Firepower可擴展作業系統(FXOS)2.2:使用TACACS+通過ACS進行遠端管理的機箱身份驗證和授權。
簡介
本檔案介紹如何透過存取控制伺服器(ACS)設定Firepower可擴充作業系統(FXOS)機箱的TACACS+驗證和授權。
FXOS機箱包括以下使用者角色:
- Administrator — 對整個系統的完全讀寫訪問許可權。預設情況下為預設管理員帳戶分配此角色,並且無法更改。
- 只讀 — 對系統配置的只讀訪問許可權,無修改系統狀態的許可權。
- 操作 — 對NTP配置、智慧許可的Smart Call Home配置以及系統日誌(包括系統日誌伺服器和故障)的讀寫訪問許可權。對系統其餘部分的讀取訪問許可權。
- AAA — 對使用者、角色和AAA配置的讀寫訪問。對系統其餘部分的讀取訪問許可權。
通過CLI可以看到,如下所示:
fpr4120-TAC-A /security* # show role
角色:
角色名稱Priv
---------- ----
aaa aaa
admin
運營運營
唯讀唯讀
作者:Tony Remirez、Jose Soto、Cisco TAC工程師。
必要條件
需求
思科建議您瞭解以下主題:
- Firepower可擴展作業系統(FXOS)知識
- ACS配置知識
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- Cisco Firepower 4120安全裝置版本2.2
- 虛擬思科存取控制伺服器版本5.8.0.32
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
設定
此組態的目的是:
- 通過ACS驗證登入到FXOS基於Web的GUI和SSH的使用者。
- 通過ACS,根據使用者各自的使用者角色授權使用者登入FXOS的基於Web的GUI和SSH。
- 通過ACS驗證FXOS上的身份驗證和授權操作是否正確。
網路圖表
組態
配置FXOS機箱
使用機箱管理器建立TACACS提供程式
步驟1.導覽至Platform Settings > AAA。
步驟2.按一下TACACS 索引標籤。
步驟3.對於要新增的每個TACACS+提供程式(最多16個提供程式)。
3.1.在TACACS提供程式區域中,按一下Add。
3.2.在「新增TACACS提供程式」對話方塊中,輸入所需的值。
3.3.按一下OK關閉「新增TACACS提供程式」對話方塊。
步驟4.按一下「Save」。
步驟5.導覽至System > User Management > Settings。
步驟6.在Default Authentication下選擇TACACS。
使用CLI建立TACACS+提供程式
步驟1.要啟用TACACS身份驗證,請運行以下命令。
fpr4120-TAC-A#作用域安全性
fpr4120-TAC-A /security # scope default-auth
fpr4120-TAC-A /security/default-auth # set realm tacacs
步驟2.使用show detail命令顯示結果。
fpr4120-TAC-A /security/default-auth # show detail
預設身份驗證:
管理領域:Tacacs
操作領域:Tacacs
Web會話刷新期間(秒):600
Web、ssh、telnet會話的會話超時(秒):600
Web、ssh、telnet會話的絕對會話超時(秒):3600
串列控制檯會話超時(秒):600
串列控制檯絕對會話超時(秒):3600
管理員身份驗證伺服器組:
操作身份驗證伺服器組:
使用第二個因素:否
步驟3.要配置TACACS伺服器引數,請運行以下命令。
fpr4120-TAC-A#作用域安全性
fpr4120-TAC-A /security # scope tacacs
fpr4120-TAC-A /security/tacacs # enter server 10.88.244.50
fpr4120-TAC-A /security/tacacs/server # set descr "ACS Server"
fpr4120-TAC-A /security/tacacs/server* # set key
輸入金鑰:******
確認金鑰:******
步驟4.使用show detail命令顯示結果。
fpr4120-TAC-A /security/tacacs/server* # show detail
TACACS+伺服器:
主機名、FQDN或IP地址:10.88.244.50
描述:
訂購:1
連接埠:49
主要:****
逾時:5
配置ACS伺服器
將FXOS新增為網路資源
步驟1.導覽至Network Resources > Network Devices and AAA Clients。
步驟2.按一下「Create」。
步驟3.輸入所需的值(名稱、IP地址、裝置型別和啟用TACACS+並新增金鑰)。
步驟4.按一下「Submit」。
建立身份組和使用者
步驟1.導航到使用者和身份庫>身份組。
步驟2.按一下「Create」。
步驟3.輸入Name的值,然後按一下Submit。
步驟4.對所有所需的使用者角色重複步驟2和步驟3。
步驟5.導航到Users and Identity Stores > Internal Identity Stores > Users。
步驟6.按一下「Create」。
步驟7.輸入所需的值(名稱、身份組和密碼)。
步驟8.對所有所需使用者重複步驟6和7。
為每個使用者角色建立外殼配置檔案
步驟1.導航到Policy Elements > Authorization and Permissions > Device Administration > Shell Profiles > Click Create。
步驟2.填充授權配置檔案的所有屬性。
2.1.在General頁籤中配置配置檔案Name。
2.2.在Custom Attributes頁籤中,配置以下CISCO-AV-PAIR
cisco-av-pair=shell:roles="aaa"
2.3.按一下ADD /\,然後Submit。
步驟3.使用以下Cisco-AV配對對其餘使用者角色重複步驟1和2
cisco-av-pair=shell:roles="admin"
cisco-av-pair=shell:roles="operations"
cisco-av-pair=shell:roles="只讀"
建立裝置管理員訪問策略
步驟1.導航到Access Policies > Access Services > Default Device Admin > Authorization >點選Create。
步驟2.填寫所需的引數(身份組、裝置型別和外殼配置檔案)並按一下確定。
步驟3.對所有使用者角色重複步驟1和步驟2。
步驟4.按一下頁面底部的Save Changes。
驗證
現在,您可以測試每個使用者並驗證是否為其分配了正確的使用者角色。
FXOS機箱驗證
- 通過Telnet或SSH連線到FXOS機箱,並使用ISE上任何建立的使用者登入。
使用者名稱:fxosadmin
密碼:
fpr4120-TAC-A#scope安全
fpr4120-TAC-A /security # show remote-user detail
遠端使用者fxosaa:
說明:
使用者角色:
名稱:aaa
名稱:唯讀
遠端使用者fxosadmin:
說明:
使用者角色:
名稱:admin
名稱:唯讀
遠端使用者fxosper:
說明:
使用者角色:
名稱:操作
名稱:唯讀
遠端使用者fxosro:
說明:
使用者角色:
名稱:唯讀
根據輸入的使用者名稱,FXOS機箱cli將僅顯示已分配使用者角色的授權命令。
管理員使用者
fpr4120-TAC-A /security # ?
確認確認
clear-user-sessions Clear User Sessions
建立建立託管對象
刪除刪除託管對象
禁用禁用服務
啟用啟用服務
輸入輸入託管對象
作用域更改當前模式
set Set屬性值
顯示顯示系統資訊
終止活動的cimc會話
fpr4120-TAC-A#connect fxos
fpr4120-TAC-A(fxos)# debug aaa aaa-requests
fpr4120-TAC-A(fxos)#
只讀使用者
fpr4120-TAC-A /security # ?
作用域更改當前模式
set Set屬性值
顯示顯示系統資訊
fpr4120-TAC-A#connect fxos
fpr4120-TAC-A(fxos)# debug aaa aaa-requests
%角色許可權被拒絕
- 瀏覽至FXOS機箱IP地址並使用ISE上任何建立的使用者登入。
管理員使用者角色。
只讀使用者:
ACS驗證
- 導航到Monitoring and Reports > Launch Monitoring and Report viewer > Reports > AAA Protocol > TACACS Authentication > Click Run。您應該能夠看到成功和失敗的嘗試。
疑難排解
為了調試AAA身份驗證和授權,請在FXOS cli中運行以下命令。
fpr4120-TAC-A#connect fxos
fpr4120-TAC-A(fxos)# debug aaa aaa-requests
fpr4120-TAC-A(fxos)# debug aaa event
fpr4120-TAC-A(fxos)# debug aaa errors
fpr4120-TAC-A(fxos)# term mon
成功嘗試身份驗證後,您將看到以下輸出。
2018年2月5日14:31:29.192410 aaa:用於身份驗證的aaa_req_process。會話編號0
2018年2月5日14:31:29.192439 aaa:aaa_req_process:來自裝置的常規AAA請求:login appn_subtype:預設
2018年2月5日14:31:29.192462 aaa:try_next_aaa_method
2018年2月5日14:31:29.192488 aaa:配置的方法總數為1,要嘗試的當前索引為0
2018年2月5日14:31:29.192509 aaa:handle_req_using_method
2018年2月5日14:31:29.192527 aaa:AAA_METHOD_SERVER_GROUP
2018年2月5日14:31:29.192552 aaa:aaa_sg_method_handler group = tacacs
2018年2月5日14:31:29.192572 aaa:使用傳遞到此函式的sg_protocol
2018年2月5日14:31:29.192592 aaa:正在向TACACS服務傳送請求
2018年2月5日14:31:29.192654 aaa:mts_send_msg_to_prot_daemon:負載長度= 374
2018年2月5日14:31:29.192694 aaa:會話:0x856b4cc已新增到會話表1
2018年2月5日14:31:29.192717 aaa:配置的方法組成功
2018年2月5日14:31:29.366388 aaa:aaa_process_fd_set
2018年2月5日14:31:29.366423 aaa:aaa_process_fd_set:aaa_q上的mtscallback
2018年2月5日14:31:29.366467 aaa:mts_message_response_handler:mts響應
2018年2月5日14:31:29.366496 aaa:prot_daemon_response_handler
2018年2月5日14:31:29.366524 aaa:會話:0x856b4cc已從會話表0中刪除
