Sistema operacional Firepower eXtensible (FXOS) 2.2: Autenticação e autorização do chassi para gerenciamento remoto com ACS usando RADIUS
Contents
Introduction
Este documento descreve como configurar a Autenticação e a Autorização RADIUS para o chassi do Sistema Operacional Extensível Firepower (FXOS) através do Access Control Server (ACS).
O chassi FXOS inclui as seguintes funções de usuário:
- Administrador - Acesso completo de leitura e gravação a todo o sistema. A conta admin padrão recebe essa função por padrão e não pode ser alterada.
- Somente leitura - Acesso somente leitura à configuração do sistema sem privilégios para modificar o estado do sistema.
- Operações - Acesso de leitura e gravação à configuração do NTP, configuração do Smart Call Home para Smart Licensing e registros do sistema, incluindo servidores de syslog e falhas. Leia o acesso ao restante do sistema.
- AAA - acesso de leitura e gravação a usuários, funções e configuração de AAA. Leia o acesso ao restante do sistema.
Através da CLI, isso pode ser visto da seguinte maneira:
fpr4120-TAC-A /security* # show role
Função:
Nome da função Priv
—
aaa aaa
admin admin
operações operacionais
somente leitura
Contribuído por Tony Remirez, José Soto, engenheiros do TAC da Cisco.
Prerequisites
Requirements
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Conhecimento do Firepower eXtensible Operating System (FXOS)
- Conhecimento da configuração do ACS
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- Cisco Firepower 4120 Security Appliance versão 2.2
- Virtual Cisco Access Control Server versão 5.8.0.32
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Configurar
O objetivo da configuração é:
- Autentique os usuários que fazem login na GUI baseada na Web e no SSH do FXOS por meio do ACS.
- Autorize os usuários a fazer login na GUI baseada na Web e no SSH do FXOS de acordo com sua respectiva função de usuário por meio do ACS.
- Verifique o funcionamento correto da autenticação e autorização no FXOS por meio do ACS.
Diagrama de Rede
Configurações
Configurando o chassi FXOS
Criando um provedor RADIUS usando o gerenciador de chassi
Etapa 1. Navegue até Configurações da plataforma > AAA.
Etapa 2. Clique na guia RADIUS.
Etapa 3. Para cada provedor RADIUS que você deseja adicionar (até 16 provedores).
3.1. Na área RADIUS Providers, clique em Add.
3.2. Na caixa de diálogo Adicionar provedor RADIUS, insira os valores necessários.
3.3. Clique em OK para fechar a caixa de diálogo Adicionar provedor RADIUS.
Etapa 4. Click Save.
Etapa 5. Navegue até System > User Management > Settings.
Etapa 6. Em Autenticação padrão, escolha RADIUS.
Criando um provedor RADIUS usando CLI
Etapa 1. Para habilitar a autenticação RADIUS, execute os seguintes comandos.
segurança de escopo fpr4120-TAC-A#
fpr4120-TAC-A /security # scope default-auth
fpr4120-TAC-A /security/default-auth # set realm radius
Etapa 2. Use o comando show detail para exibir os resultados.
fpr4120-TAC-A /security/default-auth # show detail
Autenticação padrão:
Domínio administrativo: Radius
Domínio operacional: Radius
Período de atualização da sessão da Web (em segundos): 600
Tempo limite da sessão (em segundos) para sessões web, ssh, telnet: 600
Tempo limite da sessão absoluta (em segundos) para sessões web, ssh, telnet: 3600
Tempo limite da sessão do console serial (em segundos): 600
Tempo limite da sessão absoluta do console serial (em segundos): 3600
Grupo de servidores de Autenticação do Administrador:
Grupo de servidores de Autenticação Operacional:
Uso do segundo fator: No
Etapa 3. Para configurar os parâmetros do servidor RADIUS, execute os seguintes comandos.
segurança de escopo fpr4120-TAC-A#
raio de escopo fpr4120-TAC-A /security #
fpr4120-TAC-A /security/radius # entre no servidor 10.88.244.16
fpr4120-TAC-A /security/radius/server # set descr "ISE Server"
fpr4120-TAC-A /security/radius/server* # set key
Digite a chave: ******
Confirme a chave: ******
Etapa 4. Use o comando show detail para exibir os resultados.
fpr4120-TAC-A /security/radius/server* # show detail
Servidor RADIUS:
Nome do host, FQDN ou endereço IP: 10.88.244.16
Descr:
Pedido: 1
Porta Aut.: 1812
Chave: ****
tempo limite: 5
Configurando o servidor ACS
Adicionando o FXOS como um recurso de rede
Etapa 1. Navegue até Network Resources > Network Devices and AAA Clients.
