Firepower eXtensible Operating System (FXOS) 2.2: Autenticazione/autorizzazione dello chassis per la gestione remota con ISE tramite RADIUS

Opzioni per il download

  • PDF     (2.4 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (2.5 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.8 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:21 febbraio 2018
ID documento:212689

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto come configurare l'autenticazione e l'autorizzazione RADIUS per lo chassis Firepower eXtensible Operating System (FXOS) tramite Identity Services Engine (ISE).

    Lo chassis FXOS include i seguenti ruoli utente:

    • Amministratore: accesso completo in lettura e scrittura all'intero sistema. All'account amministratore predefinito viene assegnato questo ruolo per impostazione predefinita e non può essere modificato.
    • Sola lettura - Accesso in sola lettura alla configurazione del sistema senza privilegi per la modifica dello stato del sistema.
    • Operazioni: accesso in lettura e scrittura alla configurazione NTP, alla configurazione di Smart Call Home per Smart Licensing e ai registri di sistema, inclusi i server syslog e i relativi errori. Accesso in lettura al resto del sistema.
    • AAA: accesso in lettura e scrittura a utenti, ruoli e configurazione AAA. Accesso in lettura al resto del sistema.

    Dalla CLI, questa condizione può essere vista come segue:

    fpr4120-TAC-A /security* # show role

    Ruolo:        

        Priv nome ruolo

        — —

        aaa aaa

        admin admin

        operazioni

        sola lettura

    Contributo di Tony Remirez, Jose Soto, Cisco TAC Engineers.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Conoscenza di Firepower eXtensible Operating System (FXOS)
    • Conoscenza della configurazione ISE

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Cisco Firepower 4120 Security Appliance versione 2.2
    • Virtual Cisco Identity Services Engine 2.2.0.470

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi. 

    Configurazione

    L'obiettivo della configurazione è:

    • Autenticazione degli utenti che accedono alla GUI e SSH basata sul Web di FXOS tramite ISE
    • Permette agli utenti di accedere alla GUI basata sul Web di FXOS e al protocollo SSH in base al loro ruolo con ISE.
    • Verificare il corretto funzionamento dell'autenticazione e dell'autorizzazione su FXOS tramite ISE

    Esempio di rete

    212689-firepower-extensible-operating-system-f-00.png

    Configurazioni

    Configurazione dello chassis FXOS

    Creazione di un provider RADIUS mediante Chassis Manager

    Passaggio 1. Selezionare Platform Settings > AAA.

    Passaggio 2. Fate clic sulla scheda RAGGIO (RADIUS).

    212689-firepower-extensible-operating-system-f-01.png

    Passaggio 3. Per ogni provider RADIUS da aggiungere (fino a 16 provider).

                3.1. Nell'area Provider RADIUS, fare clic su Aggiungi.

                3.2. Una volta visualizzata la finestra di dialogo Aggiungi provider RADIUS (Add RADIUS Provider), immettete i valori richiesti.

                3.3. Fare clic su OK per chiudere la finestra di dialogo Aggiungi provider RADIUS.

    212689-firepower-extensible-operating-system-f-02.png

    Passaggio 4. Fare clic su Save (Salva).

    212689-firepower-extensible-operating-system-f-03.png

    Passaggio 5. Selezionare Sistema > Gestione utente > Impostazioni.

    Passaggio 6. In Autenticazione predefinita scegliere RADIUS.

    212689-firepower-extensible-operating-system-f-04.png

    Creazione di un provider RADIUS tramite CLI

    Passaggio 1. Per abilitare l'autenticazione RADIUS, eseguire i comandi seguenti.

    fpr4120-TAC-A# ambito sicurezza

    fpr4120-TAC-A /security # ambito default-auth

    fpr4120-TAC-A /security/default-auth # set realm radius

    Passaggio 2. Utilizzare il comando show detail per visualizzare i risultati.

    fpr4120-TAC-A /security/default-auth # show detail

    Autenticazione predefinita:

        Amm. Realm.: Radius

        Area operativa: Raggio

        Periodo di aggiornamento sessione Web (sec): 600

        Timeout sessione (in sec) per sessioni Web, ssh e telnet: 600

        Timeout sessione assoluta (in secondi) per sessioni Web, ssh e telnet: 3600

        Timeout sessione console seriale (sec): 600

        Timeout sessione assoluta console seriale (sec): 3600

        Gruppo server Autenticazione amministratore:

        Gruppo server di autenticazione operativo:

        Impiego del secondo fattore: no

    Passaggio 3. Per configurare i parametri del server RADIUS, eseguire i comandi seguenti.