2018年2月5日14:31:29.366554 aaa:is_aaa_resp_status_success status = 1
2018年2月5日14:31:29.366581 aaa:is_aaa_resp_status_success為TRUE
2018年2月5日14:31:29.366608 aaa:用於身份驗證的aaa_send_client_response。session->flags=21. aaa_resp->flags=0。
2018年2月5日14:31:29.366642 aaa:AAA_REQ_FLAG_NORMAL
2018年2月5日14:31:29.367462 aaa:用於授權的aaa_req_process。會話編號0
2018年2月5日14:31:29.367496 aaa:使用來自應用程式的上下文呼叫aaa_req_process:login appn_subtype:default authen_type:2, authen_method:0
2018年2月5日14:31:29.367525 aaa:aaa_send_req_using_context
2018年2月5日14:31:29.367552 aaa:aaa_sg_method_handler group =(空)
2018年2月5日14:31:29.367579 aaa:使用傳遞到此函式的sg_protocol
2018年2月5日14:31:29.367607 aaa:基於上下文或定向AAA請求(異常:不是中繼請求)。 將不獲取aaa請求的副本
2018年2月5日14:31:29.367634 aaa:正在向TACACS服務傳送請求
2018年2月5日14:31:29.369679 aaa:mts_send_msg_to_prot_daemon:負載長度= 660
2018年2月5日14:31:29.369739 aaa:會話:0x856b4cc已新增到會話表1
2018年2月5日14:31:29.539392 aaa:aaa_process_fd_set
2018年2月5日14:31:29.539420 aaa:aaa_process_fd_set:aaa_q上的mtscallback
2018年2月5日14:31:29.539449 aaa:mts_message_response_handler:mts響應
2018年2月5日14:31:29.539470 aaa:prot_daemon_response_handler
2018年2月5日14:31:29.539496 aaa:會話:0x856b4cc已從會話表0中刪除
2018年2月5日14:31:29.539525 aaa:is_aaa_resp_status_success status = 2
2018年2月5日14:31:29.539550 aaa:is_aaa_resp_status_success為TRUE
2018年2月5日14:31:29.539578 aaa:用於授權的aaa_send_client_response。session->flags=9. aaa_resp->flags=0。
2018年2月5日14:31:29.539606 aaa:AAA_REQ_FLAG_NORMAL
2018年2月5日14:31:29.539683 aaa:mts_send_response成功
2018年2月5日14:31:29.539723 aaa:aaa_cleanup_session
2018年2月5日14:31:29.602013 aaa:舊操作碼:accounting_interim_update
2018年2月5日14:31:29.602041 aaa:aaa_create_local_acct_req:user=, session_id=, log=added user fxosro
2018年2月5日14:31:29.602076 aaa:aaa_req_process用於記帳。會話編號0
2018年2月5日14:31:29.602109 aaa:MTS請求引用為空。LOCAL請求
2018年2月5日14:31:29.602135 aaa:設定AAA_REQ_RESPONSE_NOT_NEEDED
2018年2月5日14:31:29.602162 aaa:aaa_req_process:來自裝置的常規AAA請求:default appln_subtype:預設
2018年2月5日14:31:29.602190 aaa:try_next_aaa_method
2018年2月5日14:31:29.602228 aaa:沒有針對預設預設配置的方法
2018年2月5日14:31:29.602249 aaa:沒有可用於此請求的配置
2018年2月5日14:31:29.602357 aaa:aaa_local_accounting_msg
2018年2月5日14:31:29.602386 aaa:update:::added user fxosro
2018年2月5日14:31:29.602414 aaa:av清單為空。無vsan id
2018年2月5日14:31:29.602541 aaa:aaa_send_client_response用於記帳。session->flags=254. aaa_resp->flags=0。
2018年2月5日14:31:29.602569 aaa:舊庫記帳請求的響應將作為SUCCESS傳送
2018年2月5日14:31:29.602594 aaa:此請求不需要響應
2018年2月5日14:31:29.602619 aaa:AAA_REQ_FLAG_LOCAL_RESP
2018年2月5日14:31:29.602643 aaa:aaa_cleanup_session
2018年2月5日14:31:29.602671 aaa:應釋放aaa_req。
2018年2月5日14:31:29.602698 aaa:回退方法本地成功
2018年2月5日14:31:29.603544 aaa:aaa_process_fd_set
2018年2月5日14:31:29.603565 aaa:aaa_process_fd_set:aaa_accounting_q上的mtscallback
2018年2月5日14:31:29.603588 aaa:舊操作碼:accounting_interim_update
2018年2月5日14:31:29.603613 aaa:aaa_create_local_acct_req:user=, session_id=, log=added user:fxosr to the role:read-only
2018年2月5日14:31:29.603643 aaa:aaa_req_process用於記帳。會話編號0
2018年2月5日14:31:29.603669 aaa:MTS請求引用為空。LOCAL請求
2018年2月5日14:31:29.603695 aaa:設定AAA_REQ_RESPONSE_NOT_NEEDED
2018年2月5日14:31:29.603721 aaa:aaa_req_process:來自裝置的常規AAA請求:default appln_subtype:預設
2018年2月5日14:31:29.603747 aaa:try_next_aaa_method
2018年2月5日14:31:29.603779 aaa:沒有針對預設預設配置的方法
2018年2月5日14:31:29.603807 aaa:沒有可用於此請求的配置
2018年2月5日14:31:29.603834 aaa:try_fallback_method
2018年2月5日14:31:29.603856 aaa:handle_req_using_method
2018年2月5日14:31:29.603874 aaa:local_method_handler
2018年2月5日14:31:29.603891 aaa:aaa_local_accounting_msg
2018年2月5日14:31:29.603911 aaa:update:::added user:fxosro to the role:read-only
2018年2月5日14:31:29.603934 aaa:av清單為空。無vsan id
2018年2月5日14:31:29.604040 aaa:aaa_send_client_response用於記帳。session->flags=254. aaa_resp->flags=0。
2018年2月5日14:31:29.604058 aaa:舊庫記帳請求的響應將作為SUCCESS傳送
2018年2月5日14:31:29.604074 aaa:此請求不需要響應
2018年2月5日14:31:29.604089 aaa:AAA_REQ_FLAG_LOCAL_RESP
2018年2月5日14:31:29.604104 aaa:aaa_cleanup_session
2018年2月5日14:31:29.604119 aaa:應釋放aaa_req。
2018年2月5日14:31:29.604135 aaa:回退方法本地成功
2018年2月5日14:31:31.084252 aaa:aaa_req_process用於記帳。會話編號0
2018年2月5日14:31:31.084280 aaa:設定AAA_REQ_RESPONSE_NOT_NEEDED
2018年2月5日14:31:31.084309 aaa:aaa_req_process:來自裝置的常規AAA請求:default appln_subtype:預設
2018年2月5日14:31:31.084336 aaa:try_next_aaa_method
2018年2月5日14:31:31.084375 aaa:沒有針對預設預設配置的方法
2018年2月5日14:31:31.084403 aaa:沒有可用於此請求的配置
2018年2月5日14:31:31.084430 aaa:try_fallback_method
2018年2月5日14:31:31.084457 aaa:handle_req_using_method
2018年2月5日14:31:31.084484 aaa:local_method_handler
2018年2月5日14:31:31.084511 aaa:aaa_local_accounting_msg
2018年2月5日14:31:31.084540 aaa:update:::enabled(null)
2018年2月5日14:31:31.084568 aaa:av清單為空。無vsan id
2018年2月5日14:31:31.084693 aaa:aaa_send_client_response用於記帳。session->flags=211. aaa_resp->flags=0。
2018年2月5日14:31:31.084721 aaa:此請求不需要響應
2018年2月5日14:31:31.084746 aaa:AAA_REQ_FLAG_LOCAL_RESP
2018年2月5日14:31:31.084769 aaa:aaa_cleanup_session
2018年2月5日14:31:31.084792 aaa:請求消息的mts_drop
2018年2月5日14:31:31.084833 aaa:回退方法本地成功
2018年2月5日14:31:31.384309 aaa:mts_aaa_req_process
2018年2月5日14:31:31.384340 aaa:aaa_req_process用於記帳。會話編號0
2018年2月5日14:31:31.384368 aaa:設定AAA_REQ_RESPONSE_NOT_NEEDED
2018年2月5日14:31:31.384395 aaa:aaa_req_process:來自裝置的常規AAA請求:default appln_subtype:預設
