Firepower Système d'exploitation extensible (FXOS) 2.2 : Authentification et autorisation du châssis pour la gestion à distance avec ACS à l'aide de RADIUS
Contenu
Introduction
Ce document décrit comment configurer l'authentification et l'autorisation RADIUS pour le châssis Firepower eXtensible Operating System (FXOS) via Access Control Server (ACS).
Le châssis FXOS comprend les rôles d'utilisateur suivants :
- Administrateur : accès complet en lecture-écriture à l'ensemble du système. Ce rôle est attribué par défaut au compte d'administration par défaut et il ne peut pas être modifié.
- Lecture seule : accès en lecture seule à la configuration du système sans privilèges permettant de modifier l'état du système.
- Opérations : accès en lecture-écriture à la configuration NTP, à la configuration Smart Call Home pour Smart Licensing et aux journaux système, y compris les serveurs syslog et les pannes. Accès en lecture au reste du système.
- AAA : accès en lecture-écriture aux utilisateurs, aux rôles et à la configuration AAA. Accès en lecture au reste du système.
Par l'intermédiaire de l'interface de ligne de commande, ceci peut être vu comme suit :
fpr4120-TAC-A /security* # show role
Rôle :
Nom du rôle Priv.
—
aaa aaa
admin admin
opérations opérationnelles
lecture seule
Contribué par Tony Remirez, Jose Soto, Ingénieurs TAC Cisco.
Conditions préalables
Conditions requises
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Connaissance de Firepower eXtensible Operating System (FXOS)
- Connaissance de la configuration ACS
Components Used
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- Appliance de sécurité Cisco Firepower 4120 version 2.2
- Serveur de contrôle d'accès Cisco virtuel version 5.8.0.32
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Configuration
L'objectif de la configuration est de :
- Authentifiez les utilisateurs qui se connectent à l'interface utilisateur graphique Web et à SSH de FXOS à l'aide d'ACS.
- Autoriser les utilisateurs à se connecter à l'interface utilisateur graphique Web et à SSH de FXOS en fonction de leur rôle d'utilisateur respectif au moyen d'ACS.
- Vérifiez le bon fonctionnement de l'authentification et de l'autorisation sur le FXOS au moyen d'ACS.
Diagramme du réseau
Configurations
Configuration du châssis FXOS
Création d'un fournisseur RADIUS à l'aide du Gestionnaire de châssis
Étape 1. Accédez à Paramètres de la plate-forme > AAA.
Étape 2. Cliquez sur l'onglet RADIUS.
Étape 3. Pour chaque fournisseur RADIUS à ajouter (jusqu'à 16 fournisseurs).
3.1. Dans la zone Fournisseurs RADIUS, cliquez sur Ajouter.
3.2. Dans la boîte de dialogue Ajouter un fournisseur RADIUS, saisissez les valeurs requises.
3.3. Cliquez sur OK pour fermer la boîte de dialogue Ajouter un fournisseur RADIUS.
Étape 4. Click Save.
Étape 5. Accédez à System > User Management > Settings.
Étape 6. Sous Default Authentication, sélectionnez RADIUS.
Création d'un fournisseur RADIUS à l'aide de l'interface de ligne de commande
Étape 1. Afin d'activer l'authentification RADIUS, exécutez les commandes suivantes.
fpr4120-TAC-A# scope security
fpr4120-TAC-A /security # scope default-auth
fpr4120-TAC-A /security/default-auth # set realm radius
Étape 2. Utilisez la commande show detail pour afficher les résultats.
fpr4120-TAC-A /security/default-auth # show detail
Authentification par défaut :
Domaine d'administration : RADIUS
Domaine opérationnel : RADIUS
Période d'actualisation de la session Web (en secondes) : 600
Délai d'attente de session (en secondes) pour les sessions web, ssh, telnet : 600
Délai d'attente de session absolue (en secondes) pour les sessions Web, ssh et telnet : 3600
Délai d'expiration de la session de la console série (en secondes) : 600
Délai d'attente de session absolue de la console série (en secondes) : 3600
Groupe de serveurs Admin Authentication :
Groupe de serveurs d'authentification opérationnelle :
Utilisation du deuxième facteur : Non
Étape 3. Afin de configurer les paramètres du serveur RADIUS, exécutez les commandes suivantes.
