120-TAC-A /security # show remote-user detail
Utilisateur distant fxosaaa :
Description:
Rôles utilisateur :
Name : aaa
Name : en lecture seule
Utilisateur distant fxosadmin :
Description:
Rôles utilisateur :
Name : admin
Name : en lecture seule
Utilisateur distant fxosoper :
Description:
Rôles utilisateur :
Name : opérations
Name : en lecture seule
Utilisateur distant fxosro :
Description:
Rôles utilisateur :
Name : en lecture seule
En fonction du nom d'utilisateur saisi, l'interface de ligne de commande du châssis FXOS affiche uniquement les commandes autorisées pour le rôle d'utilisateur attribué.
Rôle utilisateur Admin.
fpr4120-TAC-A /security # ?
reconnaître
clear-user-sessions Clear User Sessions
créer des objets gérés
supprimer les objets managés
désactiver les services Désactive
activer les services
Entrez un objet managé
étendue Modifie le mode actuel
définir les valeurs de propriété
show show system information
terminer les sessions cimc actives
fpr4120-TAC-A# connect fxos
fpr4120-TAC-A (fxos)# debug aaa aaa-request
fpr4120-TAC-A (fxos)#
Rôle utilisateur en lecture seule.
fpr4120-TAC-A /security # ?
étendue Modifie le mode actuel
définir les valeurs de propriété
show show system information
fpr4120-TAC-A# connect fxos
fpr4120-TAC-A (fxos)# debug aaa aaa-request
% Autorisation refusée pour le rôle
2. Accédez à l'adresse IP du châssis FXOS et connectez-vous à l'aide de l'un des utilisateurs créés sur l'ISE.
Rôle utilisateur Admin.
Rôle utilisateur en lecture seule.
Vérification ISE 2.0
1. Accédez à Opérations > TACACS Livelog. Vous devriez être en mesure de voir des tentatives réussies et échouées.
Dépannage
Pour déboguer l'authentification et l'autorisation AAA, exécutez les commandes suivantes dans l'interface de ligne de commande FXOS.
fpr4120-TAC-A# connect fxos
fpr4120-TAC-A (fxos)# debug aaa aaa-request
fpr4120-TAC-A (fxos)# debug aaa event
fpr4120-TAC-A (fxos)# debug aaa errors
fpr4120-TAC-A (fxos)# term mon
Après une tentative d'authentification réussie, le résultat suivant s'affiche.
17 janvier 2018 15:46:40.305247 aaa : aaa_req_process pour l'authentification. session no 0
17 janvier 2018 15:46:40.305262 aaa : aaa_req_process : Demande AAA générale de l'application : login appln_subtype : par défaut
17 janvier 2018 15:46:40.305271 aaa : try_next_aaa_méthode
17 janvier 2018 15:46:40.305285 aaa : total des méthodes configurées est 1, l'index actuel à essayer est 0
17 janvier 2018 15:46:40.305294 aaa : handle_req_using_méthode
17 janvier 2018 15:46:40.305301 aaa : GROUPE_SERVEURS_MÉTHODE_AAA
17 janvier 2018 15:46:40.305308 aaa : aaa_sg_method_handler groupe = tacacs
17 janvier 2018 15:46:40.305315 aaa : Utilisation de sg_protocol passé à cette fonction
17 janvier 2018 15:46:40.305324 aaa : Envoi de la demande au service TACACS
17 janvier 2018 15:46:40.305384 aaa : Groupe de méthodes configuré Réussite
17 janvier 2018 15:46:40.554631 aaa : aaa_process_fd_set
17 janvier 2018 15:46:40.555229 aaa : aaa_process_fd_set : mtscallback sur aaa_q
17 janvier 2018 15:46:40.555817 aaa : mts_message_response_handler : réponse mts
17 janvier 2018 15:46:40.556387 aaa : prot_daemon_reponse_handler
17 janvier 2018 15:46:40.557042 aaa : session : 0x8dfd68c supprimé de la table de session 0
17 janvier 2018 15:46:40.557059 aaa : is_aaa_resp_status_success status = 1
17 janvier 2018 15:46:40.557066 aaa : is_aaa_resp_status_success est TRUE
17 janvier 2018 15:46:40.557075 aaa : aaa_send_client_response pour l'authentification. session->flags=21. aaa_resp->flags=0.
17 janvier 2018 15:46:40.557083 aaa : AAA_REQ_FLAG_NORMAL
17 janvier 2018 15:46:40.557106 aaa : mts_send_response Réussite
17 janvier 2018 15:46:40.557364 aaa : aaa_req_process pour autorisation. session no 0
17 janvier 2018 15:46:40.557378 aaa : aaa_req_process appelé avec contexte à partir de appln : login appln_subtype : type_auteur par défaut : 2, méthode_auteur : 0
17 janvier 2018 15:46:40.557386 aaa : aaa_send_req_using_contexte
17 janvier 2018 15:46:40.557394 aaa : groupe aaa_sg_method_handler = (null)
17 janvier 2018 15:46:40.557401 aaa : Utilisation de sg_protocol passé à cette fonction
17 janvier 2018 15:46:40.557408 aaa : demande AAA basée sur le contexte ou dirigée(exception : pas une requête de relais). Ne prendra pas copie de la demande aaa
17 janvier 2018 15:46:40.557415 aaa : Envoi de la demande au service TACACS
17 janvier 2018 15:46:40.801732 aaa : aaa_send_client_response pour autorisation. session->flags=9. aaa_resp->flags=0.