Etapa 2. Clique em Criar.
Etapa 3. Insira os valores necessários (Nome, Endereço IP, Tipo de dispositivo e Habilitar RADIUS e adicione a CHAVE).
Etapa 4. Clique em Submit.
Criando grupos de identidade e usuários
Etapa 1. Navegue até Usuários e Repositórios de identidades > Grupos de identidades.
Etapa 2. Clique em Criar.
Etapa 3. Insira o valor para Nome e clique em Enviar.
Etapa 4. Repita as etapas 2 e 3 para todas as funções de usuário necessárias.
Etapa 5. Navegue até Usuários e lojas de identidade > Lojas de identidade internas > Usuários.
Etapa 6. Clique em Criar.
Passo 7. Insira os valores necessários (Nome, Grupo de Identidades, Senha).
Etapa 8. Repita as etapas 6 e 7 para todos os usuários necessários.
Criando o perfil de autorização para cada função de usuário
Etapa 1. Navegue até Elementos de política > Autorização e permissões > Acesso à rede > Perfis de autorização > Clique em Criar.
Etapa 2. Preencha todos os atributos do perfil de autorização.
2.1. Configure o Nome do perfil na guia Geral.
2.2. Na guia RADIUS Attributes, configure o seguinte CISCO-AV-PAIR
cisco-av-pair=shell:funções="aaa"
2.3. Clique em ADD /\ e em Submit.
Etapa 3. Repita as etapas 1 e 2 para as funções de usuário restantes usando os seguintes pares Cisco-AV
cisco-av-pair=shell:funções="admin"
cisco-av-pair=shell:funções="operações"
cisco-av-pair=shell:funções="somente leitura"
Criando a política de acesso à rede
Etapa 1. Navegue até Access Policies > Access Services > Default Network Access > Authorization > Click Create.
Etapa 2. Preencha os parâmetros necessários (Grupo de identidades, Tipo de dispositivo e Perfil de autorização) e clique em OK.
Etapa 3. Repita as etapas 1 e 2 para todas as funções de usuário.
Etapa 4. Clique em Save Changes (Salvar alterações) na parte inferior da página.
Verificar
Agora você pode testar cada usuário e verificar a função de usuário atribuída.
Verificação do chassi FXOS
- Faça Telnet ou SSH para o chassi FXOS e faça login usando qualquer um dos usuários criados no ISE.
Nome de usuário: fxosadmin
Senha:
fpr4120-TAC-A# segurança de escopo
fpr4120-TAC-A /security # show remote-user detail
Arquivo de usuário remoto:
Descrição:
Funções de usuário:
Nome: aaa
Nome: somente leitura
Usuário remoto fxosadmin:
Descrição:
Funções de usuário:
Nome: admin
Nome: somente leitura
Usuário remoto operacional:
Descrição:
Funções de usuário:
Nome: operações
Nome: somente leitura
Fxosor do usuário remoto:
Descrição:
Funções de usuário:
Nome: somente leitura
Dependendo do nome de usuário inserido, a cli do chassi do FXOS exibirá apenas os comandos autorizados para a função de usuário atribuída.
Função de Usuário Admin.
fpr4120-TAC-A /security # ?
Reconhecer
clear-user-sessions Clear User Sessions
criar objetos gerenciados
excluir excluir objetos gerenciados
desabilitar desabilita serviços
enable Habilita serviços
inserir um objeto gerenciado
escopo Altera o modo atual
definir valores de propriedade
show system information
terminar sessões cimc ativas
fpr4120-TAC-A# connect fxos
fpr4120-TAC-A (fxos)# debug aaa-requests
fpr4120-TAC-A (fxos)#
Função de usuário somente leitura.
fpr4120-TAC-A /security # ?
escopo Altera o modo atual
definir valores de propriedade
show system information
fpr4120-TAC-A# connect fxos
fpr4120-TAC-A (fxos)# debug aaa-requests
% Permissão negada para a função
- Navegue até o endereço IP do chassi FXOS e faça login usando qualquer um dos usuários criados no ISE.
Função de Usuário Admin.
Usuário somente leitura:
Verificação ACS
- Navegue até Monitoring and Reports > Launch Monitoring and Report viewer > Reports > AAA Protocol > Radius Authentication > Click Run. Você deve ser capaz de ver tentativas bem-sucedidas e com falha.