    fpr4120-TAC-A# ambito sicurezza

    fpr4120-TAC-A /security # raggio ambito

    fpr4120-TAC-A /security/radius # invio al server 10.88.244.50

    fpr4120-TAC-A /security/radius/server # set descr "ISE Server"

    fpr4120-TAC-A /security/radius/server* # set key

    Immettere il codice: ******

    Confermare la chiave: ******

    Passaggio 4. Utilizzare il comando show detail per visualizzare i risultati.

    fpr4120-TAC-A /security/radius/server* # show detail

    Server RADIUS:

        Nome host, FQDN o indirizzo IP: 10.88.244.50

        Descr:

        Ordine: 1

        Auth Port: 1812

        Chiave: ****

        Timeout: 5

    Configurazione del server ISE

    Aggiunta di FXOS come risorsa di rete

    Passaggio 1. Selezionare Amministrazione > Risorse di rete > Dispositivi di rete.

    Passaggio 2. Fare clic su ADD

    212689-firepower-extensible-operating-system-f-05.png

    Passaggio 3. Immettere i valori richiesti (Nome, Indirizzo IP, Tipo di dispositivo, Attiva RADIUS e aggiungere la CHIAVE), quindi fare clic su Submit (Invia).

    212689-firepower-extensible-operating-system-f-06.png

    Creazione di gruppi di identità e utenti

    Passaggio 1. Passare a Amministrazione > Gestione delle identità > Gruppi > Gruppi identità utente.

    Passaggio 2. Fare clic su Add.

    212689-firepower-extensible-operating-system-f-07.png

    Passaggio 3. Immettere il valore per Nome e fare clic su Invia.

    212689-firepower-extensible-operating-system-f-08.png

    Passaggio 4. Ripetere il passaggio 3 per tutti i ruoli utente richiesti.

    212689-firepower-extensible-operating-system-f-09.png

    Passaggio 5. Passare a Amministrazione > Gestione delle identità > Identità > Utenti.

    Passaggio 6. Fare clic su Add.

    212689-firepower-extensible-operating-system-f-10.png

    Passaggio 7. Immettere i valori richiesti (Nome, Gruppo utenti, Password).

    212689-firepower-extensible-operating-system-f-11.png

    Passaggio 8. Ripetere il passaggio 6 per tutti gli utenti necessari.

    212689-firepower-extensible-operating-system-f-12.png

    Creazione del profilo di autorizzazione per ogni ruolo utente

    Passaggio 1. Passare a Criterio > Elementi criteri > Risultati > Autorizzazione > Profili di autorizzazione.

    212689-firepower-extensible-operating-system-f-13.png

    Passaggio 2. Specificare tutti gli attributi per il profilo di autorizzazione.

            2.1. Configurare il nome del profilo.

    212689-firepower-extensible-operating-system-f-14.png

            2.2. In Advanced Attributes Settings configurare la seguente coppia CISCO-AV

    cisco-av-pair=shell:roles="admin"

    212689-firepower-extensible-operating-system-f-15.png

            2.3. Fare clic su Salva.

    212689-firepower-extensible-operating-system-f-16.png

    Passaggio 3. Ripetere il punto 2 per i ruoli utente rimanenti usando le seguenti coppie Cisco-AV

    cisco-av-pair=shell:roles="aaa"

    cisco-av-pair=shell:roles="operazioni"

    cisco-av-pair=shell:roles="sola lettura"

    212689-firepower-extensible-operating-system-f-17.png

    212689-firepower-extensible-operating-system-f-18.png212689-firepower-extensible-operating-system-f-19.png212689-firepower-extensible-operating-system-f-20.png

    Creazione del criterio di autenticazione

    Passaggio 1. Passare a Criterio > Autenticazione > E fare clic sulla freccia accanto a Modifica nel punto in cui si desidera creare la regola.

    212689-firepower-extensible-operating-system-f-21.png

    Passaggio 2. La configurazione è semplice; può essere fatta più granulare ma per questo esempio utilizzeremo il tipo di dispositivo:

    Nome: REGOLA DI AUTENTICAZIONE FXOS

    IF Seleziona nuovo attributo/valore: Dispositivo:Tipo di dispositivo è uguale a Tutti i tipi di dispositivo #FXOS

    Consenti protocolli: accesso alla rete predefinito

    Uso: utenti interni

    212689-firepower-extensible-operating-system-f-22.png

    Creazione del criterio di autorizzazione

    Passaggio 1. Passare a Criterio > Autorizzazione > E fare clic sulla freccia accanto a Modifica nel punto in cui si desidera creare la regola.