fpr4120-TAC-A# scope security
fpr4120-TAC-A /security # scope radius
fpr4120-TAC-A /security/radius # entrez server 10.88.244.16
fpr4120-TAC-A /security/radius/server # set descr « ISE Server »
fpr4120-TAC-A /security/radius/server* # set key
Saisissez la clé : ******
Confirmez la clé : ******
Étape 4. Utilisez la commande show detail pour afficher les résultats.
fpr4120-TAC-A /security/radius/server* # show detail
Serveur RADIUS :
Nom d'hôte, nom de domaine complet ou adresse IP : 10.88.244.16
Description :
Commande : 1
Port d'authentification : 1812
Clé : ****
timeout : 5
Configuration du serveur ACS
Ajout du FXOS en tant que ressource réseau
Étape 1. Accédez à Network Resources > Network Devices and AAA Clients.
Étape 2. Click Create.
Étape 3. Saisissez les valeurs requises (Nom, Adresse IP, Type de périphérique et Activer RADIUS, puis ajoutez la CLÉ).
Étape 4. Cliquez sur Submit.
Création des groupes d'identités et des utilisateurs
Étape 1. Accédez à Utilisateurs et magasins d'identités > Groupes d'identités.
Étape 2. Click Create.
Étape 3. Entrez la valeur de Name et cliquez sur Submit.
Étape 4. Répétez les étapes 2 et 3 pour tous les rôles utilisateur requis.
Étape 5. Accédez à Utilisateurs et magasins d'identités > Magasins d'identités internes > Utilisateurs.
Étape 6. Click Create.
Étape 7. Saisissez les valeurs requises (Nom, Groupe d'identités, Mot de passe).
Étape 8. Répétez les étapes 6 et 7 pour tous les utilisateurs requis.
Création du profil d'autorisation pour chaque rôle utilisateur
Étape 1. Accédez à Eléments de stratégie > Autorisation et autorisations > Accès réseau > Profils d'autorisation > Cliquez sur Créer.
Étape 2. Remplissez tous les attributs du profil d'autorisation.
2.1. Configurez le nom du profil dans l'onglet Général.
2.2. Dans l'onglet Attributs RADIUS, configurez CISCO-AV-PAIR suivant
cisco-av-pair=shell : rôles=« aaa »
2.3. Cliquez sur AJOUTER /\, puis Envoyer.
Étape 3. Répétez les étapes 1 et 2 pour les autres rôles d'utilisateur à l'aide des paires Cisco-AV suivantes
cisco-av-pair=shell : rôles=« admin »
cisco-av-pair=shell : rôles=« opérations »
cisco-av-pair=shell : rôles=« lecture seule »
Création de la stratégie d'accès au réseau
Étape 1. Accédez à Politiques d'accès > Services d'accès > Accès réseau par défaut > Autorisation > Cliquez sur Créer.
Étape 2. Remplissez les paramètres requis (Groupe d'identités, Type de périphérique et Profil d'autorisation) et cliquez sur OK.
Étape 3. Répétez les étapes 1 et 2 pour tous les rôles utilisateur.
Étape 4. Cliquez sur Enregistrer les modifications en bas de la page.
Vérification
Vous pouvez maintenant tester chaque utilisateur et vérifier le rôle d'utilisateur assigné.