Troubleshoot
Para depurar a autenticação e a autorização AAA, execute os seguintes comandos na cli do FXOS.
fpr4120-TAC-A# connect fxos
fpr4120-TAC-A (fxos)# debug aaa-requests
fpr4120-TAC-A (fxos)# debug aaa event
fpr4120-TAC-A (fxos)#debug aaa errors
fpr4120-TAC-A (fxos)#term mon
Após uma tentativa de autenticação bem-sucedida, você verá a seguinte saída.
2018 Fev 5 14:21:30.017289 aaa: aaa_req_process para autenticação. session no 0
2018 fev 5 14:21:30.017330 aaa: aaa_req_process: Solicitação geral de AAA do appln: login appln_subtype: padrão
2018 fev 5 14:21:30.017360 aaa: try_next_aaa_method
2018 Fev 5 14:21:30.017395 aaa: total de métodos configurados é 1, índice atual a ser tentado é 0
2018 Fev 5 14:21:30.017425 aaa: fp_req_using_method
2018 Fev 5 14:21:30.017451 aaa: AAA_METOD_SERVER_GROUP
2018 Fev 5 14:21:30.017479 aaa: aaa_sg_method_handler group = radius
2018 fev 5 14:21:30.017506 aaa: Usando sg_protocol que é passado para esta função
2018 Fev 5 14:21:30.017537 aaa: Enviando solicitação para o serviço RADIUS
2018 fev 5 14:21:30.017707 aaa: Grupo de métodos configurado com êxito
2018 Fev 5 14:21:30.123584 aaa: aaa_process_fd_set: mtscallback em aaa_q
2018 Fev 5 14:21:30.123625 aaa: mts_message_response_handler: uma resposta mts
2018 Fev 5 14:21:30.123654 aaa: prot_daemon_reponse_handler
2018 Fev 5 14:21:30.123713 aaa: is_aaa_resp_status_successful status = 1
2018 Fev 5 14:21:30.123741 aaa: is_aaa_resp_status_successful é TRUE
2018 Fev 5 14:21:30.123768 aaa: aaa_send_client_response para autenticação. session->flags=21. aaa_resp->flags=0.
2018 Fev 5 14:21:30.123795 aaa: AAA_REQ_FLAG_NORMAL
2018 fev 5 14:21:30.123880 aaa: mts_send_response Bem-sucedido
2018 fev 5 14:21:30.290059 aaa: CÓDIGO ANTIGO: accounting_mid_update
2018 fev 5 14:21:30.290087 aaa: aaa_create_local_acct_req: user=, session_id=, log=add user fxosro
2018 Fev 5 14:21:30.290122 aaa: aaa_req_process para contabilidade. session no 0
2018 fev 5 14:21:30.290148 aaa: A referência de solicitação MTS é NULL. solicitação LOCAL
2018 Fev 5 14:21:30.290174 aaa: Definindo AAA_REQ_RESPONSE_NOT_NEEDED
2018 fev 5 14:21:30.290202 aaa: aaa_req_process: Solicitação geral de AAA do appln: appln_subtype padrão: padrão
2018 fev 5 14:21:30.290230 aaa: try_next_aaa_method
2018 fev 5 14:21:30.290270 aaa: nenhum método configurado para o padrão
2018 Fev 5 14:21:30.290299 aaa: nenhuma configuração disponível para esta solicitação
2018 Fev 5 14:21:30.29033 aaa: try_fallback_method
2018 Fev 5 14:21:30.290364 aaa: fp_req_using_method
2018 Fev 5 14:21:30.290391 aaa: local_method_handler
2018 Fev 5 14:21:30.290419 aaa: aaa_local_accounting_msg
2018 fev 5 14:21:30.290448 aaa: atualização::usuário adicionado fxosro
2018 Fev 5 14:21:30.290475 aaa: a lista av é nula. Sem ID de vsan
2018 fev 5 14:21:30.290607 aaa: aaa_send_client_response para contabilidade. session->flags=254. aaa_resp->flags=0.
