O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve como configurar a autenticação e a autorização TACACS+ para o chassi do Firepower eXtensible Operating System (FXOS) através do Access Control Server (ACS).
O chassi FXOS inclui as seguintes funções de usuário:
Através da CLI, isso pode ser visto da seguinte maneira:
fpr4120-TAC-A /security* # show role
Função:
Nome da função Priv
—
aaa aaa
admin admin
operações operacionais
somente leitura
Contribuído por Tony Remirez, José Soto, engenheiros do TAC da Cisco.
A Cisco recomenda que você tenha conhecimento destes tópicos:
As informações neste documento são baseadas nestas versões de software e hardware:
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
O objetivo da configuração é:
Criando um provedor TACACS usando o chassi Manager
Etapa 1. Navegue até Configurações da plataforma > AAA.
Etapa 2. Clique na guia TACACS.
Etapa 3. Para cada provedor TACACS+ que você deseja adicionar (até 16 provedores).
3.1. Na área TACACS Providers (Provedores de TACACS), clique em Add (Adicionar).
3.2. Na caixa de diálogo Adicionar provedor TACACS, insira os valores necessários.
3.3. Clique em OK para fechar a caixa de diálogo Adicionar Provedor TACACS.
Etapa 4. Click Save.
Etapa 5. Navegue até System > User Management > Settings.
Etapa 6. Em Autenticação padrão, escolha TACACS.
Criando um provedor TACACS+ usando CLI
Etapa 1. Para habilitar a autenticação TACACS, execute os seguintes comandos.
segurança de escopo fpr4120-TAC-A#
fpr4120-TAC-A /security # scope default-auth
fpr4120-TAC-A /security/default-auth # set realm tacacs
Etapa 2. Use o comando show detail para exibir os resultados.
fpr4120-TAC-A /security/default-auth # show detail
Autenticação padrão:
Domínio administrativo: TACACS
Domínio operacional: TACACS
Período de atualização da sessão da Web (em segundos): 600
Tempo limite da sessão (em segundos) para sessões web, ssh, telnet: 600
Tempo limite da sessão absoluta (em segundos) para sessões web, ssh, telnet: 3600
Tempo limite da sessão do console serial (em segundos): 600
Tempo limite da sessão absoluta do console serial (em segundos): 3600
Grupo de servidores de Autenticação do Administrador:
Grupo de servidores de Autenticação Operacional:
Uso do segundo fator: No
Etapa 3. Para configurar os parâmetros do servidor TACACS, execute os seguintes comandos.
segurança de escopo fpr4120-TAC-A#
fpr4120-TAC-A /segurança # táticas de escopo
fpr4120-TAC-A /security/tacacs # entre no servidor 10.88.244.50
fpr4120-TAC-A /security/tacacs/server # set descr "Servidor ACS"
fpr4120-TAC-A /security/tacacs/server* # set key
Digite a chave: ******
Confirme a chave: ******
Etapa 4. Use o comando show detail para exibir os resultados.
fpr4120-TAC-A /security/tacacs/server* # show detail
Servidor TACACS+:
Nome do host, FQDN ou endereço IP: 10.88.244.50
Descr:
Pedido: 1
Porta: 49
Chave: ****
tempo limite: 5
Adicionando o FXOS como um recurso de rede
Etapa 1. Navegue até Network Resources > Network Devices and AAA Clients.
Etapa 2. Clique em Criar.
Etapa 3. Insira os valores necessários (Nome, Endereço IP, Tipo de dispositivo e Habilitar TACACS+ e adicione a CHAVE).
Etapa 4. Clique em Submit.
Criando grupos de identidade e usuários
Etapa 1. Navegue até Usuários e Repositórios de identidades > Grupos de identidades.
Etapa 2. Clique em Criar.
Etapa 3. Insira o valor para Nome e clique em Enviar.
Etapa 4. Repita as etapas 2 e 3 para todas as funções de usuário necessárias.
