Firepower可擴展作業系統(FXOS)2.2:使用RADIUS通過ACS進行遠端管理的機箱身份驗證和授權

簡介

本檔案介紹如何透過存取控制伺服器(ACS)設定Firepower可擴充作業系統(FXOS)機箱的RADIUS驗證和授權。

FXOS機箱包括以下使用者角色：

• Administrator — 對整個系統的完全讀寫訪問許可權。預設情況下為預設管理員帳戶分配此角色，並且無法更改。
• 只讀 — 對系統配置的只讀訪問許可權，無修改系統狀態的許可權。
• 操作 — 對NTP配置、智慧許可的Smart Call Home配置以及系統日誌（包括系統日誌伺服器和故障）的讀寫訪問許可權。對系統其餘部分的讀取訪問許可權。
• AAA — 對使用者、角色和AAA配置的讀寫訪問。對系統其餘部分的讀取訪問許可權。

通過CLI可以看到，如下所示：

fpr4120-TAC-A /security* # show role

角色：        

    角色名稱Priv

    ---------- ----

    aaa aaa

    admin

    運營運營

    唯讀唯讀

作者：Tony Remirez、Jose Soto、Cisco TAC工程師。

必要條件

需求

思科建議您瞭解以下主題：

• Firepower可擴展作業系統(FXOS)知識
• ACS配置知識

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• Cisco Firepower 4120安全裝置版本2.2
• 虛擬思科存取控制伺服器版本5.8.0.32

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。 

設定

此組態的目的是：

• 通過ACS驗證登入到FXOS基於Web的GUI和SSH的使用者。
• 通過ACS，根據使用者各自的使用者角色授權使用者登入FXOS的基於Web的GUI和SSH。
• 通過ACS驗證FXOS上的身份驗證和授權操作是否正確。

網路圖表

組態

配置FXOS機箱

使用機箱管理器建立RADIUS提供程式

步驟1.導覽至Platform Settings > AAA。

步驟2.按一下RADIUS索引標籤。

步驟3.對於要新增的每個RADIUS提供程式（最多16個提供程式）。

            3.1.在RADIUS提供程式區域中，按一下Add。

            3.2.在「新增RADIUS提供程式」對話方塊中，輸入所需的值。

            3.3.按一下確定關閉「新增RADIUS提供程式」對話方塊。

步驟4.按一下「Save」。

步驟5.導覽至System > User Management > Settings。

步驟6.在Default Authentication下選擇RADIUS。

使用CLI建立RADIUS提供程式

步驟1。若要啟用RADIUS驗證，請運行以下命令。

fpr4120-TAC-A#作用域安全性

fpr4120-TAC-A /security # scope default-auth

fpr4120-TAC-A /security/default-auth # set realm radius

步驟2.使用show detail命令顯示結果。

fpr4120-TAC-A /security/default-auth # show detail

預設身份驗證：

    管理領域：Radius

    操作領域：Radius

    Web會話刷新期間（秒）：600

    Web、ssh、telnet會話的會話超時（秒）：600

    Web、ssh、telnet會話的絕對會話超時（秒）：3600

    串列控制檯會話超時（秒）：600

    串列控制檯絕對會話超時（秒）：3600

    管理員身份驗證伺服器組：

    操作身份驗證伺服器組：

    使用第二個因素：否

步驟3.要配置RADIUS伺服器引數，請運行以下命令。

fpr4120-TAC-A#作用域安全性

fpr4120-TAC-A /security # scope radius

fpr4120-TAC-A /security/radius # enter server 10.88.244.16

fpr4120-TAC-A /security/radius/server # set descr "ISE Server"