2018 Fev 5 14:21:30.290635 aaa: resposta para solicitação de contabilização de biblioteca antiga será enviada como SUCESSO
2018 fev 5 14:21:30.290659 aaa: resposta não necessária para esta solicitação
2018 Fev 5 14:21:30.290684 aaa: AAA_REQ_FLAG_LOCAL_RESP
2018 fev 5 14:21:30.290708 aaa: aaa_cleanup_session
2018 Fev 5 14:21:30.290732 aaa: aaa_req deve ser liberada.
2018 fev 5 14:21:30.290757 aaa: Método de retorno local bem-sucedido
2018 Fev 5 14:21:30.312898 aaa: aaa_process_fd_set
2018 Fev 5 14:21:30.312932 aaa: aaa_process_fd_set: mtscallback em aaa_accounting_q
2018 Fev 5 14:21:30.312977 aaa: CÓDIGO ANTIGO: accounting_mid_update
2018 fev 5 14:21:30.313007 aaa: aaa_create_local_acct_req: user=, session_id=, log=add user:fxosro para a função:read-only
2018 Fev 5 14:21:30.313044 aaa: aaa_req_process para contabilidade. session no 0
2018 Fev 5 14:21:30.313071 aaa: A referência de solicitação MTS é NULL. solicitação LOCAL
2018 Fev 5 14:21:30.313099 aaa: Definindo AAA_REQ_RESPONSE_NOT_NEEDED
2018 Fev 5 14:21:30.313125 aaa: aaa_req_process: Solicitação geral de AAA do appln: appln_subtype padrão: padrão
2018 Fev 5 14:21:30.313149 aaa: try_next_aaa_method
2018 Fev 5 14:21:30.313185 aaa: nenhum método configurado para o padrão
2018 Fev 5 14:21:30.313213 aaa: nenhuma configuração disponível para esta solicitação
2018 fev 5 14:21:30.313240 aaa: try_fallback_method
2018 Fev 5 14:21:30.313267 aaa: fp_req_using_method
2018 Fev 5 14:21:30.313294 aaa: local_method_handler
2018 Fev 5 14:21:30.313321 aaa: aaa_local_accounting_msg
2018 Fev 5 14:21:30.313493 aaa: atualização:::usuário adicionado:fxosro para a função:somente leitura
2018 fev 5 14:21:30.313520 aaa: a lista av é nula. Sem ID de vsan
2018 fev 5 14:21:30.313670 aaa: aaa_send_client_response para contabilidade. session->flags=254. aaa_resp->flags=0.
2018 Fev 5 14:21:30.313698 aaa: resposta para solicitação de contabilização de biblioteca antiga será enviada como SUCESSO
2018 Fev 5 14:21:30.313722 aaa: resposta não necessária para esta solicitação
2018 Fev 5 14:21:30.313747 aaa: AAA_REQ_FLAG_LOCAL_RESP
2018 fev 5 14:21:30.313770 aaa: aaa_cleanup_session
2018 Fev 5 14:21:30.313793 aaa: aaa_req deve ser liberada.
2018 fev 5 14:21:30.313818 aaa: Método de retorno local bem-sucedido
2018 Fev 5 14:21:30.313865 aaa: aaa_process_fd_set
2018 fev 5 14:21:30.313890 aaa: aaa_process_fd_set: mtscallback em aaa_q
2018 Fev 5 14:21:32.339136 aaa: aaa_process_fd_set
2018 Fev 5 14:21:32.339177 aaa: aaa_process_fd_set: mtscallback em aaa_q
2018 fev 5 14:21:32.339218 aaa: mts_aaa_req_process
2018 Fev 5 14:21:32.339252 aaa: aaa_req_process para contabilidade. session no 0
2018 fev 5 14:21:32.339280 aaa: Definindo AAA_REQ_RESPONSE_NOT_NEEDED
2018 Fev 5 14:21:32.339307 aaa: aaa_req_process: Solicitação geral de AAA do appln: appln_subtype padrão: padrão
2018 Fev 5 14:21:32.339335 aaa: try_next_aaa_method
2018 Fev 5 14:21:32.339374 aaa: nenhum método configurado para o padrão
2018 Fev 5 14:21:32.339401 aaa: nenhuma configuração disponível para esta solicitação
2018 Fev 5 14:21:32.339429 aaa: try_fallback_method
2018 Fev 5 14:21:32.339456 aaa: fp_req_using_method
2018 Fev 5 14:21:32.339482 aaa: local_method_handler
2018 Fev 5 14:21:32.339506 aaa: aaa_local_accounting_msg
2018 Fev 5 14:21:32.339533 aaa: atualização:::habilitado (nulo)
2018 Fev 5 14:21:32.339558 aaa: a lista av é nula. Sem ID de vsan
2018 Fev 5 14:21:32.339680 aaa: aaa_send_client_response para contabilidade. session->flags=211. aaa_resp->flags=0.
2018 Fev 5 14:21:32.339707 aaa: resposta não necessária para esta solicitação
2018 Fev 5 14:21:32.339732 aaa: AAA_REQ_FLAG_LOCAL_RESP
2018 Fev 5 14:21:32.339756 aaa: aaa_cleanup_session
2018 Fev 5 14:21:32.339780 aaa: mts_drop de msg de solicitação
2018 Fev 5 14:21:32.339821 aaa: Método de retorno local bem-sucedido
Após uma tentativa de autenticação com falha, você verá a seguinte saída.