Etapa 5. Navegue até Usuários e lojas de identidade > Lojas de identidade internas > Usuários.
Etapa 6. Clique em Criar.
Passo 7. Insira os valores necessários (Nome, Grupo de Identidades, Senha).
Etapa 8. Repita as etapas 6 e 7 para todos os usuários necessários.
Criando o perfil de shell para cada função de usuário
Etapa 1. Navegue até Policy Elements > Authorization and Permissions > Device Administration > Shell Profiles > Click Create.
Etapa 2. Preencha todos os atributos do perfil de autorização.
2.1. Configure o Nome do perfil na guia Geral.
2.2. Na guia Custom Attributes (Atributos personalizados), configure o seguinte CISCO-AV-PAIR
cisco-av-pair=shell:funções="aaa"
2.3. Clique em ADD /\ e em Submit.
Etapa 3. Repita as etapas 1 e 2 para as funções de usuário restantes usando os seguintes pares Cisco-AV
cisco-av-pair=shell:funções="admin"
cisco-av-pair=shell:funções="operações"
cisco-av-pair=shell:funções="somente leitura"
Criando a política de acesso do administrador de dispositivos
Etapa 1. Navegue até Access Policies > Access Services > Default Device Admin > Authorization > Clique em Create.
Etapa 2. Preencha os parâmetros necessários (Grupo de Identidades, Tipo de Dispositivo e Perfil do Shell) e clique em OK.
Etapa 3. Repita as etapas 1 e 2 para todas as funções de usuário.
Etapa 4. Clique em Save Changes (Salvar alterações) na parte inferior da página.
Agora você pode testar cada usuário e verificar se a função de usuário correta foi atribuída a ele.
Nome de usuário: fxosadmin
Senha:
fpr4120-TAC-A# segurança de escopo
fpr4120-TAC-A /security # show remote-user detail
Arquivo de usuário remoto:
Descrição:
Funções de usuário:
Nome: aaa
Nome: somente leitura
Usuário remoto fxosadmin:
Descrição:
Funções de usuário:
Nome: admin
Nome: somente leitura
Usuário remoto operacional:
Descrição:
Funções de usuário:
Nome: operações
Nome: somente leitura
Fxosor do usuário remoto:
Descrição:
Funções de usuário:
Nome: somente leitura
Dependendo do nome de usuário inserido, a cli do chassi do FXOS exibirá apenas os comandos autorizados para a função de usuário atribuída.
Usuário Admin
fpr4120-TAC-A /security # ?
Reconhecer
clear-user-sessions Clear User Sessions
criar objetos gerenciados
excluir excluir objetos gerenciados
desabilitar desabilita serviços
enable Habilita serviços
inserir um objeto gerenciado
escopo Altera o modo atual
definir valores de propriedade
show system information
terminar sessões cimc ativas
fpr4120-TAC-A# connect fxos
fpr4120-TAC-A (fxos)# debug aaa-requests
fpr4120-TAC-A (fxos)#
Usuário somente leitura
fpr4120-TAC-A /security # ?
escopo Altera o modo atual
definir valores de propriedade
show system information
fpr4120-TAC-A# connect fxos
fpr4120-TAC-A (fxos)# debug aaa-requests
% Permissão negada para a função
Função de Usuário Admin.
Usuário somente leitura:
Note: Observe que o botão ADD está acinzentado.
Para depurar a autenticação e a autorização AAA, execute os seguintes comandos na cli do FXOS.
fpr4120-TAC-A# connect fxos
fpr4120-TAC-A (fxos)# debug aaa-requests
fpr4120-TAC-A (fxos)# debug aaa event
fpr4120-TAC-A (fxos)#debug aaa errors
fpr4120-TAC-A (fxos)#term mon
Após uma tentativa de autenticação bem-sucedida, você verá a seguinte saída.