Vérification du châssis FXOS
- Établissez une connexion Telnet ou SSH au châssis FXOS et connectez-vous à l'aide de l'un des utilisateurs créés sur l'ISE.
username (nom d’utilisateur) : fxosadmin
Mot de passe :
fpr4120-TAC-A# sécurité de portée
fpr4120-TAC-A /security # show remote-user detail
Utilisateur distant fxosaaa :
Description:
Rôles utilisateur :
Name : aaa
Name : en lecture seule
Utilisateur distant fxosadmin :
Description:
Rôles utilisateur :
Name : admin
Name : en lecture seule
Utilisateur distant fxosoper :
Description:
Rôles utilisateur :
Name : opérations
Name : en lecture seule
Utilisateur distant fxosro :
Description:
Rôles utilisateur :
Name : en lecture seule
En fonction du nom d'utilisateur saisi, l'interface de ligne de commande du châssis FXOS affiche uniquement les commandes autorisées pour le rôle d'utilisateur attribué.
Rôle utilisateur Admin.
fpr4120-TAC-A /security # ?
reconnaître
clear-user-sessions Clear User Sessions
créer des objets gérés
supprimer les objets managés
désactiver les services Désactive
activer les services
Entrez un objet managé
étendue Modifie le mode actuel
définir les valeurs de propriété
show show system information
terminer les sessions cimc actives
fpr4120-TAC-A# connect fxos
fpr4120-TAC-A (fxos)# debug aaa aaa-request
fpr4120-TAC-A (fxos)#
Rôle utilisateur en lecture seule.
fpr4120-TAC-A /security # ?
étendue Modifie le mode actuel
définir les valeurs de propriété
show show system information
fpr4120-TAC-A# connect fxos
fpr4120-TAC-A (fxos)# debug aaa aaa-request
% Autorisation refusée pour le rôle
- Accédez à l'adresse IP du châssis FXOS et connectez-vous à l'aide de l'un des utilisateurs créés sur l'ISE.
Rôle utilisateur Admin.
Utilisateur en lecture seule :
Vérification ACS
- Accédez à Surveillance et rapports > Lancer la visionneuse Surveillance et rapports > Rapports > Protocole AAA > Authentification Radius > Cliquez sur Exécuter. Vous devriez être en mesure de voir des tentatives réussies et échouées.
Dépannage
Pour déboguer l'authentification et l'autorisation AAA, exécutez les commandes suivantes dans l'interface de ligne de commande FXOS.
fpr4120-TAC-A# connect fxos
fpr4120-TAC-A (fxos)# debug aaa aaa-request
fpr4120-TAC-A (fxos)# debug aaa event
fpr4120-TAC-A (fxos)# debug aaa errors
fpr4120-TAC-A (fxos)# term mon
Après une tentative d'authentification réussie, le résultat suivant s'affiche.
5 février 2018 14:21:30.017289 aaa : aaa_req_process pour l'authentification. session no 0
5 février 2018 14:21:30.017330 aaa : aaa_req_process : Demande AAA générale de l'application : login appln_subtype : par défaut
5 février 2018 14:21:30.017360 aaa : try_next_aaa_méthode
5 février 2018 14:21:30.017395 aaa : total des méthodes configurées est 1, l'index actuel à essayer est 0
5 février 2018 14:21:30.017425 aaa : handle_req_using_méthode
5 février 2018 14:21:30.017451 aaa : GROUPE_SERVEURS_MÉTHODE_AAA
5 février 2018 14:21:30.017479 aaa : groupe aaa_sg_method_handler = radius
5 février 2018 14:21:30.017506 aaa : Utilisation de sg_protocol passé à cette fonction
5 février 2018 14:21:30.017537 aaa : Envoi de la demande au service RADIUS
5 février 2018 14:21:30.017707 aaa : Groupe de méthodes configuré Réussite
5 février 2018 14:21:30.123584 aaa : aaa_process_fd_set : mtscallback sur aaa_q
5 février 2018 14:21:30.123625 aaa : mts_message_response_handler : réponse mts
5 février 2018 14:21:30.123654 aaa : prot_daemon_reponse_handler
5 février 2018 14:21:30.123713 aaa : is_aaa_resp_status_success status = 1
5 février 2018 14:21:30.123741 aaa : is_aaa_resp_status_success est TRUE
5 février 2018 14:21:30.123768 aaa : aaa_send_client_response pour l'authentification. session->flags=21. aaa_resp->flags=0.
5 février 2018 14:21:30.123795 aaa : AAA_REQ_FLAG_NORMAL
5 février 2018 14:21:30.123880 aaa : mts_send_response Réussite
5 février 2018 14:21:30.290059 aaa : ANCIEN OPCODE : mise à jour_intermédiaire_comptable
5 février 2018 14:21:30.290087 aaa : aaa_create_local_acct_req : user=, session_id=, log=utilisateur ajouté fxosro
5 février 2018 14:21:30.290122 aaa : aaa_req_process pour la comptabilité. session no 0
5 février 2018 14:21:30.290148 aaa : La référence de la demande MTS est NULL. Demande LOCALE
5 février 2018 14:21:30.290174 aaa : Définition de AAA_REQ_RESPONSE_NOT_NEEDED
5 février 2018 14:21:30.290202 aaa : aaa_req_process : Demande AAA générale de l'application : appln_subtype par défaut : par défaut
5 février 2018 14:21:30.290230 aaa : try_next_aaa_méthode
5 février 2018 14:21:30.290270 aaa : Aucune méthode configurée pour la valeur par défaut
5 février 2018 14:21:30.290299 aaa : aucune configuration disponible pour cette demande
5 février 2018 14:21:30.290333 aaa : try_fallback_méthode
5 février 2018 14:21:30.290364 aaa : handle_req_using_méthode
5 février 2018 14:21:30.290391 aaa : gestionnaire_méthode_locale
5 février 2018 14:21:30.290419 aaa : aaa_local_accounting_msg
5 février 2018 14:21:30.290448 aaa : mise à jour ::utilisateur ajouté fxosro
5 février 2018 14:21:30.290475 aaa : La liste av est null. Aucun id vsan
5 février 2018 14:21:30.290607 aaa : aaa_send_client_response pour la comptabilité. session->flags=254. aaa_resp->flags=0.
5 février 2018 14:21:30.290635 aaa : réponse à la demande de comptabilité de l'ancienne bibliothèque sera envoyée comme SUCCESS
5 février 2018 14:21:30.290659 aaa : réponse non nécessaire pour cette demande
5 février 2018 14:21:30.290684 aaa : AAA_REQ_FLAG_LOCAL_RESP
5 février 2018 14:21:30.290708 aaa : aaa_cleanup_session
5 février 2018 14:21:30.290732 aaa : aaa_req doit être libéré.
5 février 2018 14:21:30.290757 aaa : Échec de la méthode de retour local
5 février 2018 14:21:30.312898 aaa : aaa_process_fd_set
5 février 2018 14:21:30.312932 aaa : aaa_process_fd_set : mtscallback sur aaa_accounting_q
5 février 2018 14:21:30.312977 aaa : ANCIEN OPCODE : mise à jour_intermédiaire_comptable
5 février 2018 14:21:30.313007 aaa : aaa_create_local_acct_req : user=, session_id=, log=utilisateur ajouté:fxosro au rôle:lecture seule
5 février 2018 14:21:30.313044 aaa : aaa_req_process pour la comptabilité. session no 0
5 février 2018 14:21:30.313071 aaa : La référence de la demande MTS est NULL. Demande LOCALE
5 février 2018 14:21:30.313099 aaa : Définition de AAA_REQ_RESPONSE_NOT_NEEDED
5 février 2018 14:21:30.313125 aaa : aaa_req_process : Demande AAA générale de l'application : appln_subtype par défaut : par défaut
5 février 2018 14:21:30.313149 aaa : try_next_aaa_méthode
5 février 2018 14:21:30.313185 aaa : Aucune méthode configurée pour la valeur par défaut
5 février 2018 14:21:30.313213 aaa : aucune configuration disponible pour cette demande
5 février 2018 14:21:30.313240 aaa : try_fallback_méthode
5 février 2018 14:21:30.313267 aaa : handle_req_using_méthode
5 février 2018 14:21:30.313294 aaa : gestionnaire_méthode_locale
5 février 2018 14:21:30.313321 aaa : aaa_local_accounting_msg
5 février 2018 14:21:30.313493 aaa : mettre à jour::utilisateur ajouté:fxosro au rôle:lecture seule
5 février 2018 14:21:30.313520 aaa : La liste av est null. Aucun id vsan
5 février 2018 14:21:30.313670 aaa : aaa_send_client_response pour la comptabilité. session->flags=254. aaa_resp->flags=0.
5 février 2018 14:21:30.313698 aaa : réponse à la demande de comptabilité de l'ancienne bibliothèque sera envoyée comme SUCCESS
5 février 2018 14:21:30.313722 aaa : réponse non nécessaire pour cette demande
5 février 2018 14:21:30.313747 aaa : AAA_REQ_FLAG_LOCAL_RESP
5 février 2018 14:21:30.313770 aaa : aaa_cleanup_session
5 février 2018 14:21:30.313793 aaa : aaa_req doit être libéré.
5 février 2018 14:21:30.313818 aaa : Échec de la méthode de retour local
5 février 2018 14:21:30.313865 aaa : aaa_process_fd_set
5 février 2018 14:21:30.313890 aaa : aaa_process_fd_set : mtscallback sur aaa_q
5 février 2018 14:21:32.339136 aaa : aaa_process_fd_set
5 février 2018 14:21:32.339177 aaa : aaa_process_fd_set : mtscallback sur aaa_q
5 février 2018 14:21:32.339218 aaa : mts_aaa_req_process
5 février 2018 14:21:32.339252 aaa : aaa_req_process pour la comptabilité. session no 0
5 février 2018 14:21:32.339280 aaa : Définition de AAA_REQ_RESPONSE_NOT_NEEDED
5 février 2018 14:21:32.339307 aaa : aaa_req_process : Demande AAA générale de l'application : appln_subtype par défaut : par défaut
5 février 2018 14:21:32.339335 aaa : try_next_aaa_méthode
5 février 2018 14:21:32.339374 aaa : Aucune méthode configurée pour la valeur par défaut
5 février 2018 14:21:32.339401 aaa : aucune configuration disponible pour cette demande
5 février 2018 14:21:32.339429 aaa : try_fallback_méthode
5 février 2018 14:21:32.339456 aaa : handle_req_using_méthode
5 février 2018 14:21:32.339482 aaa : gestionnaire_méthode_locale
5 février 2018 14:21:32.339506 aaa : aaa_local_accounting_msg
5 février 2018 14:21:32.339533 aaa : update::enabled (null)
5 février 2018 14:21:32.339558 aaa : La liste av est null. Aucun id vsan
5 février 2018 14:21:32.339680 aaa : aaa_send_client_response pour la comptabilité. session->flags=211. aaa_resp->flags=0.
5 février 2018 14:21:32.339707 aaa : réponse non nécessaire pour cette demande
5 février 2018 14:21:32.339732 aaa : AAA_REQ_FLAG_LOCAL_RESP
5 février 2018 14:21:32.339756 aaa : aaa_cleanup_session
5 février 2018 14:21:32.339780 aaa : mts_drop de la requête msg
5 février 2018 14:21:32.339821 aaa : Échec de la méthode de retour local
Après une tentative d'authentification échouée, le résultat suivant s'affiche.
5 février 2018 14:16:13.899605 aaa : mts_aaa_req_process
5 février 2018 14:16:13.899625 aaa : aaa_req_process pour l'authentification. session no 0
5 février 2018 14:16:13.899645 aaa : aaa_enable_info_config : GET_REQ pour la demande dirigée par le serveur radius
5 février 2018 14:16:13.899666 aaa : récupération de la valeur de retour de l'opération de configuration:élément de sécurité inconnu
5 février 2018 14:16:13.899685 aaa : aaa_enable_info_config : GET_REQ pour la requête dirigée par le serveur tacacs+
5 février 2018 14:16:13.899712 aaa : récupération de la valeur de retour de l'opération de configuration:élément de sécurité inconnu
5 février 2018 14:16:13.899736 aaa : aaa_req_process : Demande AAA générale de l'application : login appln_subtype : par défaut
5 février 2018 14:16:13.899755 aaa : try_next_aaa_méthode
5 février 2018 14:16:13.899776 aaa : aaa_method_config : Demande GET pour la connexion par défaut d'authentification
5 février 2018 14:16:13.899798 aaa : aaa_method_config : GET, méthodes group radius
5 février 2018 14:16:13.899817 aaa : récupération de la valeur de retour de l'opération de configuration de la méthode aaa:SUCCESS
5 février 2018 14:16:13.899841 aaa : total des méthodes configurées est 1, l'index actuel à essayer est 0
5 février 2018 14:16:13.899862 aaa : handle_req_using_méthode
5 février 2018 14:16:13.909905 aaa : GROUPE_SERVEURS_MÉTHODE_AAA
5 février 2018 14:16:13.909937 aaa : groupe aaa_sg_method_handler = radius
5 février 2018 14:16:13.909967 aaa : Utilisation de sg_protocol passé à cette fonction
5 février 2018 14:16:13.909998 aaa : Envoi de la demande au service RADIUS
5 février 2018 14:16:13.910085 aaa : mts_send_msg_to_prot_daemon : Longueur de la charge utile = 368
5 février 2018 14:16:13.910142 aaa : session : 0x85c1c54 ajouté au tableau de session 1
5 février 2018 14:16:13.910174 aaa : Groupe de méthodes configuré Réussite
5 février 2018 14:16:13.995770 aaa : aaa_process_fd_set
5 février 2018 14:16:13.995809 aaa : aaa_process_fd_set : mtscallback sur aaa_q
5 février 2018 14:16:13.995848 aaa : mts_message_response_handler : réponse mts
5 février 2018 14:16:13.997143 aaa : prot_daemon_reponse_handler
5 février 2018 14:16:13.997171 aaa : session : 0x85c1c54 supprimé de la table de session 0
5 février 2018 14:16:13.997201 aaa : is_aaa_resp_status_success status = 2
5 février 2018 14:16:13.997229 aaa : is_aaa_resp_status_success est TRUE
5 février 2018 14:16:13.997256 aaa : aaa_send_client_response pour l'authentification. session->flags=21. aaa_resp->flags=0.
5 février 2018 14:16:13.997283 aaa : AAA_REQ_FLAG_NORMAL
5 février 2018 14:16:13.997369 aaa : mts_send_response Réussite
5 février 2018 14:16:13.998845 aaa : aaa_cleanup_session
5 février 2018 14:16:13.998875 aaa : mts_drop de la requête msg
5 février 2018 14:16:13.998921 aaa : aaa_req doit être libéré.
5 février 2018 14:16:13.998974 aaa : aaa_process_fd_set
5 février 2018 14:16:13.999003 aaa : aaa_process_fd_set : mtscallback sur aaa_q
5 février 2018 14:16:13.999341 aaa : aaa_enable_info_config : GET_REQ pour un message d'erreur de connexion aaa
5 février 2018 14:16:13.999378 aaa : récupération de la valeur de retour de l'opération de configuration:élément de sécurité inconnu
Informations connexes
La commande Ethanalyzer sur l'interface cli FX-OS demande un mot de passe lorsque l'authentification TACACS/RADIUS est activée. Ce comportement est causé par un bogue.
ID de bogue : CSCvg87518
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)