2018 Fev 5 14:16:13.899605 aaa: mts_aaa_req_process
2018 Fev 5 14:16:13.899625 aaa: aaa_req_process para autenticação. session no 0
2018 Fev 5 14:16:13.899645 aaa: aaa_enable_info_config: GET_REQ para solicitação direcionada do servidor radius
2018 Fev 5 14:16:13.899666 aaa: recuperou o valor de retorno da operação de configuração:item de segurança desconhecido
2018 Fev 5 14:16:13.899685 aaa: aaa_enable_info_config: GET_REQ para solicitação direcionada de servidor TACACS+
2018 Fev 5 14:16:13.899712 aaa: recuperou o valor de retorno da operação de configuração:item de segurança desconhecido
2018 Fev 5 14:16:13.899736 aaa: aaa_req_process: Solicitação geral de AAA do appln: login appln_subtype: padrão
2018 Fev 5 14:16:13.899755 aaa: try_next_aaa_method
2018 Fev 5 14:16:13.899776 aaa: aaa_method_config: Solicitação GET para login de autenticação padrão
2018 Fev 5 14:16:13.899798 aaa: aaa_method_config: GET method group radius
2018 Fev 5 14:16:13.899817 aaa: recuperou o valor de retorno da operação de configuração do método aaa:SUCCESS
2018 Fev 5 14:16:13.899841 aaa: total de métodos configurados é 1, índice atual a ser tentado é 0
2018 Fev 5 14:16:13.899862 aaa: fp_req_using_method
2018 fev 5 14:16:13.909905 aaa: AAA_METOD_SERVER_GROUP
2018 fev 5 14:16:13.909937 aaa: aaa_sg_method_handler group = radius
2018 fev 5 14:16:13.909967 aaa: Usando sg_protocol que é passado para esta função
2018 fev 5 14:16:13.909998 aaa: Enviando solicitação para o serviço RADIUS
2018 fev 5 14:16:13.910085 aaa: mts_send_msg_to_prot_daemon: Comprimento da carga útil = 368
2018 fev 5 14:16:13.910142 aaa: sessão: 0x85c1c54 adicionado à tabela de sessões 1
2018 Fev 5 14:16:13.910174 aaa: Grupo de métodos configurado com êxito
2018 fev 5 14:16:13.995770 aaa: aaa_process_fd_set
2018 Fev 5 14:16:13.995809 aaa: aaa_process_fd_set: mtscallback em aaa_q
2018 fev 5 14:16:13.995848 aaa: mts_message_response_handler: uma resposta mts
2018 Fev 5 14:16:13.997143 aaa: prot_daemon_reponse_handler
2018 Fev 5 14:16:13.997171 aaa: sessão: 0x85c1c54 removido da tabela de sessão 0
2018 Fev 5 14:16:13.997201 aaa: is_aaa_resp_status_successful status = 2
2018 Fev 5 14:16:13.997229 aaa: is_aaa_resp_status_successful é TRUE
2018 Fev 5 14:16:13.997256 aaa: aaa_send_client_response para autenticação. session->flags=21. aaa_resp->flags=0.
2018 Fev 5 14:16:13.997283 aaa: AAA_REQ_FLAG_NORMAL
2018 Fev 5 14:16:13.997369 aaa: mts_send_response Bem-sucedido
2018 Fev 5 14:16:13.998845 aaa: aaa_cleanup_session
2018 Fev 5 14:16:13.998875 aaa: mts_drop de msg de solicitação
2018 Fev 5 14:16:13.998921 aaa: aaa_req deve ser liberada.
2018 Fev 5 14:16:13.998974 aaa: aaa_process_fd_set
2018 fev 5 14:16:13.999003 aaa: aaa_process_fd_set: mtscallback em aaa_q
2018 Fev 5 14:16:13.999341 aaa: aaa_enable_info_config: GET_REQ para uma mensagem de erro de login
2018 Fev 5 14:16:13.999378 aaa: recuperou o valor de retorno da operação de configuração:item de segurança desconhecido
Informações Relacionadas
O comando Ethanalyzer na cli FX-OS solicitará uma senha quando a autenticação TACACS/RADIUS estiver habilitada. Esse comportamento é causado por um bug.
ID do bug: CSCvg87518
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)