2018 fev 5 14:31:29.192410 aaa: aaa_req_process para autenticação. session no 0
2018 Fev 5 14:31:29.192439 aaa: aaa_req_process: Solicitação geral de AAA do appln: login appln_subtype: padrão
2018 Fev 5 14:31:29.192462 aaa: try_next_aaa_method
2018 Fev 5 14:31:29.192488 aaa: total de métodos configurados é 1, índice atual a ser tentado é 0
2018 Fev 5 14:31:29.192509 aaa: fp_req_using_method
2018 Fev 5 14:31:29.192527 aaa: AAA_METOD_SERVER_GROUP
2018 fev 5 14:31:29.192552 aaa: aaa_sg_method_handler group = tacacs
2018 Fev 5 14:31:29.192572 aaa: Usando sg_protocol que é passado para esta função
2018 fev 5 14:31:29.192592 aaa: Enviando solicitação para o serviço TACACS
2018 Fev 5 14:31:29.192654 aaa: mts_send_msg_to_prot_daemon: Comprimento da carga útil = 374
2018 Fev 5 14:31:29.192694 aaa: sessão: 0x856b4cc adicionado à tabela de sessões 1
2018 Fev 5 14:31:29.192717 aaa: Grupo de métodos configurado com êxito
2018 Fev 5 14:31:29.366388 aaa: aaa_process_fd_set
2018 Fev 5 14:31:29.366423 aaa: aaa_process_fd_set: mtscallback em aaa_q
2018 Fev 5 14:31:29.366467 aaa: mts_message_response_handler: uma resposta mts
2018 Fev 5 14:31:29.366496 aaa: prot_daemon_reponse_handler
2018 Fev 5 14:31:29.366524 aaa: sessão: 0x856b4cc removido da tabela de sessão 0
2018 Fev 5 14:31:29.366554 aaa: is_aaa_resp_status_successful status = 1
2018 Fev 5 14:31:29.366581 aaa: is_aaa_resp_status_successful é TRUE
2018 fev 5 14:31:29.366608 aaa: aaa_send_client_response para autenticação. session->flags=21. aaa_resp->flags=0.
2018 Fev 5 14:31:29.366642 aaa: AAA_REQ_FLAG_NORMAL
2018 Fev 5 14:31:29.367462 aaa: aaa_req_process para autorização. session no 0
2018 Fev 5 14:31:29.367496 aaa: aaa_req_process chamado com o contexto do appln: login appln_subtype: default authen_type:2, authen_method: 0
2018 Fev 5 14:31:29.367525 aaa: aaa_send_req_using_context
2018 Fev 5 14:31:29.367552 aaa: aaa_sg_method_handler group = (nulo)
2018 Fev 5 14:31:29.367579 aaa: Usando sg_protocol que é passado para esta função
2018 Fev 5 14:31:29.367607 aaa: solicitação AAA baseada em contexto ou direcionada(exceção: não uma solicitação de retransmissão). Não receberá cópia da solicitação aaa
2018 Fev 5 14:31:29.367634 aaa: Enviando solicitação para o serviço TACACS
2018 Fev 5 14:31:29.369679 aaa: mts_send_msg_to_prot_daemon: Comprimento da carga útil = 660
2018 Fev 5 14:31:29.369739 aaa: sessão: 0x856b4cc adicionado à tabela de sessões 1
2018 Fev 5 14:31:29.539392 aaa: aaa_process_fd_set
2018 fev 5 14:31:29.539420 aaa: aaa_process_fd_set: mtscallback em aaa_q
2018 Fev 5 14:31:29.539449 aaa: mts_message_response_handler: uma resposta mts
2018 Fev 5 14:31:29.539470 aaa: prot_daemon_reponse_handler
2018 Fev 5 14:31:29.539496 aaa: sessão: 0x856b4cc removido da tabela de sessão 0
2018 Fev 5 14:31:29.539525 aaa: is_aaa_resp_status_successful status = 2
2018 fev 5 14:31:29.539550 aaa: is_aaa_resp_status_successful é TRUE
2018 Fev 5 14:31:29.539578 aaa: aaa_send_client_response para autorização. session->flags=9. aaa_resp->flags=0.
2018 Fev 5 14:31:29.539606 aaa: AAA_REQ_FLAG_NORMAL
2018 Fev 5 14:31:29.539683 aaa: mts_send_response Bem-sucedido
2018 Fev 5 14:31:29.539723 aaa: aaa_cleanup_session
2018 Fev 5 14:31:29.602013 aaa: CÓDIGO ANTIGO: accounting_mid_update
2018 Fev 5 14:31:29.602041 aaa: aaa_create_local_acct_req: user=, session_id=, log=add user fxosro
2018 Fev 5 14:31:29.602076 aaa: aaa_req_process para contabilidade. session no 0
2018 fev 5 14:31:29.602109 aaa: A referência de solicitação MTS é NULL. solicitação LOCAL
2018 Fev 5 14:31:29.602135 aaa: Definindo AAA_REQ_RESPONSE_NOT_NEEDED
2018 fev 5 14:31:29.602162 aaa: aaa_req_process: Solicitação geral de AAA do appln: appln_subtype padrão: padrão
2018 fev 5 14:31:29.602190 aaa: try_next_aaa_method
2018 fev 5 14:31:29.602228 aaa: nenhum método configurado para o padrão
2018 Fev 5 14:31:29.602249 aaa: nenhuma configuração disponível para esta solicitação
2018 fev 5 14:31:29.602357 aaa: aaa_local_accounting_msg
2018 Fev 5 14:31:29.602386 aaa: atualização::usuário adicionado fxosro
2018 Fev 5 14:31:29.602414 aaa: a lista av é nula. Sem ID de vsan
2018 Fev 5 14:31:29.602541 aaa: aaa_send_client_response para contabilidade. session->flags=254. aaa_resp->flags=0.
2018 Fev 5 14:31:29.602569 aaa: resposta para solicitação de contabilização de biblioteca antiga será enviada como SUCESSO
2018 Fev 5 14:31:29.602594 aaa: resposta não necessária para esta solicitação
2018 Fev 5 14:31:29.602619 aaa: AAA_REQ_FLAG_LOCAL_RESP
2018 Fev 5 14:31:29.602643 aaa: aaa_cleanup_session
2018 Fev 5 14:31:29.602671 aaa: aaa_req deve ser liberada.
2018 Fev 5 14:31:29.602698 aaa: Método de retorno local bem-sucedido
2018 Fev 5 14:31:29.603544 aaa: aaa_process_fd_set
2018 Fev 5 14:31:29.603565 aaa: aaa_process_fd_set: mtscallback em aaa_accounting_q
2018 fev 5 14:31:29.603588 aaa: CÓDIGO ANTIGO: accounting_mid_update
2018 Fev 5 14:31:29.603613 aaa: aaa_create_local_acct_req: user=, session_id=, log=add user:fxosro para a função:read-only
2018 Fev 5 14:31:29.603643 aaa: aaa_req_process para contabilidade. session no 0
2018 Fev 5 14:31:29.603669 aaa: A referência de solicitação MTS é NULL. solicitação LOCAL
2018 Fev 5 14:31:29.603695 aaa: Definindo AAA_REQ_RESPONSE_NOT_NEEDED
2018 Fev 5 14:31:29.603721 aaa: aaa_req_process: Solicitação geral de AAA do appln: appln_subtype padrão: padrão
2018 Fev 5 14:31:29.603747 aaa: try_next_aaa_method
2018 Fev 5 14:31:29.603779 aaa: nenhum método configurado para o padrão
2018 fev 5 14:31:29.603807 aaa: nenhuma configuração disponível para esta solicitação
2018 Fev 5 14:31:29.603834 aaa: try_fallback_method
2018 Fev 5 14:31:29.603856 aaa: fp_req_using_method
2018 Fev 5 14:31:29.603874 aaa: local_method_handler
2018 Fev 5 14:31:29.603891 aaa: aaa_local_accounting_msg
2018 Fev 5 14:31:29.603911 aaa: atualização:::usuário adicionado:fxosro para a função:somente leitura
2018 Fev 5 14:31:29.603934 aaa: a lista av é nula. Sem ID de vsan
2018 fev 5 14:31:29.604040 aaa: aaa_send_client_response para contabilidade. session->flags=254. aaa_resp->flags=0.