17 janvier 2018 15:46:40.801740 aaa : AAA_REQ_FLAG_NORMAL
17 janvier 2018 15:46:40.801761 aaa : mts_send_response Réussite
17 janvier 2018 15:46:40.848932 aaa : ANCIEN OPCODE : mise à jour_intermédiaire_comptable
17 janvier 2018 15:46:40.848943 aaa : aaa_create_local_acct_req : user=, session_id=, log=ajouté utilisateur:fxosadmin au rôle:admin
17 janvier 2018 15:46:40.848963 aaa : aaa_req_process pour la comptabilité. session no 0
17 janvier 2018 15:46:40.848972 aaa : La référence de la demande MTS est NULL. Demande LOCALE
17 janvier 2018 15:46:40.848982 aaa : Définition de AAA_REQ_RESPONSE_NOT_NEEDED
17 janvier 2018 15:46:40.848992 aaa : aaa_req_process : Demande AAA générale de l'application : appln_subtype par défaut : par défaut
17 janvier 2018 15:46:40.849002 aaa : try_next_aaa_méthode
17 janvier 2018 15:46:40.849022 aaa : Aucune méthode configurée pour la valeur par défaut
17 janvier 2018 15:46:40.849032 aaa : aucune configuration disponible pour cette demande
17 janvier 2018 15:46:40.849043 aaa : try_fallback_méthode
17 janvier 2018 15:46:40.849053 aaa : handle_req_using_méthode
17 janvier 2018 15:46:40.849063 aaa : gestionnaire_méthode_locale
17 janvier 2018 15:46:40.849073 aaa : aaa_local_accounting_msg
17 janvier 2018 15:46:40.849085 aaa : mettre à jour::utilisateur ajouté:fxosadmin au rôle:admin
Après une tentative d'authentification échouée, le résultat suivant s'affiche.
17 janvier 2018 15:46:17.836271 aaa : aaa_req_process pour l'authentification. session no 0
17 janvier 2018 15:46:17.836616 aaa : aaa_req_process : Demande AAA générale de l'application : login appln_subtype : par défaut
17 janvier 2018 15:46:17.837063 aaa : try_next_aaa_méthode
17 janvier 2018 15:46:17.837416 aaa : total des méthodes configurées est 1, l'index actuel à essayer est 0
17 janvier 2018 15:46:17.837766 aaa : handle_req_using_méthode
17 janvier 2018 15:46:17.838103 aaa : GROUPE_SERVEURS_MÉTHODE_AAA
17 janvier 2018 15:46:17.838477 aaa : aaa_sg_method_handler groupe = tacacs
17 janvier 2018 15:46:17.838826 aaa : Utilisation de sg_protocol passé à cette fonction
17 janvier 2018 15:46:17.839167 aaa : Envoi de la demande au service TACACS
17 janvier 2018 15:46:17.840225 aaa : Groupe de méthodes configuré Réussite
17 janvier 2018 15:46:18.043710 aaa : is_aaa_resp_status_success status = 2
17 janvier 2018 15:46:18.044048 aaa : is_aaa_resp_status_success est TRUE
17 janvier 2018 15:46:18.044395 aaa : aaa_send_client_response pour l'authentification. session->flags=21. aaa_resp->flags=0.
17 janvier 2018 15:46:18.044733 aaa : AAA_REQ_FLAG_NORMAL
17 janvier 2018 15:46:18.045096 aaa : mts_send_response Réussite
17 janvier 2018 15:46:18.045677 aaa : aaa_cleanup_session
17 janvier 2018 15:46:18.045689 aaa : mts_drop de la requête msg
17 janvier 2018 15:46:18.045699 aaa : aaa_req doit être libéré.
17 janvier 2018 15:46:18.045715 aaa : aaa_process_fd_set
17 janvier 2018 15:46:18.045722 aaa : aaa_process_fd_set : mtscallback sur aaa_q
17 janvier 2018 15:46:18.045732 aaa : aaa_enable_info_config : GET_REQ pour un message d'erreur de connexion aaa
17 janvier 2018 15:46:18.045738 aaa : récupération de la valeur de retour de l'opération de configuration:élément de sécurité inconnu
Informations connexes
La commande Ethanalyzer sur le cli FX-OS vous invite à saisir un mot de passe lorsque l'authentification TACACS/RADIUS est activée. Ce comportement est causé par un bogue.
ID de bogue: CSCvg87518
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)