In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird beschrieben, wie Sie die RADIUS-Authentifizierung und -Autorisierung für das FirePOWER eXtensible Operating System (FXOS)-Chassis über die Identity Services Engine (ISE) konfigurieren.
Das FXOS-Chassis umfasst die folgenden Benutzerrollen:
Über die CLI sieht man dies wie folgt:
fpr4120-TAC-A /security* # Rolle anzeigen
Rolle:
Rollenname Priv
---------- ----
aaa aaa
Administrator
Betriebsabläufe
schreibgeschützt
Unterstützt von Tony Remirez, Jose Soto, Cisco TAC Engineers.
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Ziel der Konfiguration ist es,
Erstellen eines RADIUS-Anbieters mit Chassis Manager
Schritt 1: Navigieren Sie zu Plattformeinstellungen > AAA.
Schritt 2: Klicken Sie auf die Registerkarte RADIUS.
Schritt 3: Für jeden RADIUS-Anbieter, den Sie hinzufügen möchten (bis zu 16 Anbieter).
3.1. Klicken Sie im Bereich RADIUS Providers (RADIUS-Anbieter) auf Add (Hinzufügen).
3.2. Geben Sie im Dialogfeld RADIUS-Anbieter hinzufügen die erforderlichen Werte ein.
3.3. Klicken Sie auf OK, um das Dialogfeld RADIUS-Anbieter hinzufügen zu schließen.
Schritt 4: Klicken Sie auf Speichern.
Schritt 5: Navigieren Sie zu System > User Management > Settings.
Schritt 6: Wählen Sie unter Default Authentication (Standardauthentifizierung) RADIUS aus.
Erstellen eines RADIUS-Anbieters mit CLI
Schritt 1: Führen Sie die folgenden Befehle aus, um die RADIUS-Authentifizierung zu aktivieren.
fpr4120-TAC-A# Bereichssicherheit
fpr4120-TAC-A /security # scope default-auth
fpr4120-TAC-A /security/default-auth # Bereichsradius festlegen
Schritt 2: Verwenden Sie den Befehl show detail, um die Ergebnisse anzuzeigen.
fpr4120-TAC-A /security/default-auth # Details anzeigen
Standardauthentifizierung:
Admin-Bereich: Radius
Operativer Bereich: Radius
Aktualisierungszeitraum für Websitzungen (in Sekunden): 600
Sitzungs-Timeout (in Sekunden) für Web-, SSH- und Telnet-Sitzungen: 600
Absoluter Sitzungs-Timeout (in Sekunden) für Web-, SSH- und Telnet-Sitzungen: 3.600
Timeout für serielle Konsolensitzung (in Sekunden): 600
Absolutes Timeout für serielle Konsole (in Sekunden): 3600
Servergruppe für die Administratorauthentifizierung:
Servergruppe für die betriebliche Authentifizierung:
Verwendung des 2. Faktors: Nein
Schritt 3: Führen Sie die folgenden Befehle aus, um RADIUS-Serverparameter zu konfigurieren.
fpr4120-TAC-A# Bereichssicherheit
fpr4120-TAC-A /Sicherheit # Bereichsradius
fpr4120-TAC-A /security/radius # Server eingeben 10.88.244.50
fpr4120-TAC-A /security/radius/server # set descr "ISE Server"
fpr4120-TAC-A /security/radius/server* # Schlüssel festlegen
Geben Sie den Schlüssel ein: ******
Bestätigen Sie den Schlüssel: ******
Schritt 4: Verwenden Sie den Befehl show detail, um die Ergebnisse anzuzeigen.
fpr4120-TAC-A /security/radius/server* # Details anzeigen
RADIUS-Server:
Hostname, FQDN oder IP-Adresse: 10.88.244.50
Beschreibung:
Reihenfolge: 1
Auth-Port: 1812
Schlüssel: ****
Timeout: 5
Hinzufügen des FXOS als Netzwerkressource
Schritt 1: Navigieren Sie zu Administration > Network Resources > Network Devices.
Schritt 2: Klicken Sie auf Hinzufügen
Schritt 3: Geben Sie die erforderlichen Werte ein (Name, IP-Adresse, Gerätetyp und RADIUS aktivieren, und fügen Sie den KEY hinzu). Klicken Sie dann auf Submit (Senden).
Erstellen von Identitätsgruppen und Benutzern
Schritt 1: Navigieren Sie zu Administration > Identity Management > Groups > User Identity Groups.
Schritt 2: Klicken Sie auf Hinzufügen.
Schritt 3: Geben Sie den Wert für Name ein, und klicken Sie auf Senden.
Schritt 4: Wiederholen Sie Schritt 3 für alle erforderlichen Benutzerrollen.
Schritt 5: Navigieren Sie zu Administration > Identity Management > Identity > Users.
Schritt 6: Klicken Sie auf Hinzufügen.
Schritt 7. Geben Sie die erforderlichen Werte ein (Name, Benutzergruppe, Passwort).
Schritt 8: Wiederholen Sie Schritt 6 für alle erforderlichen Benutzer.
Erstellen des Autorisierungsprofils für jede Benutzerrolle
Schritt 1: Navigieren Sie zu Policy > Policy Elements > Results > Authorization > Authorization Profiles (Richtlinie > Richtlinienelemente > Ergebnisse > Autorisierung > Autorisierungsprofile).
Schritt 2: Füllen Sie alle Attribute für das Autorisierungsprofil aus.
2.1. Konfigurieren des Profilnamens
2.2. Konfigurieren Sie in den erweiterten Attributeinstellungen das folgende CISCO-AV-PAIR.
cisco-av-pair=shell:roles="admin"
2.3. Klicken Sie auf Speichern.
Schritt 3: Wiederholen Sie Schritt 2 für die verbleibenden Benutzerrollen, indem Sie die folgenden Cisco AV-Paare verwenden:
cisco-av-pair=shell:roles="aaa"
cisco-av-pair=shell:roles="operations"
cisco-av-pair=shell:roles="schreibgeschützt"
Erstellen der Authentifizierungsrichtlinie
Schritt 1: Navigieren Sie zu Policy > Authentication >, und klicken Sie auf den Pfeil neben, um zu bearbeiten, wo Sie die Regel erstellen möchten.
Schritt 2: Die Einrichtung ist einfach; sie kann detaillierter durchgeführt werden, aber für dieses Beispiel verwenden wir den Gerätetyp:
Name: FXOS-AUTHENTIFIZIERUNGSREGEL
IF Neues Attribut/neuen Wert auswählen: Gerät:Gerätetyp ist gleich Alle Gerätetypen #FXOS
Protokolle zulassen: Standard-Netzwerkzugriff
Verwendung: Interne Benutzer
Erstellen der Autorisierungsrichtlinie
Schritt 1: Navigieren Sie zu Richtlinie > Autorisierung >, und klicken Sie auf das Pfeilsymbol, um die Stelle zu bearbeiten, an der die Regel erstellt werden soll.
Schritt 2: Geben Sie die Werte für die Autorisierungsregel mit den erforderlichen Parametern ein.
2.1. Regelname: Fxos <BENUTZERROLLE>-Regel.
2.2. Falls: Benutzeridentitätsgruppen > Wählen Sie <BENUTZERROLLE>.
2.3. UND: Neue Bedingung erstellen > Gerät: Gerätetyp entspricht allen Gerätetypen #FXOS.
2.4. Berechtigungen: Standard > Benutzerrollenprofil auswählen
Schritt 3: Wiederholen Sie Schritt 2 für alle Benutzerrollen.
Schritt 4: Klicken Sie unten auf Speichern.
Sie können nun jeden Benutzer testen und die zugewiesene Benutzerrolle überprüfen.
Benutzername: fxosadmin
Kennwort:
fpr4120-TAC-A# Bereichssicherheit
fpr4120-TAC-A /security # Details für Remote-Benutzer anzeigen
Remote User fxosaaa:
Beschreibung:
Benutzerrollen:
Name: aaa
Name: schreibgeschützt
Remote-Benutzer fxosadmin:
Beschreibung:
Benutzerrollen:
Name: admin
Name: schreibgeschützt
Remote-Benutzer-Fxosoper:
Beschreibung:
Benutzerrollen:
Name: Vorgänge
Name: schreibgeschützt
Remote User fxosro:
Beschreibung:
Benutzerrollen:
Name: schreibgeschützt
Je nach eingegebenem Benutzernamen zeigt die FXOS-Chassis-CLI nur die Befehle an, die für die zugewiesene Benutzerrolle autorisiert sind.
Rolle des Administrators
fpr4120-TAC-A /Sicherheitsnr.?
bestätigen
Benutzersitzungen löschen Benutzersitzungen löschen
Erstellen verwalteter Objekte
Gelöschte Objekte löschen
Dienste deaktivieren
Enable-Services
eingeben Wechselt in ein verwaltetes Objekt
scope Ändert den aktuellen Modus
Festlegen von Eigenschaftswerten
Anzeigen Systeminformationen
Beenden von aktiven CIMC-Sitzungen
fpr4120-TAC-A# Anschluss von Faxgeräten
fpr4120-TAC-A (fxos)# debug aaa-request
fpr4120-TAC-A (fxos)#
Schreibgeschützte Benutzerrolle.
fpr4120-TAC-A /Sicherheitsnr.?
scope Ändert den aktuellen Modus
Festlegen von Eigenschaftswerten
Anzeigen Systeminformationen
fpr4120-TAC-A# Anschluss von Faxgeräten
fpr4120-TAC-A (fxos)# debug aaa-request
% Für die Rolle verweigerte Berechtigung
Rolle des Administrators
Schreibgeschützte Benutzerrolle.
Hinweis: Beachten Sie, dass die Schaltfläche HINZUFÜGEN abgeblendet ist.
Führen Sie zum Debuggen der AAA-Authentifizierung und -Autorisierung die folgenden Befehle in der FXOS-CLI aus.
fpr4120-TAC-A# Anschluss von Faxgeräten
fpr4120-TAC-A (fxos)# debug aaa-request
fpr4120-TAC-A (fxos)# debug aaa event
fpr4120-TAC-A (fxos)# debug aaa errors
fpr4120-TAC-A (fxos)# Laufzeit Mo
Nach einem erfolgreichen Authentifizierungsversuch wird die folgende Ausgabe angezeigt.
2018 Jan 20 17:18:02.410275 aaaa: aaa_req_process für authentication.session no 0
2018 Jan 20 17:18:02.410297 aaaa: aaa_req_process: Allgemeine AAA-Anfrage von appln: login appln_subtype: default
2018 Jan 20 17:18:02.410310 aaaa: try_next_aaa_method
2018 Jan 20 17:18:02.410330 aaaa: total methods configured is 1, current index to be try is 0
2018 Jan 20 17:18:02.410344 aaaa: handle_req_using_method
2018 Jan. 2018 17:18:02,410356 aaa: AAA_METHOD_SERVER_GROUP
2018 Jan 20 17:18:02.410367 aaaa: aaa_sg_method_handler group = radius
2018 Jan 20 17:18:02.410379 aaaa: Verwenden von sg_protocol, das an diese Funktion übergeben wird
2018 Jan 20 17:18:02.410393 aaaa: Anfrage wird an RADIUS-Dienst gesendet
2018 Jan. 2018 17:18:02.412944 aaa: mts_send_msg_to_prot_daemon: Payload-Länge = 374
2018 Jan 20 17:18:02.412973 aaa: session: 0x8dfd68c added to the session table 1
2018 Jan 20 17:18:02.412987 aaa: Konfigurierte Methodengruppe erfolgreich
2018 Jan 20 17:18:02.656425 aaaa: aaa_process_fd_set
2018 Jan 20 17:18:02.656447 aaaa: aaa_process_fd_set: mtscallback on aaa_q
2018 Jan 20 17:18:02.656470 aaaa: mts_message_response_handler: an mts response
2018 Jan. 2018 17:18:02.656483 aaa: prot_daemon_reponse_handler
2018 Jan 20 17:18:02.656497 aaaa: session: 0x8dfd68c remove from the session table 0
2018 Jan 20 17:18:02.656512 aaaa: is_aaa_resp_status_success status = 1
2018 Jan 20 17:18:02.656525 aaaa: is_aaa_resp_status_success ist TRUE
2018 Jan 20 17:18:02.656538 aaaa: aaa_send_client_response for authentication. session->flags=21. aaaa_resp->flags=0.
2018 Jan. 2018 17:18:02.656550 aaa: AAA_REQ_FLAG_NORMAL
2018 Jan 20 17:18:02.656577 aaaa: mts_send_response Erfolgreich
2018 Jan 20 17:18:02.700520 aaaa: aaa_process_fd_set: mtscallback on aaa_accounting_q
2018 Jan 20 17:18:02.700688 aaaa: OLD OPCODE: accounting_interim_update
2018 Jan 20 17:18:02.700702 aaaa: aaa_create_local_acct_req: user=, session_id=, log=added user fxosro
2018 Jan 20 17:18:02.700725 aaaa: aaa_req_process für Buchhaltung. Session Nr. 0
2018 Jan 20 17:18:02.700738 aaaa: MTS-Anforderungsreferenz ist NULL. LOKALE Anfrage
2018 Jan. 2017:18:02.700749 aaa: Festlegen von AAA_REQ_RESPONSE_NOT_NEEDED
2018 Jan 20 17:18:02.700762 aaaa: aaa_req_process: Allgemeine AAA-Anfrage von appln: default appln_subtype: default
2018 Jan 20 17:18:02.700774 aaaa: try_next_aaa_method
2018 Jan 20 17:18:02.700798 aaa: keine Methoden für Standard-Standard konfiguriert
2018 Jan 20 17:18:02.700810 aaaa: für diese Anfrage ist keine Konfiguration verfügbar
2018 Jan 20 17:18:02.700997 aaaa: aaa_send_client_response for accounting. session->flags=254. aaaa_resp->flags=0.
2018 Jan 20 17:18:02.701010 aaaa: Antwort auf Buchungsanfrage der alten Bibliothek wird als ERFOLG gesendet
2018 Jan 20 17:18:02.701021 aaa: Antwort für diese Anfrage nicht erforderlich
20. Jan. 2018, 17:18:02,701033 aaa: AAA_REQ_FLAG_LOCAL_RESP
2018 Jan. 20 17:18:02.701044 aaaa: aaa_cleanup_session
2018 Jan 20 17:18:02.701055 aaaa: aaa_req sollte freigegeben werden.
2018 Jan 20 17:18:02.701067 aaaa: Fallback-Methode lokal erfolgreich
2018 Jan 20 17:18:02.706922 aaaa: aaa_process_fd_set
2018 Jan 20 17:18:02.706937 aaaa: aaa_process_fd_set: mtscallback on aaa_accounting_q
2018 Jan 20 17:18:02.706959 aaaa: OLD OPCODE: accounting_interim_update
2018 Jan 20 17:18:02.706972 aaaa: aaa_create_local_acct_req: user=, session_id=, log=add user:fxosro to the role:read-only
Nach einem fehlgeschlagenen Authentifizierungsversuch wird die folgende Ausgabe angezeigt.