    212689-firepower-extensible-operating-system-f-23.png

    Passaggio 2. Immettere i valori per la regola di autorizzazione con i parametri obbligatori.

            2.1. Nome regola: regola Fxos <RUOLO UTENTE>.

    212689-firepower-extensible-operating-system-f-24.png

            2.2. If: User Identity Groups > Select <RUOLO UTENTE>.

    212689-firepower-extensible-operating-system-f-25.png

            2.3. AND: Create New Condition > Device:Device type Equals All Devices Types #FXOS.

    212689-firepower-extensible-operating-system-f-26.png

            2.4. Autorizzazioni: Standard > Scegli il profilo ruolo utente

    212689-firepower-extensible-operating-system-f-27.png

    212689-firepower-extensible-operating-system-f-28.png

    Passaggio 3. Ripetere il passaggio 2 per tutti i ruoli utente.

    212689-firepower-extensible-operating-system-f-29.png

    Passaggio 4. Fare clic su Save (Salva) nella parte inferiore della pagina.

    212689-firepower-extensible-operating-system-f-30.png

    Verifica

    È ora possibile eseguire il test di ogni utente e verificare il ruolo utente assegnato.

    Verifica chassis FXOS

    1. Telnet o SSH sullo chassis FXOS ed effettuare il login utilizzando uno degli utenti creati sull'ISE.

    Nome utente: fxosadmin

    Password:

    fpr4120-TAC-A# scope security

    fpr4120-TAC-A /security # show remote-user detail

    Utente remoto fxosaaa:

        Descrizione:

        Ruoli utente:

            Nome: aaa

            Name: read-only

    Utente remoto fxosadmin:

        Descrizione:

        Ruoli utente:

            Nome: admin

            Name: read-only

    Fxosoper utente remoto:

        Descrizione:

        Ruoli utente:

            Nome: operations

            Name: read-only

    Fxosro utente remoto:

        Descrizione:

        Ruoli utente:

            Name: read-only

    A seconda del nome utente immesso, nella cli dello chassis FXOS verranno visualizzati solo i comandi autorizzati per il ruolo utente assegnato.

    Ruolo utente amministratore.

    fpr4120-TAC-A /security # ?

      conferma conferma conferma

      clear-user-session Cancella sessioni utente

      creazione Creazione di oggetti gestiti

      delete Elimina oggetti gestiti

      disabilita Disabilita i servizi

      abilita Abilita i servizi

      enter Immette un oggetto gestito

      scope Modifica la modalità corrente

      impostare i valori delle proprietà

      show Mostra informazioni di sistema

      termina sessioni Active Cisco

    fpr4120-TAC-A#connect fax

    fpr4120-TAC-A (fxos)# debug aaa-request

    fpr4120-TAC-A (fxos)#

    Ruolo utente di sola lettura.

    fpr4120-TAC-A /security # ?

      scope Modifica la modalità corrente

      impostare i valori delle proprietà

      show Mostra informazioni di sistema

    fpr4120-TAC-A#connect fax

    fpr4120-TAC-A (fxos)# debug aaa-request

    % Autorizzazione negata per il ruolo

    1. Individuare l'indirizzo IP dello chassis FXOS e accedere usando uno degli utenti creati sull'ISE.

    Ruolo utente amministratore.

    212689-firepower-extensible-operating-system-f-31.png

    Ruolo utente di sola lettura.

    212689-firepower-extensible-operating-system-f-32.png

    Nota: il pulsante AGGIUNGI è disattivato. 

    Verifica ISE 2.0

    1. Passare a Operazioni > RADIUS > Live Log. Dovrebbe essere possibile visualizzare i tentativi riusciti e quelli non riusciti.

    212689-firepower-extensible-operating-system-f-33.png

    Risoluzione dei problemi

    Per eseguire il debug dell'autenticazione e dell'autorizzazione AAA, eseguire i seguenti comandi nella cli di FXOS.

    fpr4120-TAC-A#connect fax

    fpr4120-TAC-A (fxos)# debug aaa-request

    fpr4120-TAC-A (fxos)# evento debug aaa

    fpr4120-TAC-A (fxos)# errori debug aaa

    fpr4120-TAC-A (fxos)# termine mon

    Dopo un tentativo di autenticazione riuscito, verrà visualizzato l'output seguente.

