Firepower可扩展操作系统(FXOS)2.2:使用RADIUS的ACS进行远程管理的机箱身份验证和授权

简介

本文档介绍如何通过访问控制服务器(ACS)为Firepower可扩展操作系统(FXOS)机箱配置RADIUS身份验证和授权。

FXOS机箱包括以下用户角色：

• 管理员 — 完成对整个系统的读写访问。默认管理员帐户默认分配此角色，且无法更改。
• 只读 — 对系统配置的只读访问，无权修改系统状态。
• 操作 — 对NTP配置、智能许可的Smart Call Home配置和系统日志（包括系统日志服务器和故障）的读写访问。读取系统其余部分的访问权限。
• AAA — 对用户、角色和AAA配置的读写访问。读取系统其余部分的访问权限。

通过CLI，可以看到如下内容：

fpr4120-TAC-A /security* # show role

角色：        

    角色名称优先级

    —

    aaa

    管理员

    运营

    只读只读只读

作者：Tony Remirez、Jose Soto，Cisco TAC工程师。

先决条件

要求

Cisco 建议您了解以下主题：

• Firepower可扩展操作系统(FXOS)知识
• ACS配置知识

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 思科Firepower 4120安全设备版本2.2
• 虚拟思科访问控制服务器版本5.8.0.32

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 

配置

配置的目标是：

• 通过ACS对登录FXOS基于Web的GUI和SSH的用户进行身份验证。
• 通过ACS根据用户角色，授权用户登录FXOS基于Web的GUI和SSH。
• 通过ACS验证FXOS上身份验证和授权的正确操作。

网络图

配置

配置FXOS机箱

使用机箱管理器创建RADIUS提供程序

步骤1.导航至Platform Settings > AAA。

步骤2.单击RADIUS选项卡。

步骤3.对于要添加的每个RADIUS提供程序（最多16个提供程序）。

            3.1.在RADIUS提供程序区域中，单击Add。

            3.2.在添加RADIUS提供程序对话框中，输入所需的值。

            3.3.单击“确定”关闭“添加RADIUS提供程序”对话框。

步骤4.单击“保存”。

步骤5.导航至System > User Management > Settings。

步骤6.在Default Authentication下选择RADIUS。

使用CLI创建RADIUS提供程序

步骤1.要启用RADIUS身份验证，请运行以下命令。

fpr4120-TAC-A#范围安全

fpr4120-TAC-A /security # scope default-auth

fpr4120-TAC-A /security/default-auth # set realm radius

步骤2.使用show detail命令显示结果。

fpr4120-TAC-A /security/default-auth # show detail

默认身份验证：

    管理领域：RADIUS

    运营领域：RADIUS

    Web会话刷新期（秒）：600

    Web、ssh、telnet会话的会话超时（秒）：600

    Web、ssh、telnet会话的绝对会话超时（秒）：3600

    串行控制台会话超时（秒）：600

    串行控制台绝对会话超时（秒）：3600

    管理员身份验证服务器组：

    操作身份验证服务器组：

    第2因素的使用：无

步骤3.要配置RADIUS服务器参数，请运行以下命令。

fpr4120-TAC-A#范围安全

fpr4120-TAC-A /security # scope radius

fpr4120-TAC-A /security/radius #输入服务器10.88.244.16

fpr4120-TAC-A /security/radius/server # set descr "ISE Server"

fpr4120-TAC-A /security/radius/server* # set key

输入密钥：******

确认密钥：******

步骤4.使用show detail命令显示结果。

fpr4120-TAC-A /security/radius/server* # show detail

RADIUS 服务器:

