ISE 2.0: Exemplo de configuração de autenticação e autorização de comando TACACS+ da CLI do ASA

Opções de download

  • PDF     (1.6 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (2.1 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (658.7 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:23 de outubro de 2015
ID do documento:200207

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve como configurar a Autenticação TACACS+ e a Autorização de Comando no Cisco Adaptive Security Appliance (ASA) com Identity Service Engine (ISE) 2.0 e posterior. O ISE usa o armazenamento de identidade local para armazenar recursos como usuários, grupos e endpoints.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  •  O firewall ASA está totalmente operacional
  • Conectividade entre ASA e ISE
  • O servidor ISE é inicializado

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco Identity Service Engine 2.0
  • Software Cisco ASA versão 9.5(1)

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

O objetivo da configuração é:

  • Autenticar usuário ssh via Repositório de Identidades Interno
  • Autorize o usuário ssh para que ele seja colocado no modo EXEC privilegiado após o login
  • Verificar e enviar todos os comandos executados ao ISE para verificação

Diagrama de Rede

200207-ISE-2-0-ASA-CLI-TACACS-Authentication-00.png

Configurações

Configurar o ISE para autenticação e autorização

Dois usuários são criados. O administrador do usuário faz parte do grupo de identidade local de administradores de rede no ISE. Este usuário tem privilégios CLI completos. O usuário usuário faz parte da Equipe de Manutenção de Rede do Grupo de Identidade local no ISE. Este usuário tem permissão para fazer apenas comandos show e ping.

Adicionar dispositivo de rede

Navegue até Centros de trabalho > Administração de dispositivos > Recursos de rede > Dispositivos de rede. Clique em Add. Forneça Name, IP Address, marque a caixa de seleção TACACS+ Authentication Settings e forneça a chave Shared Secret. Opcionalmente, é possível especificar o tipo/local do dispositivo.

200207-ISE-2-0-ASA-CLI-TACACS-Authentication-01.png

Configurando grupos de identidade de usuário

Navegue até Centros de trabalho > Administração do dispositivo > Grupos de identidade do usuário. Clique em Add. Forneça o nome e clique em Enviar.

200207-ISE-2-0-ASA-CLI-TACACS-Authentication-02.png

Repita a mesma etapa para configurar o grupo de identidade do usuário da equipe de manutenção de rede.

Configurando usuários

Navegue até Centros de trabalho > Administração de dispositivos > Identidades > Usuários. Clique em Add. Forneça Nome, Senha de login, especifique Grupo de usuários e clique em Enviar.

200207-ISE-2-0-ASA-CLI-TACACS-Authentication-03.png

Repita as etapas para configurar o usuário e atribuir o grupo de identidade do usuário da equipe de manutenção de rede.

Habilitar Serviço de Administração de Dispositivo

Navegue até Administração > Sistema > Implantação. Selecione o Nó necessário. Marque a caixa de seleção Enable Device Admin Service e clique em Save.

200207-ISE-2-0-ASA-CLI-TACACS-Authentication-04.png

Observação: para o TACACS, você precisa ter uma licença separada instalada.

Configurando conjuntos de comandos TACACS

Dois conjuntos de comandos estão configurados. Primeiro PermitAllCommands para o usuário administrador que permite todos os comandos no dispositivo. Segundo PermitPingShowCommands para o usuário user que permite apenas comandos show e ping.

1. Navegue até Centros de trabalho > Administração de dispositivo > Resultados de política > Conjuntos de comandos TACACS. Clique em Add. Forneça o nome PermitAllCommands, marque a caixa de seleção Permit any command that is not listed below e clique em Submit.

200207-ISE-2-0-ASA-CLI-TACACS-Authentication-05.png

2. Navegue até Centros de trabalho > Administração de dispositivo > Resultados de política > Conjuntos de comandos TACACS. Clique em Add. Forneça os comandos Name PermitPingShowCommands, clique em Add e permit show, ping e exit. Por padrão, se Argumentos forem deixados em branco, todos os argumentos serão incluídos. Clique em Submit. 

200207-ISE-2-0-ASA-CLI-TACACS-Authentication-06.png

Configurando o perfil TACACS

Um único perfil TACACS será configurado. A execução real do comando será feita por meio de conjuntos de comandos. Navegue até Centros de trabalho > Administração de dispositivo > Resultados de política > Perfis TACACS. Clique em Add. Forneça o nome ShellProfile, marque a caixa de seleção Privilégio padrão e insira o valor 15. Clique em Submit.

200207-ISE-2-0-ASA-CLI-TACACS-Authentication-07.png

Configurando a política de autorização TACACS

Por padrão, a política de autenticação aponta para All_User_ID_Stores, que também inclui o armazenamento local, para que ele permaneça inalterado.

Navegue até Centros de trabalho > Administração de dispositivos > Conjuntos de diretivas > Padrão > Política de autorização > Editar > Inserir nova regra acima.

200207-ISE-2-0-ASA-CLI-TACACS-Authentication-08.png

 Duas regras de autorização são configuradas; a primeira regra atribui o perfil TACACS ShellProfile e o comando Set PermitAllCommands com base na associação de Admins. de Rede ao Grupo de Identidade de Usuário. A segunda regra atribui o perfil TACACS ShellProfile e o comando Set PermitPingShowCommands com base na associação do Equipe de Manutenção de Rede ao Grupo de Identidade de Usuário.

200207-ISE-2-0-ASA-CLI-TACACS-Authentication-09.png

Configurar o firewall Cisco ASA para autenticação e autorização

1. Crie um usuário local com privilégio total para fallback com o comando username, conforme mostrado aqui

ciscoasa(config)# username cisco password cisco privilege 15

2. Defina o ISE do servidor TACACS, especifique a interface, o endereço ip do protocolo e a chave TACACS.

aaa-server ISE protocol tacacs+
aaa-server ISE (mgmt) host 10.48.17.88
 key cisco

Observação: a chave do servidor deve corresponder àquela definida no ISE Server anteriormente.

3. Teste a acessibilidade do servidor TACACS com o comando test aaa como mostrado.

ciscoasa# test aaa authentication ISE host 10.48.17.88 username administrator Krakow123
INFO: Attempting Authentication test to IP address <10.48.17.88> (timeout: 12 seconds)
INFO: Authentication Successful

A saída do comando anterior mostra que o servidor TACACS está acessível e que o usuário foi autenticado com êxito.

4. Configure a autenticação para ssh, autorização de execução e autorizações de comando como mostrado abaixo. Com aaa authorization exec authentication-server autoenable você será colocado automaticamente no modo EXEC privilegiado.

aaa authentication ssh console ISE 
aaa authorization command ISE 
aaa authorization exec authentication-server auto-enable

Observação: com os comandos acima, a autenticação é feita no ISE, o usuário é colocado diretamente no modo privilegiado e ocorre a autorização do comando.

5. Permita shh na interface de gerenciamento.

ssh 0.0.0.0 0.0.0.0 mgmt

Verificar

Verificação de firewall do Cisco ASA

1. Use o Ssh para o Firewall ASA como administrador que pertence ao Grupo de Identidade de Usuário de acesso completo. O grupo de administradores de rede está mapeado para o ShellProfile e o comando PermitAllCommands definidos no ISE. Tente executar qualquer comando para garantir acesso total.

EKORNEYC-M-K04E:~ ekorneyc$ ssh administrator@10.48.66.202
administrator@10.48.66.202's password:
Type help or '?' for a list of available commands.
ciscoasa#
ciscoasa# configure terminal
ciscoasa(config)# crypto ikev1 policy 10
ciscoasa(config-ikev1-policy)# encryption aes
ciscoasa(config-ikev1-policy)# exit
ciscoasa(config)# exit
ciscoasa#

2. Ssh para o Firewall ASA como usuário que pertence ao Grupo de Identidade de Usuário de acesso limitado. O grupo de Manutenção de Rede está mapeado para o ShellProfile e o comando PermitPingShowCommands definidos no ISE. Tente executar qualquer comando para garantir que somente os comandos show e ping possam ser emitidos.

EKORNEYC-M-K04E:~ ekorneyc$ ssh user@10.48.66.202
administrator@10.48.66.202's password:
Type help or '?' for a list of available commands.
ciscoasa#
ciscoasa# show version | include Software
Cisco Adaptive Security Appliance Software Version 9.5(1)
ciscoasa# ping 8.8.8.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/24/30 ms
ciscoasa# configure terminal
Command authorization failed
ciscoasa# traceroute 8.8.8.8
Command authorization failed

Verificação do ISE 2.0

1. Navegue até Operations > TACACS Livelog. Certifique-se de que as tentativas feitas acima sejam vistas.

200207-ISE-2-0-ASA-CLI-TACACS-Authentication-10.png

2. Clique nos detalhes de um dos relatórios em vermelho, o comando failed executado anteriormente pode ser visto.

200207-ISE-2-0-ASA-CLI-TACACS-Authentication-11.png

Troubleshooting

Erro: Falha na tentativa: falha na autorização do comando

Verifique os atributos SeletedCommandSet para verificar se os Conjuntos de Comandos esperados foram selecionados pela política de Autorização

Informações Relacionadas

Suporte Técnico e Documentação - Cisco Systems

Notas da versão do ISE 2.0

Guia de instalação de hardware do ISE 2.0

Guia de atualização do ISE 2.0

Guia da ferramenta de migração ACS para ISE

Guia de integração do Ative Diretory do ISE 2.0

Guia do administrador do mecanismo ISE 2.0

Histórico de revisões

Revisão Data de publicação Comentários
1.0
23-Oct-2015
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Eugene Korneychuk
    Engenheiro do Cisco TAC

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos