Firepower可擴展作業系統(FXOS) 2.2:使用RADIUS透過ISE進行遠端管理的機箱身份驗證/授權
簡介
本文檔介紹如何透過身份服務引擎(ISE)為Firepower可擴展作業系統(FXOS)機箱配置RADIUS身份驗證和授權。
FXOS機箱包括以下使用者角色:
- 管理員-對整個系統的完整讀寫存取權。預設管理員帳戶預設分配此角色,且無法更改。
- 唯讀-對沒有修改系統狀態之許可權的系統組態唯讀存取權。
- 操作-對NTP配置、智慧許可的Smart Call Home配置和系統日誌(包括系統日誌伺服器和故障)的讀寫訪問許可權。對系統的其餘部分具有讀取許可權。
- AAA -對使用者、角色和AAA配置的讀寫訪問許可權。對系統的其餘部分具有讀取許可權。
透過CLI可以看到,如下所示:
fpr4120-TAC-A /security* # show role
角色:
角色名稱Priv
---------- ----
aaa aaa
admin admin
操作操作
唯讀唯讀
作者:Tony Remirez、Jose Soto、Cisco TAC工程師。
必要條件
需求
思科建議您瞭解以下主題:
- Firepower可擴展作業系統(FXOS)知識
- ISE配置知識
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- Cisco Firepower 4120安全裝置版本2.2
- 虛擬思科身分辨識服務引擎2.2.0.470
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
設定
配置的目標是:
- 透過ISE對登入到FXOS基於Web的GUI和SSH的使用者進行身份驗證
- 透過ISE,根據使用者角色授權使用者登入FXOS的基於Web的GUI和SSH。
- 透過ISE驗證FXOS上的身份驗證和授權是否正常工作
網路圖表
組態
配置FXOS機箱
使用機箱管理器建立RADIUS提供程式
步驟 1.導航到平台設定> AAA。
步驟 2.按一下RADIUS頁籤。
步驟 3.針對您想要新增的每個RADIUS提供者(最多16個提供者)。
3.1.在「RADIUS提供程式」區域中,按一下增加。
3.2.開啟「新增RADIUS提供者」通話方塊後,請輸入所需的值。
3.3.按一下確定關閉「增加RADIUS提供程式」對話方塊。
步驟 4.按一下Save。
步驟 5.導航到系統>使用者管理>設定。
步驟 6.在「Default Authentication」下,選擇RADIUS。
使用CLI建立RADIUS提供程式
步驟 1.要啟用RADIUS身份驗證,請運行以下命令。
fpr4120-TAC-A#範圍安全
fpr4120-TAC-A /security # scope default-auth
fpr4120-TAC-A /security/default-auth # set realm radius
步驟 2.使用show detail命令可顯示結果。
fpr4120-TAC-A /security/default-auth # show detail
預設驗證:
管理範圍:Radius
作業範圍:Radius
Web會話刷新期間(秒):600
Web、ssh、telnet會話的會話超時(秒):600
Web、ssh、telnet會話的絕對會話超時(秒):3600
串列控制檯會話超時(秒):600
串列控制檯絕對會話超時(秒):3600
管理員身份驗證伺服器組:
運行身份驗證伺服器組:
使用第二個因素:否
步驟 3.要配置RADIUS伺服器引數,請運行以下命令。
fpr4120-TAC-A#範圍安全
fpr4120-TAC-A /security # scope radius
fpr4120-TAC-A /security/radius # 輸入伺服器10.88.244.50
fpr4120-TAC-A /security/radius/server # set descr "ISE Server"
fpr4120-TAC-A /security/radius/server* # set key
輸入金鑰:******
確認金鑰:******
步驟 4.使用show detail命令可顯示結果。
fpr4120-TAC-A /security/radius/server* # show detail
RADIUS伺服器:
主機名、FQDN或IP地址:10.88.244.50
描述:
訂單:1
身份驗證埠:1812
金鑰:****
逾時:5
配置ISE伺服器
將FXOS增加為網路資源
步驟 1.導航到管理>網路資源>網路裝置。
步驟 2.點選增加
步驟 3.輸入所需的值(Name、IP Address、Device Type和Enable RADIUS,然後增加KEY),按一下Submit。
建立身份組和使用者
步驟 1.導航到管理>身份管理>組>使用者身份組。
步驟 2.按一下ADD。
步驟 3.輸入名稱值並按一下Submit。
步驟 4.對所有必要的「使用者角色」重複步驟3。
步驟 5.導航到管理>身份管理>身份>使用者。
步驟 6.按一下ADD。
步驟 7.輸入所需的值(名稱、使用者組和密碼)。
步驟 8.對所有必要使用者重複步驟6。
為每個使用者角色建立授權配置檔案
步驟 1.導航到策略>策略元素>結果>授權>授權配置檔案。
步驟 2.填寫授權配置檔案的所有屬性。
2.1.設定設定檔名稱。
2.2.在高級屬性設定中,配置以下CISCO-AV-PAIR
cisco-av-pair=shell:roles="admin"
2.3.按一下儲存。
步驟 3.使用以下Cisco-AV對為其餘使用者角色重複步驟2
cisco-av-pair=shell:roles="aaa"
cisco-av-pair=shell:roles="operations"
cisco-av-pair=shell:roles="read-only"
建立身份驗證策略
步驟 1.導航到策略>身份驗證>,然後點選您要建立規則的編輯位置旁邊的箭頭。
步驟 2.設定簡單;可以更精細地完成,但在本例中,我們將使用裝置型別:
名稱:FXOS驗證規則
IF Select new attribute/value: Device:Device Type Equals All Devices Types #FXOS
允許協定:預設網路訪問
使用:內部使用者
建立授權策略
步驟 1.導航到策略>授權>,點選箭頭網路編輯您要建立規則的位置。
步驟 2.使用所需引數輸入授權規則的值。
2.1.規則名稱:Fxos <USER ROLE> Rule。
2.2.如果:User Identity Groups > Select <USER ROLE>。
2.3.和:建立新條件> Device:Device type等於All Devices Types #FXOS。
2.4.許可權:標準>選擇使用者角色配置檔案
步驟 3.對所有使用者角色重複步驟2。
步驟 4.按一下頁底部的Save。
驗證
您現在可以測試每個使用者並驗證分配的使用者角色。
FXOS機箱驗證
- 透過Telnet或SSH連線到FXOS機箱,然後使用ISE上建立的任意使用者登入。
使用者名稱:fxosadmin
密碼:
fpr4120-TAC-A#範圍安全
fpr4120-TAC-A /security # show remote-user detail
遠端使用者fxosaa:
說明:
使用者角色:
名稱:aaa
名稱:唯讀
遠端使用者fxosadmin:
說明:
使用者角色:
名稱:admin
名稱:唯讀
遠端使用者fxosoper:
說明:
使用者角色:
名稱:操作
名稱:唯讀
遠端使用者fxosro:
說明:
使用者角色:
名稱:唯讀
根據輸入的使用者名稱,FXOS機箱cli將僅顯示為分配的使用者角色授權的命令。
管理員使用者角色。
fpr4120-TAC-A /security #?
確認確認
clear-user-sessions清除使用者會話
建立建立託管對象
刪除刪除管理的物件
停用停用服務
啟用服務
輸入輸入受管理的物件
範圍更改當前模式
set設定屬性值
顯示顯示系統資訊
終止活動cimc會話
fpr4120-TAC-A# connect fxos
fpr4120-TAC-A (fxos)# debug aaa aaa-requests
fpr4120-TAC-A (fxos)#
唯讀使用者角色。
fpr4120-TAC-A /security #?
範圍更改當前模式
set設定屬性值
顯示顯示系統資訊
fpr4120-TAC-A# connect fxos
fpr4120-TAC-A (fxos)# debug aaa aaa-requests
%拒絕角色許可權
- 瀏覽至FXOS機箱IP地址並使用ISE上建立的任意使用者登入。
管理員使用者角色。
唯讀使用者角色。
ISE 2.0驗證
- 導航到操作> RADIUS >即時日誌。您應該能夠看到成功和失敗的嘗試。
疑難排解
要調試AAA身份驗證和授權,請在FXOS CLI中運行以下命令。
fpr4120-TAC-A# connect fxos
fpr4120-TAC-A (fxos)# debug aaa aaa-requests
fpr4120-TAC-A (fxos)# debug aaa event
fpr4120-TAC-A (fxos)# debug aaa errors
fpr4120-TAC-A (fxos)#定期監控
在身份驗證嘗試成功後,您將看到以下輸出。
2018年1月20日17:18:02.410275 aaa: aaa_req_process for authentication. session no 0
2018年1月20日17:18:02.410297 aaa: aaa_req_process:來自應用的一般AAA請求:登入appn_subtype:預設
2018年1月20日17:18:02.410310 aaa: try_next_aaa_method
2018年1月20日17:18:02.410330 aaa:配置的方法總數為1,要嘗試的當前索引為0
2018年1月20日17:18:02.410344 aaa:handle_req_using_method
2018年1月20日17:18:02.410356 aaa: AAA_METHOD_SERVER_GROUP
2018年1月20日17:18:02.410367 aaa: aaa_sg_method_handler group = radius
2018年1月20日17:18:02.410379 aaa:使用傳遞給此函式的sg_protocol
2018年1月20日17:18:02.410393 aaa:向RADIUS服務傳送請求
2018年1月20日17:18:02.412944 aaa: mts_send_msg_to_prot_daemon:負載長度= 374
2018年1月20日17:18:02.412973 aaa:會話:0x8dfd68c增加到會話表1
2018年1月20日17:18:02.412987 aaa:配置的方法組成功
2018年1月20日17:18:02.656425 aaa: aaa_process_fd_set
2018年1月20日17:18:02.656447 aaa: aaa_process_fd_set: aaa_q上的mtscallback
2018年1月20日17:18:02.656470 aaa: mts_message_response_handler: an mts response
2018年1月20日17:18:02.656483 aaa: prot_daemon_reponse_handler
2018年1月20日17:18:02.656497 aaa:會話:0x8dfd68c已從會話表0中刪除
2018年1月20日17:18:02.656512 aaa: is_aaa_resp_status_success status = 1
2018年1月20日17:18:02.656525 aaa: is_aaa_resp_status_success為TRUE
2018年1月20日17:18:02.656538 aaa: aaa_send_client_response for authentication. session->flags=21. aaa_resp->flags=0。
2018年1月20日17:18:02.656550 aaa: AAA_REQ_FLAG_NORMAL
2018年1月20日17:18:02.656577 aaa: mts_send_response成功
2018年1月20日17:18:02.700520 aaa: aaa_process_fd_set: aaa_accounting_q上的mtscallback
2018年1月20日17:18:02.700688 aaa:舊操作碼:accounting_interim_update
2018年1月20日17:18:02.700702 aaa: aaa_create_local_acct_req: user=, session_id=, log=added user fxosro
2018年1月20日17:18:02.700725 aaa:aaa_req_process for accounting。會話否0
2018年1月20日17:18:02.700738 aaa: MTS請求引用為空。LOCAL請求
2018年1月20日17:18:02.700749 aaa:設定AAA_REQ_RESPONSE_NOT_NEEDED
2018年1月20日17:18:02.700762 aaa: aaa_req_process:來自應用的一般AAA請求:預設appln_subtype:預設
2018年1月20日17:18:02.700774 aaa: try_next_aaa_method
2018年1月20日17:18:02.700798 aaa:沒有為預設預設配置方法
2018年1月20日17:18:02.700810 aaa:此請求沒有可用的配置
2018年1月20日17:18:02.700997 aaa:aaa_send_client_response for accounting. session->flags=254. aaa_resp->flags=0。
2018年1月20日17:18:02.701010 aaa:舊庫記帳請求的響應將作為SUCCESS傳送
2018年1月20日17:18:02.701021 aaa:此請求不需要響應
2018年1月20日17:18:02.701033 aaa: AAA_REQ_FLAG_LOCAL_RESP
2018年1月20日17:18:02.701044 aaa: aaa_cleanup_session
2018年1月20日17:18:02.701055 aaa: aaa_req應釋放。
2018年1月20日17:18:02.701067 aaa:本地回滾方法成功
2018年1月20日17:18:02.706922 aaa: aaa_process_fd_set
2018年1月20日17:18:02.706937 aaa: aaa_process_fd_set: aaa_accounting_q上的mtscallback
2018年1月20日17:18:02.706959 aaa:舊操作碼:accounting_interim_update
2018年1月20日17:18:02.706972 aaa: aaa_create_local_acct_req: user=, session_id=, log=added user:fxosr to the role:read-only
在身份驗證嘗試失敗後,您將看到以下輸出。
2018年1月20日17:15:18.102130 aaa: aaa_process_fd_set
2018年1月20日17:15:18.102149 aaa: aaa_process_fd_set: aaa_q上的mtscallback
2018年1月20日17:15:18.102267 aaa: aaa_process_fd_set
2018年1月20日17:15:18.102281 aaa: aaa_process_fd_set: aaa_q上的mtscallback
2018年1月20日17:15:18.102363 aaa: aaa_process_fd_set
2018年1月20日17:15:18.102377 aaa: aaa_process_fd_set: aaa_q上的mtscallback
2018年1月20日17:15:18.102456 aaa: aaa_process_fd_set
2018年1月20日17:15:18.102468 aaa: aaa_process_fd_set: aaa_q上的mtscallback
2018年1月20日17:15:18.102489 aaa: mts_aaa_req_process
2018年1月20日17:15:18.102503 aaa: aaa_req_process for authentication. session no 0
2018年1月20日17:15:18.102526 aaa: aaa_req_process:來自應用的一般AAA請求:登入appn_subtype:預設
2018年1月20日17:15:18.102540 aaa: try_next_aaa_method
2018年1月20日17:15:18.102562 aaa:配置的方法總數為1,要嘗試的當前索引為0
2018年1月20日17:15:18.102575 aaa: handle_req_using_method
2018年1月20日17:15:18.102586 aaa: AAA_METHOD_SERVER_GROUP
2018年1月20日17:15:18.102598 aaa: aaa_sg_method_handler group = radius
2018年1月20日17:15:18.102610 aaa:使用傳遞給此函式的sg_protocol
2018年1月20日17:15:18.102625 aaa:向RADIUS服務傳送請求
2018年1月20日17:15:18.102658 aaa: mts_send_msg_to_prot_daemon:負載長度= 371
2018年1月20日17:15:18.102684 aaa:會話:0x8dfd68c增加到會話表1
2018年1月20日17:15:18.102698 aaa:配置的方法組成功
2018年1月20日17:15:18.273682 aaa: aaa_process_fd_set
2018年1月20日17:15:18.273724 aaa: aaa_process_fd_set: aaa_q上的mtscallback
2018年1月20日17:15:18.273753 aaa: mts_message_response_handler: an mts response
2018年1月20日17:15:18.273768 aaa: prot_daemon_reponse_handler
2018年1月20日17:15:18.273783 aaa:會話:0x8dfd68c已從會話表0中刪除
2018年1月20日17:15:18.273801 aaa: is_aaa_resp_status_success status = 2
2018年1月20日17:15:18.273815 aaa: is_aaa_resp_status_success為TRUE
2018年1月20日17:15:18.273829 aaa: aaa_send_client_response for authentication. session->flags=21. aaa_resp->flags=0。
2018年1月20日17:15:18.273843 aaa: AAA_REQ_FLAG_NORMAL
2018年1月20日17:15:18.273877 aaa: mts_send_response成功
2018年1月20日17:15:18.273902 aaa: aaa_cleanup_session
2018年1月20日17:15:18.273916 aaa: mts_drop of request msg
2018年1月20日17:15:18.273935 aaa: aaa_req應釋放。
2018年1月20日17:15:18.280416 aaa: aaa_process_fd_set
2018年1月20日17:15:18.280443 aaa: aaa_process_fd_set: aaa_q上的mtscallback
2018年1月20日17:15:18.280454 aaa: aaa_enable_info_config: GET_REQ for aaa login錯誤消息
2018年1月20日17:15:18.280460 aaa:返回配置操作返回值:未知安全項
相關資訊
啟用TACACS/RADIUS身份驗證時,FX-OS cli上的Ethanalyzer命令將提示輸入密碼。此行為是由Bug引起的。
錯誤id: CSCvg87518
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
22-Jan-2018 |
初始版本 |
意見