    主机名、FQDN或IP地址：10.88.244.16

    描述：

    订单：1

    验证端口:1812

    密钥:****

    超时：5

配置ACS服务器

将FXOS添加为网络资源

步骤1.导航至Network Resources > Network Devices and AAA Clients。

步骤2.单击“创建”。

步骤3.输入所需的值（Name、IP Address、Device Type和Enable RADIUS，并添加KEY）。

步骤4.单击“提交”。

创建身份组和用户

步骤1.导航至“用户和身份库”>“身份组”。

步骤2.单击“创建”。

步骤3.输入名称值，然后单击“提交”。

步骤4.对所有所需的用户角色重复步骤2和步骤3。

步骤5.导航至“用户和身份库”>“内部身份库”>“用户”。

步骤6.单击“创建”。

步骤7.输入所需的值(Name、Identity Group、Password)。

步骤8.对所有必需用户重复步骤6和7。

为每个用户角色创建授权配置文件

步骤1.导航至Policy Elements > Authorization and Permissions > Network Access > Authorization Profiles > Click Create。

步骤2.填写授权配置文件的所有属性。

        2.1.在“常规”选项卡中配置配置文件名称。

        2.2.在“RADIUS属性”选项卡中，配置以下CISCO-AV-PAIR

cisco-av-pair=shell:roles="aaa"

        2.3.单击“添加/\”，然后单击提交。

步骤3.使用以下Cisco-AV-Pair对剩余的用户角色重复步骤1和2

cisco-av-pair=shell:roles="admin"

cisco-av-pair=shell:roles="operations"

cisco-av-pair=shell:roles="只读"

创建网络访问策略

步骤1.导航至Access Policies > Access Services > Default Network Access > Authorization > Click Create。

步骤2.填写所需参数（身份组、设备类型和授权配置文件），然后点击确定。

步骤3.对所有用户角色重复步骤1和2。

步骤4.单击页面底部的Save Changes。

验证

您现在可以测试每个用户并验证分配的用户角色。

FXOS机箱验证

1. Telnet或SSH至FXOS机箱，并使用ISE上任何已创建的用户登录。

username：fxosadmin

密码：

fpr4120-TAC-A#范围安全

fpr4120-TAC-A /security # show remote-user detail

远程用户fxosaa:

    描述:

    用户角色:

        名称：aaa

        名称：只读

远程用户fxosadmin:

    描述:

    用户角色:

        名称：admin

        名称：只读

远程用户fxosoper:

    描述:

    用户角色:

        名称：运营

        名称：只读

远程用户fxosro:

    描述:

    用户角色:

        名称：只读

根据输入的用户名，FXOS机箱cli将仅显示为分配的用户角色授权的命令。

管理员用户角色。

fpr4120-TAC-A /security #?

  确认确认

  clear-user-sessionsclear User Sessions

  创建托管对象

  删除托管对象

  禁用禁用服务

  启用服务

  输入管理对象

  范围更改当前模式

  设置属性值

  显示系统信息

  终止活动CIMC会话

fpr4120-TAC-A#connect fxos

fpr4120-TAC-A(fxos)# debug aaa aaa-requests

fpr4120-TAC-A(fxos)#

只读用户角色。

fpr4120-TAC-A /security #?

  范围更改当前模式

  设置属性值

  显示系统信息

fpr4120-TAC-A#connect fxos

fpr4120-TAC-A(fxos)# debug aaa aaa-requests

拒绝角色的权限百分比

2. 浏览到FXOS机箱IP地址并使用ISE上任何已创建的用户登录。

管理员用户角色。

只读用户：

注意：请注意，“添加”按钮呈灰色显示。

ACS验证

1. 导航至监控和报告>启动监控和报告查看器>报告> AAA协议> RADIUS身份验证>单击运行。您应该能够看到成功和失败的尝试。

故障排除

要调试AAA身份验证和授权，请在FXOS cli中运行以下命令。

fpr4120-TAC-A#connect fxos

fpr4120-TAC-A(fxos)# debug aaa aaa-requests

fpr4120-TAC-A(fxos)# debug aaa event

fpr4120-TAC-A(fxos)# debug aaa errors

fpr4120-TAC-A(fxos)#期限监控器

身份验证尝试成功后，您将看到以下输出。

2018年2月5日14:21:30.017289 aaa:aaa_req_process进行身份验证。session no 0

2018年2月5日14:21:30.017330 aaa:aaa_req_process:来自应用的常规AAA请求：login appln_subtype:默认

2018年2月5日14:21:30.017360 aaa:try_next_aaa_method

2018年2月5日14:21:30.017395 aaa:配置的方法总数为1，当前要尝试的索引为0

2018年2月5日14:21:30.017425 aaa:handle_req_using_method

2018年2月5日14:21:30.017451 aaa:AAA_METHOD_SERVER_GROUP

2018年2月5日14:21:30.017479 aaa:aaa_sg_method_handler组= radius

2018年2月5日14:21:30.017506 aaa:使用传递给此函数的sg_protocol

2018年2月5日14:21:30.017537 aaa:向RADIUS服务发送请求

2018年2月5日14:21:30.017707 aaa:已成功配置方法组

2018年2月5日14:21:30.123584 aaa:aaa_process_fd_set:aaa_q上的mtscallback

2018年2月5日14:21:30.123625 aaa:mts_message_response_handler:MTS响应

2018年2月5日14:21:30.123654 aaa:prot_daemon_reponse_handler

2018年2月5日14:21:30.123713 aaa:is_aaa_resp_status_success状态= 1

2018年2月5日14:21:30.123741 aaa:is_aaa_resp_status_success为TRUE

2018年2月5日14:21:30.123768 aaa:aaa_send_client_response以进行身份验证。session->flags=21。aaa_resp->flags=0。

2018年2月5日14:21:30.123795 aaa:AAA_REQ_FLAG_NORMAL 

2018年2月5日14:21:30.123880 aaa:mts_send_response成功

2018年2月5日14:21:30.290059 aaa:旧操作码：accounting_interim_update

2018年2月5日14:21:30.290087 aaa:aaa_create_local_acct_req:user=, session_id=, log=added user fxosro 

2018年2月5日14:21:30.290122 aaa:aaa_req_process，用于记帐。session no 0

2018年2月5日14:21:30.290148 aaa:MTS请求引用为NULL。本地请求

2018年2月5日14:21:30.290174 aaa:设置AAA_REQ_RESPONSE_NOT_NEEDEDED

2018年2月5日14:21:30.290202 aaa:aaa_req_process:来自应用的常规AAA请求：default appln_subtype:默认

2018年2月5日14:21:30.290230 aaa:try_next_aaa_method

2018年2月5日14:21:30.290270 aaa:没有默认配置方法

2018年2月5日14:21:30.290299 aaa:此请求没有可用的配置

2018年2月5日14:21:30.290333 aaa:try_fallback_method

2018年2月5日14:21:30.290364 aaa:handle_req_using_method

2018年2月5日14:21:30.290391 aaa:local_method_handler

2018年2月5日14:21:30.290419 aaa:aaa_local_accounting_msg

2018年2月5日14:21:30.290448 aaa:更新：:：已添加用户fxosro

2018年2月5日14:21:30.290475 aaa:av列表为空。无vsan id

2018年2月5日14:21:30.290607 aaa:aaa_send_client_response用于记帐。session->flags=254。aaa_resp->flags=0。

2018年2月5日14:21:30.290635 aaa:对旧库的记帐请求的响应将作为SUCCESS发送

2018年2月5日14:21:30.290659 aaa:此请求不需要响应

2018年2月5日14:21:30.290684 aaa:AAA_REQ_FLAG_LOCAL_RESP 

2018年2月5日14:21:30.290708 aaa:aaa_cleanup_session

2018年2月5日14:21:30.290732 aaa:aaa_req应被释放。 

2018年2月5日14:21:30.290757 aaa:本地回退方法成功

2018年2月5日14:21:30.312898 aaa:aaa_process_fd_set

2018年2月5日14:21:30.312932 aaa:aaa_process_fd_set:aaa_accounting_q上的mtscallback

2018年2月5日14:21:30.312977 aaa:旧操作码：accounting_interim_update

2018年2月5日14:21:30.313007 aaa:aaa_create_local_acct_req:user=, session_id=, log=added user:fxosro to role:read-only 

2018年2月5日14:21:30.313044 aaa:aaa_req_process，用于记帐。session no 0

2018年2月5日14:21:30.313071 aaa:MTS请求引用为NULL。本地请求

2018年2月5日14:21:30.313099 aaa:设置AAA_REQ_RESPONSE_NOT_NEEDEDED

2018年2月5日14:21:30.313125 aaa:aaa_req_process:来自应用的常规AAA请求：default appln_subtype:默认

2018年2月5日14:21:30.313149 aaa:try_next_aaa_method

2018年2月5日14:21:30.313185 aaa:没有默认配置方法

2018年2月5日14:21:30.313213 aaa:此请求没有可用的配置

2018年2月5日14:21:30.313240 aaa:try_fallback_method

2018年2月5日14:21:30.313267 aaa:handle_req_using_method

2018年2月5日14:21:30.313294 aaa:local_method_handler

2018年2月5日14:21:30.313321 aaa:aaa_local_accounting_msg

2018年2月5日14:21:30.313493 aaa:update:::added user:fxosro to role:read-only

2018年2月5日14:21:30.313520 aaa:av列表为空。无vsan id

2018年2月5日14:21:30.313670 aaa:aaa_send_client_response用于记帐。session->flags=254。aaa_resp->flags=0。

2018年2月5日14:21:30.313698 aaa:对旧库的记帐请求的响应将作为SUCCESS发送

2018年2月5日14:21:30.313722 aaa:此请求不需要响应

2018年2月5日14:21:30.313747 aaa:AAA_REQ_FLAG_LOCAL_RESP 

2018年2月5日14:21:30.313770 aaa:aaa_cleanup_session

2018年2月5日14:21:30.313793 aaa:aaa_req应被释放。 

2018年2月5日14:21:30.313818 aaa:本地回退方法成功

2018年2月5日14:21:30.313865 aaa:aaa_process_fd_set

2018年2月5日14:21:30.313890 aaa:aaa_process_fd_set:aaa_q上的mtscallback

2018年2月5日14:21:32.339136 aaa:aaa_process_fd_set

2018年2月5日14:21:32.339177 aaa:aaa_process_fd_set:aaa_q上的mtscallback

2018年2月5日14:21:32.339218 aaa:mts_aaa_req_process

2018年2月5日14:21:32.339252 aaa:aaa_req_process，用于记帐。session no 0

2018年2月5日14:21:32.339280 aaa:设置AAA_REQ_RESPONSE_NOT_NEEDEDED

2018年2月5日14:21:32.339307 aaa:aaa_req_process:来自应用的常规AAA请求：default appln_subtype:默认

2018年2月5日14:21:32.339335 aaa:try_next_aaa_method

2018年2月5日14:21:32.339374 aaa:没有默认配置方法

2018年2月5日14:21:32.339401 aaa:此请求没有可用的配置

2018年2月5日14:21:32.339429 aaa:try_fallback_method

2018年2月5日14:21:32.339456 aaa:handle_req_using_method

2018年2月5日14:21:32.339482 aaa:local_method_handler

2018年2月5日14:21:32.339506 aaa:aaa_local_accounting_msg

2018年2月5日14:21:32.339533 aaa:更新：::enabled(null)

2018年2月5日14:21:32.339558 aaa:av列表为空。无vsan id

2018年2月5日14:21:32.339680 aaa:aaa_send_client_response用于记帐。session->flags=211。aaa_resp->flags=0。

2018年2月5日14:21:32.339707 aaa:此请求不需要响应

2018年2月5日14:21:32.339732 aaa:AAA_REQ_FLAG_LOCAL_RESP 

2018年2月5日14:21:32.339756 aaa:aaa_cleanup_session

2018年2月5日14:21:32.339780 aaa:mts_drop request msg

2018年2月5日14:21:32.339821 aaa:本地回退方法成功

身份验证尝试失败后，您将看到以下输出。

2018年2月5日14:16:13.899605 aaa:mts_aaa_req_process

2018年2月5日14:16:13.899625 aaa:aaa_req_process进行身份验证。session no 0

2018年2月5日14:16:13.899645 aaa:aaa_enable_info_config:RADIUS服务器定向请求的GET_REQ

2018年2月5日14:16:13.899666 aaa:返回配置操作的返回值：未知安全项

2018年2月5日14:16:13.899685 aaa:aaa_enable_info_config:GET_REQ for tacacs+ server directed request

2018年2月5日14:16:13.899712 aaa:返回配置操作的返回值：未知安全项

2018年2月5日14:16:13.899736 aaa:aaa_req_process:来自应用的常规AAA请求：login appln_subtype:默认

2018年2月5日14:16:13.899755 aaa:try_next_aaa_method

2018年2月5日14:16:13.899776 aaa:aaa_method_config:GET身份验证登录请求默认

2018年2月5日14:16:13.899798 aaa:aaa_method_config:GET方法组半径 

2018年2月5日14:16:13.899817 aaa:返回aaa方法配置操作的返回值：SUCCESS

2018年2月5日14:16:13.899841 aaa:配置的方法总数为1，当前要尝试的索引为0

2018年2月5日14:16:13.899862 aaa:handle_req_using_method

2018年2月5日14:16:13.909905 aaa:AAA_METHOD_SERVER_GROUP

2018年2月5日14:16:13.909937 aaa:aaa_sg_method_handler组= radius

2018年2月5日14:16:13.909967 aaa:使用传递给此函数的sg_protocol

2018年2月5日14:16:13.909998 aaa:向RADIUS服务发送请求

2018年2月5日14:16:13.910085 aaa:mts_send_msg_to_prot_daemon:负载长度= 368

2018年2月5日14:16:13.910142 aaa:会话：0x85c1c54添加到会话表1

2018年2月5日14:16:13.910174 aaa:已成功配置方法组

2018年2月5日14:16:13.995770 aaa:aaa_process_fd_set

2018年2月5日14:16:13.995809 aaa:aaa_process_fd_set:aaa_q上的mtscallback

2018年2月5日14:16:13.995848 aaa:mts_message_response_handler:MTS响应

2018年2月5日14:16:13.997143 aaa:prot_daemon_reponse_handler

2018年2月5日14:16:13.997171 aaa:会话：0x85c1c54已从会话表0中删除

2018年2月5日14:16:13.997201 aaa:is_aaa_resp_status_success状态= 2

2018年2月5日14:16:13.997229 aaa:is_aaa_resp_status_success为TRUE

2018年2月5日14:16:13.997256 aaa:aaa_send_client_response以进行身份验证。session->flags=21。aaa_resp->flags=0。

2018年2月5日14:16:13.997283 aaa:AAA_REQ_FLAG_NORMAL 

2018年2月5日14:16:13.997369 aaa:mts_send_response成功

2018年2月5日14:16:13.998845 aaa:aaa_cleanup_session

2018年2月5日14:16:13.998875 aaa:mts_drop request msg

2018年2月5日14:16:13.998921 aaa:aaa_req应被释放。 

2018年2月5日14:16:13.998974 aaa:aaa_process_fd_set

2018年2月5日14:16:13.999003 aaa:aaa_process_fd_set:aaa_q上的mtscallback

2018年2月5日14:16:13.999341 aaa:aaa_enable_info_config:GET_REQ for aaa login错误消息

2018年2月5日14:16:13.999378 aaa:返回配置操作的返回值：未知安全项

相关信息

启用TACACS/RADIUS身份验证时，FX-OS CLI上的Ethanalyzer命令将提示输入密码。此行为由Bug引起。

错误ID:CSCvg87518