    2018 Gen 20 17:18:02.410275 aaa: aaa_req_process per l'autenticazione. sessione n. 0

    2018 Gen 20 17:18:02.410297 aaa: aaa_req_process: Richiesta AAA generale da appln: login appln_subtype: default

    2018 Gen 20 17:18:02.410310 aaa: try_next_aaa_method

    2018 Gen 20 17:18:02.410330 aaa: il totale dei metodi configurati è 1, l'indice corrente da provare è 0

    2018 Gen 20 17:18:02.410344 aaa: handle_req_using_method

    2018 Gen 20 17:18:02.410356 aaa: AAA_METHOD_SERVER_GROUP

    2018 Gen 20 17:18:02.410367 aaa: gruppo aaa_sg_method_handler = raggio

    2018 Gen 20 17:18:02.410379 aaa: Utilizzo di sg_protocol che viene passato a questa funzione

    2018 Jan 20 17:18:02.410393 aaa: Invio della richiesta al servizio RADIUS

    2018 Gen 20 17:18:02.412944 aaa: mts_send_msg_to_port_daemon: Lunghezza payload = 374

    2018 Jan 20 17:18:02.412973 aaa: sessione: 0x8dfd68c aggiunto alla tabella delle sessioni 1

    2018 Gen 20 17:18:02.412987 aaa: Gruppo di metodi configurato riuscito

    2018 Gen 20 17:18:02.656425 aaa: aaa_process_fd_set

    2018 Gen 20 17:18:02.656447 aaa: aaa_process_fd_set: mtscallback su aaa_q

    2018 Gen 20 17:18:02.656470 aaa: mts_message_response_handler: an mts response

    2018 Gen 20 17:18:02.656483 aaa: prot_daemon_reponse_handler

    2018 Gen 20 17:18:02.656497 aaa: sessione: 0x8dfd68c rimosso dalla tabella delle sessioni 0

    2018 Gen 20 17:18:02.656512 aaa: is_aaa_resp_status_success status = 1

    2018 Gen 20 17:18:02.656525 aaa: is_aaa_resp_status_success is TRUE

    2018 Gen 20 17:18:02.656538 aaa: aaa_send_client_response per l'autenticazione. session->flags=21. aaa_resp->flags=0.

    2018 Gen 20 17:18:02,656550 aaa: AAA_REQ_FLAG_NORMAL 

    2018 Gen 20 17:18:02.656577 aaa: mts_send_response Operazione riuscita

    2018 Gen 20 17:18:02.700520 aaa: aaa_process_fd_set: mtscallback su aaa_accounting_q

    2018 Gen 20 17:18:02.700688 aaa: OLD OPCODE: accounting_interim_update

    2018 Gen 20 17:18:02.700702 aaa: aaa_create_local_acct_req: user=, session_id=, log=added user fxosro 

    2018 Gen 20 17:18:02.700725 aaa: aaa_req_process for accounting. sessione no 0

    2018 Gen 20 17:18:02.700738 aaa: il riferimento della richiesta MTS è NULL. richiesta LOCALE

    2018 Gen 20 17:18:02.700749 aaa: Impostazione AAA_REQ_RESPONSE_NOT_NEEDED

    2018 Gen 20 17:18:02.700762 aaa: aaa_req_process: Richiesta AAA generale da appln: default appln_subtype: default

    2018 Gen 20 17:18:02.700774 aaa: try_next_aaa_method

    2018 Gen 20 17:18:02.700798 aaa: nessun metodo configurato per il valore predefinito

    2018 Jan 20 17:18:02.700810 aaa: nessuna configurazione disponibile per questa richiesta

    2018 Gen 20 17:18:02.700997 aaa: aaa_send_client_response per accounting. session->flags=254. aaa_resp->flags=0.

    2018 Gen 20 17:18:02.701010 aaa: la risposta per la richiesta di contabilità della vecchia biblioteca sarà inviata come SUCCESS

    2018 Jan 20 17:18:02.701021 aaa: risposta non necessaria per questa richiesta

    2018 Gen 20 17:18:02.701033 aaa: AAA_REQ_FLAG_LOCAL_RESP 

    2018 Gen 20 17:18:02.701044 aaa: aaa_cleanup_session

    2018 Jan 20 17:18:02.701055 aaa: aaa_req dovrebbe essere liberato. 

    2018 Jan 20 17:18:02.701067 aaa: Fall back metodo locale riuscito

    2018 Gen 20 17:18:02.706922 aaa: aaa_process_fd_set

    2018 Gen 20 17:18:02.706937 aaa: aaa_process_fd_set: mtscallback su aaa_accounting_q

    2018 Gen 20 17:18:02.706959 aaa: OLD OPCODE: accounting_interim_update

    2018 Gen 20 17:18:02.706972 aaa: aaa_create_local_acct_req: user=, session_id=, log=added user:fxosro to the role:read-only 

    Dopo un tentativo di autenticazione non riuscito, verrà visualizzato l'output seguente.