2018 fev 5 14:31:29.604058 aaa: resposta para solicitação de contabilização de biblioteca antiga será enviada como SUCESSO
2018 Fev 5 14:31:29.604074 aaa: resposta não necessária para esta solicitação
2018 Fev 5 14:31:29.604089 aaa: AAA_REQ_FLAG_LOCAL_RESP
2018 fev 5 14:31:29.604104 aaa: aaa_cleanup_session
2018 fev 5 14:31:29.604119 aaa: aaa_req deve ser liberada.
2018 Fev 5 14:31:29.604135 aaa: Método de retorno local bem-sucedido
2018 fev 5 14:31:31.084252 aaa: aaa_req_process para contabilidade. session no 0
2018 fev 5 14:31:31.084280 aaa: Definindo AAA_REQ_RESPONSE_NOT_NEEDED
2018 Fev 5 14:31:31.084309 aaa: aaa_req_process: Solicitação geral de AAA do appln: appln_subtype padrão: padrão
2018 Fev 5 14:31:31.084336 aaa: try_next_aaa_method
2018 Fev 5 14:31:31.084375 aaa: nenhum método configurado para o padrão
2018 Fev 5 14:31:31.084403 aaa: nenhuma configuração disponível para esta solicitação
2018 fev 5 14:31:31.084430 aaa: try_fallback_method
2018 fev 5 14:31:31.084457 aaa: fp_req_using_method
2018 Fev 5 14:31:31.084484 aaa: local_method_handler
2018 Fev 5 14:31:31.084511 aaa: aaa_local_accounting_msg
2018 fev 5 14:31:31.084540 aaa: atualização:::habilitado (nulo)
2018 fev 5 14:31:31.084568 aaa: a lista av é nula. Sem ID de vsan
2018 Fev 5 14:31:31.084693 aaa: aaa_send_client_response para contabilidade. session->flags=211. aaa_resp->flags=0.
2018 Fev 5 14:31:31.084721 aaa: resposta não necessária para esta solicitação
2018 Fev 5 14:31:31.084746 aaa: AAA_REQ_FLAG_LOCAL_RESP
2018 Fev 5 14:31:31.084769 aaa: aaa_cleanup_session
2018 Fev 5 14:31:31.084792 aaa: mts_drop de msg de solicitação
2018 Fev 5 14:31:31.084833 aaa: Método de retorno local bem-sucedido
2018 Fev 5 14:31:31.384309 aaa: mts_aaa_req_process
2018 fev 5 14:31:31.384340 aaa: aaa_req_process para contabilidade. session no 0
2018 Fev 5 14:31:31.384368 aaa: Definindo AAA_REQ_RESPONSE_NOT_NEEDED
2018 Fev 5 14:31:31.384395 aaa: aaa_req_process: Solicitação geral de AAA do appln: appln_subtype padrão: padrão
2018 Fev 5 14:31:31.384423 aaa: try_next_aaa_method
2018 Fev 5 14:31:31.384462 aaa: nenhum método configurado para o padrão
2018 fev 5 14:31:31.384490 aaa: nenhuma configuração disponível para esta solicitação
2018 Fev 5 14:31:31.384517 aaa: try_fallback_method
2018 Fev 5 14:31:31.384545 aaa: fp_req_using_method
2018 fev 5 14:31:31.384570 aaa: local_method_handler
2018 Fev 5 14:31:31.384595 aaa: aaa_local_accounting_msg
2018 fev 5 14:31:31.384620 aaa: atualização:::habilitado (nulo)
2018 Fev 5 14:31:31.384645 aaa: a lista av é nula. Sem ID de vsan
2018 Fev 5 14:31:31.384769 aaa: aaa_send_client_response para contabilidade. session->flags=211. aaa_resp->flags=0.
2018 Fev 5 14:31:31.384796 aaa: resposta não necessária para esta solicitação
2018 fev 5 14:31:31.384820 aaa: AAA_REQ_FLAG_LOCAL_RESP
2018 Fev 5 14:31:31.384846 aaa: aaa_cleanup_session
2018 Fev 5 14:31:31.384869 aaa: mts_drop de msg de solicitação
2018 Fev 5 14:31:31.384911 aaa: Método de retorno local bem-sucedido
Após uma tentativa de autenticação com falha, você verá a seguinte saída.
2018 Fev 5 14:29:18.702123 aaa: mts_aaa_req_process
2018 Fev 5 14:29:18.702144 aaa: aaa_req_process para autenticação. session no 0
2018 Fev 5 14:29:18.702169 aaa: aaa_req_process: Solicitação geral de AAA do appln: login appln_subtype: padrão
2018 fev 5 14:29:18.702188 aaa: try_next_aaa_method
2018 fev 5 14:29:18.702212 aaa: total de métodos configurados é 1, índice atual a ser tentado é 0
2018 Fev 5 14:29:18.702232 aaa: fp_req_using_method
2018 Fev 5 14:29:18.702251 aaa: AAA_METOD_SERVER_GROUP
2018 Fev 5 14:29:18.702276 aaa: aaa_sg_method_handler group = tacacs
2018 Fev 5 14:29:18.702295 aaa: Usando sg_protocol que é passado para esta função
2018 Fev 5 14:29:18.702315 aaa: Enviando solicitação para o serviço TACACS
2018 Fev 5 14:29:18.702378 aaa: mts_send_msg_to_prot_daemon: Comprimento da carga útil = 372
2018 Fev 5 14:29:18.702427 aaa: sessão: 0x856b4cc adicionado à tabela de sessões 1
2018 Fev 5 14:29:18.702459 aaa: Grupo de métodos configurado com êxito
2018 Fev 5 14:29:18.876839 aaa: aaa_process_fd_set
2018 Fev 5 14:29:18.876870 aaa: aaa_process_fd_set: mtscallback em aaa_q
2018 Fev 5 14:29:18.876908 aaa: mts_message_response_handler: uma resposta mts
2018 Fev 5 14:29:18.876938 aaa: prot_daemon_reponse_handler
2018 Fev 5 14:29:18.876966 aaa: sessão: 0x856b4cc removido da tabela de sessão 0
2018 Fev 5 14:29:18.877003 aaa: is_aaa_resp_status_successful status = 2
2018 Fev 5 14:29:18.877030 aaa: is_aaa_resp_status_successful é TRUE
2018 Fev 5 14:29:18.877058 aaa: aaa_send_client_response para autenticação. session->flags=21. aaa_resp->flags=0.
2018 Fev 5 14:29:18.877086 aaa: AAA_REQ_FLAG_NORMAL
2018 Fev 5 14:29:18.877171 aaa: mts_send_response Bem-sucedido
2018 Fev 5 14:29:18.877224 aaa: aaa_cleanup_session
2018 Fev 5 14:29:18.877253 aaa: mts_drop de msg de solicitação
2018 Fev 5 14:29:18.877299 aaa: aaa_req deve ser liberada.
2018 Fev 5 14:29:18.877364 aaa: aaa_process_fd_set
2018 Fev 5 14:29:18.877391 aaa: aaa_process_fd_set: mtscallback em aaa_q
2018 Fev 5 14:29:18.877410 aaa: aaa_enable_info_config: GET_REQ para uma mensagem de erro de login
2018 Fev 5 14:29:18.877415 aaa: recuperou o valor de retorno da operação de configuração:item de segurança desconhecido
O comando Ethanalyzer na cli FX-OS solicitará uma senha quando a autenticação TACACS/RADIUS estiver habilitada. Esse comportamento é causado por um bug.
ID do bug: CSCvg87518