2018年2月5日14:31:31.384423 aaa:try_next_aaa_method
2018年2月5日14:31:31.384462 aaa:沒有針對預設預設配置的方法
2018年2月5日14:31:31.384490 aaa:沒有可用於此請求的配置
2018年2月5日14:31:31.384517 aaa:try_fallback_method
2018年2月5日14:31:31.384545 aaa:handle_req_using_method
2018年2月5日14:31:31.384570 aaa:local_method_handler
2018年2月5日14:31:31.384595 aaa:aaa_local_accounting_msg
2018年2月5日14:31:31.384620 aaa:update:::enabled(null)
2018年2月5日14:31:31.384645 aaa:av清單為空。無vsan id
2018年2月5日14:31:31.384769 aaa:aaa_send_client_response用於記帳。session->flags=211. aaa_resp->flags=0。
2018年2月5日14:31:31.384796 aaa:此請求不需要響應
2018年2月5日14:31:31.384820 aaa:AAA_REQ_FLAG_LOCAL_RESP
2018年2月5日14:31:31.384846 aaa:aaa_cleanup_session
2018年2月5日14:31:31.384869 aaa:請求消息的mts_drop
2018年2月5日14:31:31.384911 aaa:回退方法本地成功
身份驗證嘗試失敗後,您將看到以下輸出。
2018年2月5日14:29:18.702123 aaa:mts_aaa_req_process
2018年2月5日14:29:18.702144 aaa:用於身份驗證的aaa_req_process。會話編號0
2018年2月5日14:29:18.702169 aaa:aaa_req_process:來自裝置的常規AAA請求:login appn_subtype:預設
2018年2月5日14:29:18.702188 aaa:try_next_aaa_method
2018年2月5日14:29:18.702212 aaa:配置的方法總數為1,要嘗試的當前索引為0
2018年2月5日14:29:18.702232 aaa:handle_req_using_method
2018年2月5日14:29:18.702251 aaa:AAA_METHOD_SERVER_GROUP
2018年2月5日14:29:18.702276 aaa:aaa_sg_method_handler group = tacacs
2018年2月5日14:29:18.702295 aaa:使用傳遞到此函式的sg_protocol
2018年2月5日14:29:18.702315 aaa:正在向TACACS服務傳送請求
2018年2月5日14:29:18.702378 aaa:mts_send_msg_to_prot_daemon:負載長度= 372
2018年2月5日14:29:18.702427 aaa:會話:0x856b4cc已新增到會話表1
2018年2月5日14:29:18.702459 aaa:配置的方法組成功
2018年2月5日14:29:18.876839 aaa:aaa_process_fd_set
2018年2月5日14:29:18.876870 aaa:aaa_process_fd_set:aaa_q上的mtscallback
2018年2月5日14:29:18.876908 aaa:mts_message_response_handler:mts響應
2018年2月5日14:29:18.876938 aaa:prot_daemon_response_handler
2018年2月5日14:29:18.876966 aaa:會話:0x856b4cc已從會話表0中刪除
2018年2月5日14:29:18.877003 aaa:is_aaa_resp_status_success status = 2
2018年2月5日14:29:18.877030 aaa:is_aaa_resp_status_success為TRUE
2018年2月5日14:29:18.877058 aaa:用於身份驗證的aaa_send_client_response。session->flags=21. aaa_resp->flags=0。
2018年2月5日14:29:18.877086 aaa:AAA_REQ_FLAG_NORMAL
2018年2月5日14:29:18.877171 aaa:mts_send_response成功
2018年2月5日14:29:18.877224 aaa:aaa_cleanup_session
2018年2月5日14:29:18.877253 aaa:請求消息的mts_drop
2018年2月5日14:29:18.877299 aaa:應釋放aaa_req。
2018年2月5日14:29:18.877364 aaa:aaa_process_fd_set
2018年2月5日14:29:18.877391 aaa:aaa_process_fd_set:aaa_q上的mtscallback
2018年2月5日14:29:18.877410 aaa:aaa_enable_info_config:GET_REQ for aaa登入錯誤消息
2018年2月5日14:29:18.877415 aaa:已取回配置操作的返回值:未知安全項
相關資訊
啟用TACACS/RADIUS身份驗證後,FX-OS cli上的Ethanalyzer命令將提示輸入密碼。此行為是由錯誤引起的。
錯誤id:CSCvg87518
意見