2018 Jan 20 17:15:18.102130 aaaa: aaa_process_fd_set
2018 Jan 20 17:15:18.102149 aaaa: aaa_process_fd_set: mtscallback on aaa_q
2018 Jan 20 17:15:18.102267 aaaa: aaa_process_fd_set
2018 Jan 20 17:15:18.102281 aaaa: aaa_process_fd_set: mtscallback on aaa_q
2018 Jan 20 17:15:18.102363 aaaa: aaa_process_fd_set
2018 Jan 20 17:15:18.102377 aaaa: aaa_process_fd_set: mtscallback on aaa_q
2018 Jan 20 17:15:18.102456 aaaa: aaa_process_fd_set
2018 Jan 20 17:15:18.102468 aaaa: aaa_process_fd_set: mtscallback on aaa_q
2018 Jan. 2018 17:15:18.102489 aaa: mts_aaa_req_process
2018 Jan 20 17:15:18.102503 aaaa: aaa_req_process für authentication.session no 0
2018 Jan 20 17:15:18.102526 aaaa: aaa_req_process: Allgemeine AAA-Anfrage von appln: login appln_subtype: default
2018 Jan 20 17:15:18.102540 aaaa: try_next_aaa_method
2018 Jan 20 17:15:18.102562 aaaa: total methods configured is 1, current index to be try is 0
2018 Jan 20 17:15:18.102575 aaaa: handle_req_using_method
2018 Jan. 2018 17:15:18.102586 aaa: AAA_METHOD_SERVER_GROUP
2018 Jan 20 17:15:18.102598 aaaa: aaa_sg_method_handler group = radius
2018 Jan 20 17:15:18.102610 aaaa: Verwenden von sg_protocol, das an diese Funktion übergeben wird
2018 Jan 20 17:15:18.102625 aaaa: Anfrage wird an RADIUS-Dienst gesendet
2018 Jan. 2018 17:15:18.102658 aaa: mts_send_msg_to_prot_daemon: Payload-Länge = 371
2018 Jan 20 17:15:18.102684 aaaa: session: 0x8dfd68c added to the session table 1
2018 Jan 20 17:15:18.102698 aaa: Konfigurierte Methodengruppe erfolgreich
2018 Jan 20 17:15:18.273682 aaaa: aaa_process_fd_set
2018 Jan 20 17:15:18.273724 aaaa: aaa_process_fd_set: mtscallback on aaa_q
2018 Jan 20 17:15:18.273753 aaaa: mts_message_response_handler: an mts response
2018 Jan. 2018 17:15:18.273768 aaa: prot_daemon_reponse_handler
2018 Jan 20 17:15:18.273783 aaaa: session: 0x8dfd68c remove from the session table 0
2018 Jan 20 17:15:18.273801 aaaa: is_aaa_resp_status_success status = 2
2018 Jan 20 17:15:18.273815 aaaa: is_aaa_resp_status_success ist TRUE
2018 Jan 20 17:15:18.273829 aaaa: aaa_send_client_response for authentication. session->flags=21. aaaa_resp->flags=0.
2018 Jan. 2018 17:15:18.273843 aaa: AAA_REQ_FLAG_NORMAL
2018 Jan 20 17:15:18.273877 aaaa: mts_send_response Erfolgreich
2018 Jan. 2018 17:15:18.273902 aaa: aaa_cleanup_session
2018 Jan 20 17:15:18.273916 aaaa: mts_drop der Anforderungsmeldung
2018 Jan 20 17:15:18.273935 aaaa: aaa_req sollte freigegeben werden.
2018 Jan 20 17:15:18.280416 aaaa: aaa_process_fd_set
2018 Jan 20 17:15:18.280443 aaaa: aaa_process_fd_set: mtscallback on aaa_q
2018 Jan 20 17:15:18.280454 aaaa: aaa_enable_info_config: GET_REQ für aaa login error message
2018 Jan 20 17:15:18.280460 aaaa: hat den Rückgabewert von Konfigurationsvorgang zurückerhalten:unbekanntes Sicherheitselement
Der Ethanalyzer-Befehl in der FX-OS-CLI fordert zur Eingabe eines Kennworts auf, wenn die TACACS-/RADIUS-Authentifizierung aktiviert ist. Dieses Verhalten wird durch einen Fehler verursacht.
Bug-ID: CSCvg87518
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
22-Jan-2018 |
Erstveröffentlichung |