fpr4120-TAC-A /security/radius/server* # set key

輸入金鑰：******

確認金鑰：******

步驟4.使用show detail命令顯示結果。

fpr4120-TAC-A /security/radius/server* # show detail

RADIUS伺服器：

    主機名、FQDN或IP地址：10.88.244.16

    描述：

    訂購：1

    身份驗證埠：1812

    主要:****

    逾時:5

配置ACS伺服器

將FXOS新增為網路資源

步驟1.導覽至Network Resources > Network Devices and AAA Clients。

步驟2.按一下「Create」。

步驟3.輸入所需的值（名稱、IP地址、裝置型別和啟用RADIUS並新增金鑰）。

步驟4.按一下「Submit」。

建立身份組和使用者

步驟1.導航到使用者和身份庫>身份組。

步驟2.按一下「Create」。

步驟3.輸入Name的值，然後按一下Submit。

步驟4.對所有所需的使用者角色重複步驟2和3。

步驟5.導航到Users and Identity Stores > Internal Identity Stores > Users。

步驟6.按一下「Create」。

步驟7.輸入所需的值（名稱、身份組和密碼）。

步驟8.對所有所需使用者重複步驟6和7。

為每個使用者角色建立授權配置檔案

步驟1。導覽至Policy Elements > Authorization and Permissions > Network Access > Authorization Profiles > Click Create。

步驟2.填充授權配置檔案的所有屬性。

        2.1.在General頁籤中配置配置檔案Name。

        2.2.在RADIUS屬性索引標籤中，設定以下CISCO-AV配對

cisco-av-pair=shell:roles="aaa"

        2.3.按一下ADD /\，然後Submit。

步驟3.使用以下Cisco-AV配對對其餘使用者角色重複步驟1和2

cisco-av-pair=shell:roles="admin"

cisco-av-pair=shell:roles="operations"

cisco-av-pair=shell:roles="只讀"

建立網路訪問策略

步驟1。導覽至Access Policies > Access Services > Default Network Access > Authorization > Click Create。

步驟2.填寫所需的引數（身份組、裝置型別和授權配置檔案）並點選確定。

步驟3.對所有使用者角色重複步驟1和2。

步驟4.按一下頁面底部的Save Changes。

驗證

現在，您可以測試每個使用者並驗證分配的使用者角色。

FXOS機箱驗證

1. 通過Telnet或SSH連線到FXOS機箱，並使用ISE上任何建立的使用者登入。

使用者名稱:fxosadmin

密碼：

fpr4120-TAC-A#scope安全

fpr4120-TAC-A /security # show remote-user detail

遠端使用者fxosaa:

    說明:

    使用者角色：

        名稱:aaa

        名稱:唯讀

遠端使用者fxosadmin:

    說明:

    使用者角色：

        名稱:admin

        名稱:唯讀

遠端使用者fxosper:

    說明:

    使用者角色：

        名稱:操作

        名稱:唯讀

遠端使用者fxosro:

    說明:

    使用者角色：

        名稱:唯讀

根據輸入的使用者名稱，FXOS機箱cli將僅顯示已分配使用者角色的授權命令。

管理員使用者角色。

fpr4120-TAC-A /security # ?

  確認確認

  clear-user-sessions Clear User Sessions

  建立建立託管對象

  刪除刪除託管對象

  禁用禁用服務

  啟用啟用服務

  輸入輸入託管對象

  作用域更改當前模式

  set Set屬性值

  顯示顯示系統資訊

  終止活動的cimc會話

fpr4120-TAC-A#connect fxos

fpr4120-TAC-A(fxos)# debug aaa aaa-requests

fpr4120-TAC-A(fxos)#

只讀使用者角色。

fpr4120-TAC-A /security # ?

  作用域更改當前模式

  set Set屬性值

  顯示顯示系統資訊

fpr4120-TAC-A#connect fxos

fpr4120-TAC-A(fxos)# debug aaa aaa-requests

%角色許可權被拒絕

2. 瀏覽至FXOS機箱IP地址並使用ISE上任何建立的使用者登入。

管理員使用者角色。

只讀使用者：

附註：請注意， ADD按鈕呈灰色顯示。

ACS驗證

1. 導航到Monitoring and Reports > Launch Monitoring and Report viewer > Reports > AAA Protocol > Radius Authentication > Click Run。您應該能夠看到成功和失敗的嘗試。

疑難排解

為了調試AAA身份驗證和授權，請在FXOS cli中運行以下命令。

fpr4120-TAC-A#connect fxos

fpr4120-TAC-A(fxos)# debug aaa aaa-requests

fpr4120-TAC-A(fxos)# debug aaa event

fpr4120-TAC-A(fxos)# debug aaa errors

fpr4120-TAC-A(fxos)# term mon

成功嘗試身份驗證後，您將看到以下輸出。

2018年2月5日14:21:30.017289 aaa:用於身份驗證的aaa_req_process。會話編號0

2018年2月5日14:21:30.017330 aaa:aaa_req_process:來自裝置的常規AAA請求：login appn_subtype:預設

2018年2月5日14:21:30.017360 aaa:try_next_aaa_method

2018年2月5日14:21:30.017395 aaa:配置的方法總數為1，要嘗試的當前索引為0

2018年2月5日14:21:30.017425 aaa:handle_req_using_method

2018年2月5日14:21:30.017451 aaa:AAA_METHOD_SERVER_GROUP

2018年2月5日14:21:30.017479 aaa:aaa_sg_method_handler group = radius

2018年2月5日14:21:30.017506 aaa:使用傳遞到此函式的sg_protocol

2018年2月5日14:21:30.017537 aaa:正在向RADIUS服務傳送請求

2018年2月5日14:21:30.017707 aaa:配置的方法組成功

2018年2月5日14:21:30.123584 aaa:aaa_process_fd_set:aaa_q上的mtscallback

2018年2月5日14:21:30.123625 aaa:mts_message_response_handler:mts響應

2018年2月5日14:21:30.123654 aaa:prot_daemon_response_handler

2018年2月5日14:21:30.123713 aaa:is_aaa_resp_status_success status = 1

2018年2月5日14:21:30.123741 aaa:is_aaa_resp_status_success為TRUE

2018年2月5日14:21:30.123768 aaa:用於身份驗證的aaa_send_client_response。session->flags=21. aaa_resp->flags=0。

2018年2月5日14:21:30.123795 aaa:AAA_REQ_FLAG_NORMAL 

2018年2月5日14:21:30.123880 aaa:mts_send_response成功

2018年2月5日14:21:30.290059 aaa:舊操作碼：accounting_interim_update

2018年2月5日14:21:30.290087 aaa:aaa_create_local_acct_req:user=, session_id=, log=added user fxosro 

2018年2月5日14:21:30.290122 aaa:aaa_req_process用於記帳。會話編號0

2018年2月5日14:21:30.290148 aaa:MTS請求引用為空。LOCAL請求

2018年2月5日14:21:30.290174 aaa:設定AAA_REQ_RESPONSE_NOT_NEEDED

2018年2月5日14:21:30.290202 aaa:aaa_req_process:來自裝置的常規AAA請求：default appln_subtype:預設

2018年2月5日14:21:30.290230 aaa:try_next_aaa_method

2018年2月5日14:21:30.290270 aaa:沒有針對預設預設配置的方法

2018年2月5日14:21:30.290299 aaa:沒有可用於此請求的配置

2018年2月5日14:21:30.290333 aaa:try_fallback_method

2018年2月5日14:21:30.290364 aaa:handle_req_using_method

2018年2月5日14:21:30.290391 aaa:local_method_handler

2018年2月5日14:21:30.290419 aaa:aaa_local_accounting_msg

2018年2月5日14:21:30.290448 aaa:update:::added user fxosro

2018年2月5日14:21:30.290475 aaa:av清單為空。無vsan id

2018年2月5日14:21:30.290607 aaa:aaa_send_client_response用於記帳。session->flags=254. aaa_resp->flags=0。

2018年2月5日14:21:30.290635 aaa:舊庫記帳請求的響應將作為SUCCESS傳送

2018年2月5日14:21:30.290659 aaa:此請求不需要響應

2018年2月5日14:21:30.290684 aaa:AAA_REQ_FLAG_LOCAL_RESP 

2018年2月5日14:21:30.290708 aaa:aaa_cleanup_session

2018年2月5日14:21:30.290732 aaa:應釋放aaa_req。 

2018年2月5日14:21:30.290757 aaa:回退方法本地成功

2018年2月5日14:21:30.312898 aaa:aaa_process_fd_set

2018年2月5日14:21:30.312932 aaa:aaa_process_fd_set:aaa_accounting_q上的mtscallback

2018年2月5日14:21:30.312977 aaa:舊操作碼：accounting_interim_update

2018年2月5日14:21:30.313007 aaa:aaa_create_local_acct_req:user=, session_id=, log=added user:fxosr to the role:read-only 

2018年2月5日14:21:30.313044 aaa:aaa_req_process用於記帳。會話編號0

2018年2月5日14:21:30.313071 aaa:MTS請求引用為空。LOCAL請求

2018年2月5日14:21:30.313099 aaa:設定AAA_REQ_RESPONSE_NOT_NEEDED

2018年2月5日14:21:30.313125 aaa:aaa_req_process:來自裝置的常規AAA請求：default appln_subtype:預設

2018年2月5日14:21:30.313149 aaa:try_next_aaa_method

2018年2月5日14:21:30.313185 aaa:沒有針對預設預設配置的方法

2018年2月5日14:21:30.313213 aaa:沒有可用於此請求的配置

2018年2月5日14:21:30.313240 aaa:try_fallback_method

2018年2月5日14:21:30.313267 aaa:handle_req_using_method

2018年2月5日14:21:30.313294 aaa:local_method_handler

2018年2月5日14:21:30.313321 aaa:aaa_local_accounting_msg

2018年2月5日14:21:30.313493 aaa:update:::added user:fxosro to the role:read-only

2018年2月5日14:21:30.313520 aaa:av清單為空。無vsan id

2018年2月5日14:21:30.313670 aaa:aaa_send_client_response用於記帳。session->flags=254. aaa_resp->flags=0。

2018年2月5日14:21:30.313698 aaa:舊庫記帳請求的響應將作為SUCCESS傳送

2018年2月5日14:21:30.313722 aaa:此請求不需要響應

2018年2月5日14:21:30.313747 aaa:AAA_REQ_FLAG_LOCAL_RESP 

2018年2月5日14:21:30.313770 aaa:aaa_cleanup_session

2018年2月5日14:21:30.313793 aaa:應釋放aaa_req。 

2018年2月5日14:21:30.313818 aaa:回退方法本地成功

2018年2月5日14:21:30.313865 aaa:aaa_process_fd_set

2018年2月5日14:21:30.313890 aaa:aaa_process_fd_set:aaa_q上的mtscallback

2018年2月5日14:21:32.339136 aaa:aaa_process_fd_set

2018年2月5日14:21:32.339177 aaa:aaa_process_fd_set:aaa_q上的mtscallback

2018年2月5日14:21:32.339218 aaa:mts_aaa_req_process

2018年2月5日14:21:32.339252 aaa:aaa_req_process用於記帳。會話編號0

2018年2月5日14:21:32.339280 aaa:設定AAA_REQ_RESPONSE_NOT_NEEDED

2018年2月5日14:21:32.339307 aaa:aaa_req_process:來自裝置的常規AAA請求：default appln_subtype:預設

2018年2月5日14:21:32.339335 aaa:try_next_aaa_method

2018年2月5日14:21:32.339374 aaa:沒有針對預設預設配置的方法

2018年2月5日14:21:32.339401 aaa:沒有可用於此請求的配置

2018年2月5日14:21:32.339429 aaa:try_fallback_method

2018年2月5日14:21:32.339456 aaa:handle_req_using_method

2018年2月5日14:21:32.339482 aaa:local_method_handler

2018年2月5日14:21:32.339506 aaa:aaa_local_accounting_msg

2018年2月5日14:21:32.339533 aaa:update:::enabled(null)

2018年2月5日14:21:32.339558 aaa:av清單為空。無vsan id

2018年2月5日14:21:32.339680 aaa:aaa_send_client_response用於記帳。session->flags=211. aaa_resp->flags=0。

2018年2月5日14:21:32.339707 aaa:此請求不需要響應

2018年2月5日14:21:32.339732 aaa:AAA_REQ_FLAG_LOCAL_RESP 

2018年2月5日14:21:32.339756 aaa:aaa_cleanup_session

2018年2月5日14:21:32.339780 aaa:請求消息的mts_drop

2018年2月5日14:21:32.339821 aaa:回退方法本地成功

身份驗證嘗試失敗後，您將看到以下輸出。

2018年2月5日14:16:13.899605 aaa:mts_aaa_req_process

2018年2月5日14:16:13.899625 aaa:用於身份驗證的aaa_req_process。會話編號0

2018年2月5日14:16:13.899645 aaa:aaa_enable_info_config:GET_REQ for radius server directed request

2018年2月5日14:16:13.899666 aaa:已取回配置操作的返回值：未知安全項

2018年2月5日14:16:13.899685 aaa:aaa_enable_info_config:GET_REQ for tacacs+伺服器定向請求

2018年2月5日14:16:13.899712 aaa:已取回配置操作的返回值：未知安全項

2018年2月5日14:16:13.899736 aaa:aaa_req_process:來自裝置的常規AAA請求：login appn_subtype:預設

2018年2月5日14:16:13.899755 aaa:try_next_aaa_method

2018年2月5日14:16:13.899776 aaa:aaa_method_config:GET身份驗證登入請求預設值

2018年2月5日14:16:13.899798 aaa:aaa_method_config:GET方法組半徑 

2018年2月5日14:16:13.899817 aaa:已返回aaa方法配置操作的返回值：SUCCESS

2018年2月5日14:16:13.899841 aaa:配置的方法總數為1，要嘗試的當前索引為0

2018年2月5日14:16:13.899862 aaa:handle_req_using_method

2018年2月5日14:16:13.909905 aaa:AAA_METHOD_SERVER_GROUP

2018年2月5日14:16:13.909937 aaa:aaa_sg_method_handler group = radius

2018年2月5日14:16:13.909967 aaa:使用傳遞到此函式的sg_protocol

2018年2月5日14:16:13.909998 aaa:正在向RADIUS服務傳送請求

2018年2月5日14:16:13.910085 aaa:mts_send_msg_to_prot_daemon:負載長度= 368

2018年2月5日14:16:13.910142 aaa:會話：0x85c1c54已新增到會話表1

2018年2月5日14:16:13.910174 aaa:配置的方法組成功

2018年2月5日14:16:13.995770 aaa:aaa_process_fd_set

2018年2月5日14:16:13.995809 aaa:aaa_process_fd_set:aaa_q上的mtscallback

2018年2月5日14:16:13.995848 aaa:mts_message_response_handler:mts響應

2018年2月5日14:16:13.997143 aaa:prot_daemon_response_handler

2018年2月5日14:16:13.997171 aaa:會話：0x85c1c54已從會話表0中刪除

2018年2月5日14:16:13.997201 aaa:is_aaa_resp_status_success status = 2

2018年2月5日14:16:13.997229 aaa:is_aaa_resp_status_success為TRUE

2018年2月5日14:16:13.997256 aaa:用於身份驗證的aaa_send_client_response。session->flags=21. aaa_resp->flags=0。

2018年2月5日14:16:13.997283 aaa:AAA_REQ_FLAG_NORMAL 

2018年2月5日14:16:13.997369 aaa:mts_send_response成功

2018年2月5日14:16:13.998845 aaa:aaa_cleanup_session

2018年2月5日14:16:13.998875 aaa:請求消息的mts_drop

2018年2月5日14:16:13.998921 aaa:應釋放aaa_req。 

2018年2月5日14:16:13.998974 aaa:aaa_process_fd_set

2018年2月5日14:16:13.999003 aaa:aaa_process_fd_set:aaa_q上的mtscallback

2018年2月5日14:16:13.999341 aaa:aaa_enable_info_config:GET_REQ for aaa登入錯誤消息

2018年2月5日14:16:13.999378 aaa:已取回配置操作的返回值：未知安全項

相關資訊

啟用TACACS/RADIUS身份驗證後，FX-OS cli上的Ethanalyzer命令將提示輸入密碼。此行為是由錯誤引起的。

錯誤id:CSCvg87518