    2018 Gen 20 17:15:18.102130 aaa: aaa_process_fd_set

    2018 Gen 20 17:15:18.102149 aaa: aaa_process_fd_set: mtscallback su aaa_q

    2018 Gen 20 17:15:18.102267 aaa: aaa_process_fd_set

    2018 Gen 20 17:15:18.102281 aaa: aaa_process_fd_set: mtscallback su aaa_q

    2018 Gen 20 17:15:18.102363 aaa: aaa_process_fd_set

    2018 Gen 20 17:15:18.102377 aaa: aaa_process_fd_set: mtscallback su aaa_q

    2018 Gen 20 17:15:18.102456 aaa: aaa_process_fd_set

    2018 Gen 20 17:15:18.102468 aaa: aaa_process_fd_set: mtscallback su aaa_q

    2018 Gen 20 17:15:18.102489 aaa: mts_aaa_req_process

    2018 Gen 20 17:15:18.102503 aaa: aaa_req_process per l'autenticazione. sessione n. 0

    2018 Gen 20 17:15:18.102526 aaa: aaa_req_process: Richiesta AAA generale da appln: login appln_subtype: default

    2018 Gen 20 17:15:18.102540 aaa: try_next_aaa_method

    2018 Gen 20 17:15:18.102562 aaa: il totale dei metodi configurati è 1, l'indice corrente da provare è 0

    2018 Gen 20 17:15:18.102575 aaa: handle_req_using_method

    2018 Gen 20 17:15:18.102586 aaa: AAA_METHOD_SERVER_GROUP

    2018 Gen 20 17:15:18.102598 aaa: gruppo aaa_sg_method_handler = raggio

    2018 Jan 20 17:15:18.102610 aaa: Utilizzando sg_protocol che viene passato a questa funzione

    2018 Jan 20 17:15:18.102625 aaa: Invio della richiesta al servizio RADIUS

    2018 Gen 20 17:15:18.102658 aaa: mts_send_msg_to_port_daemon: Lunghezza payload = 371

    2018 Jan 20 17:15:18.102684 aaa: sessione: 0x8dfd68c aggiunto alla tabella delle sessioni 1

    2018 Gen 20 17:15:18.102698 aaa: Gruppo di metodi configurato riuscito

    2018 Gen 20 17:15:18.273682 aaa: aaa_process_fd_set

    2018 Gen 20 17:15:18.273724 aaa: aaa_process_fd_set: mtscallback su aaa_q

    2018 Gen 20 17:15:18.273753 aaa: mts_message_response_handler: an mts response

    2018 Gen 20 17:15:18.273768 aaa: prot_daemon_reponse_handler

    2018 Gen 20 17:15:18.273783 aaa: sessione: 0x8dfd68c rimosso dalla tabella delle sessioni 0

    2018 Gen 20 17:15:18.273801 aaa: is_aaa_resp_status_success status = 2

    2018 Gen 20 17:15:18.273815 aaa: is_aaa_resp_status_success is TRUE

    2018 Gen 20 17:15:18.273829 aaa: aaa_send_client_response per l'autenticazione. session->flags=21. aaa_resp->flags=0.

    2018 Gen 20 17:15:18,273843 aaa: AAA_REQ_FLAG_NORMAL 

    2018 Gen 20 17:15:18.273877 aaa: mts_send_response Operazione riuscita

    2018 Jan 20 17:15:18.273902 aaa: aaa_cleanup_session

    2018 Gen 20 17:15:18.273916 aaa: mts_drop di richiesta msg

    2018 Jan 20 17:15:18.273935 aaa: aaa_req dovrebbe essere liberato. 

    2018 Gen 20 17:15:18.280416 aaa: aaa_process_fd_set

    2018 Gen 20 17:15:18.280443 aaa: aaa_process_fd_set: mtscallback su aaa_q

    2018 Jan 20 17:15:18.280454 aaa: aaa_enable_info_config: GET_REQ per messaggio di errore di accesso aaa

    2018 Gen 20 17:15:18.280460 aaa: restituito il valore restituito della configurazione operazione:elemento di sicurezza sconosciuto

    Informazioni correlate

    Il comando Ethanalyzer sulla cli di FX-OS richiederà una password quando l'autenticazione TACACS/RADIUS è abilitata. Questo comportamento è causato da un bug.

    ID bug: CSCvg87518

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    22-Jan-2018
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Tony Remirez Harfuch
      TAC
    • Jose Soto Nolasco
      TAC
    • Ezequiel Tlecuitl
      TAC

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti