Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment configurer l'authentification et l'autorisation de RADIUS pour le châssis du système d'exploitation extensible de FirePOWER (FXOS) par l'intermédiaire du Cisco Identity Services Engine (ISE).
Le châssis FXOS inclut les rôles de l'utilisateur suivants :
Par l'intermédiaire du CLI ceci peut être vu comme suit :
fpr4120-TAC-A /security * # show role
Rôle :
Role name Priv
---------- ----
AAA d'AAA
admin d'admin
exécutions d'exécutions
en lecture seule en lecture seule
Contribué par Remirez élégant, Jose Soto, ingénieurs TAC Cisco.
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.
Le but de la configuration est à :
Création d'un fournisseur de RADIUS utilisant le gestionnaire de châssis
Étape 1. Naviguez vers des configurations > l'AAA de plate-forme.
Étape 2. Cliquez sur l'onglet de RADIUS.
Étape 3. Pour chaque fournisseur de RADIUS que vous voulez ajouter (jusqu'à 16 fournisseurs).
3.1. Dans la région de fournisseurs de RADIUS, cliquez sur Add.
3.2. Une fois la boîte de dialogue de fournisseur de RADIUS d'ajouter ouvre, écrit les valeurs exigées.
3.3. Cliquez sur OK pour fermer la boîte de dialogue de fournisseur de RADIUS d'ajouter.
Étape 4. Sauvegarde de clic.
Étape 5. Naviguez vers le système > la gestion des utilisateurs > les configurations.
Étape 6. Sous l'authentification par défaut choisissez RADIUS.
Création d'un fournisseur de RADIUS utilisant le CLI
Étape 1. Afin d'activer l'authentification de RADIUS, exécutez les commandes suivantes.
Sécurité de portée fpr4120-TAC-A#
fpr4120-TAC-A /security # par défaut-auth de portée
fpr4120-TAC-A /security/default-auth # a placé le rayon de royaume
Étape 2. Utilisez la commande de détail d'exposition d'afficher les résultats.
fpr4120-TAC-A /security/default-auth # détail d'exposition
Authentification par défaut :
Royaume d'admin : Radius
Royaume opérationnel : Radius
La session Web régénèrent la période (en quelques sec) : 600
Délai d'attente de session (en quelques sec) pour le Web, ssh, sessions de telnet : 600
Délai d'attente de session absolu (en quelques sec) pour le Web, ssh, sessions de telnet : 3600
Délai d'attente de session de console série (en quelques sec) : 600
Délai d'attente de session absolu de console série (en quelques sec) : 3600
Groupe de serveurs d'authentification d'admin :
Groupe de serveurs opérationnel d'authentification :
Utilisation de 2ème facteur : Non
Étape 3. Afin de configurer des paramètres de serveur de RADIUS exécutez les commandes suivantes.
Sécurité de portée fpr4120-TAC-A#
fpr4120-TAC-A /security # rayon de portée
fpr4120-TAC-A /security/radius # présentent le serveur 10.88.244.50
fpr4120-TAC-A /security/radius/server # a placé le descr « serveur ISE »
fpr4120-TAC-A /security/radius/server * # placez la clé
Introduisez la clé : ******
Confirmez la clé : ******
Étape 4. Utilisez la commande de détail d'exposition d'afficher les résultats.
fpr4120-TAC-A /security/radius/server * # détail d'exposition
Serveur de RADIUS :
Adresse Internet, FQDN ou adresse IP : 10.88.244.50
Descr :
Commande : 1
Port authentique : 1812
Clé : ****
Délai d'attente : 5
Ajouter le FXOS comme ressource de réseau
Étape 1. Naviguez vers la gestion > les ressources de réseau > les périphériques de réseau.
Étape 2. Cliquez sur Add
Étape 3. Écrivez les valeurs requises (le nom, l'adresse IP, le type de périphérique et l'enable RADIUS et ajoutent la CLÉ), cliquez sur Submit.
Création des groupes et des utilisateurs d'identité
Étape 1. Naviguez vers la gestion > la Gestion de l'identité > les groupes > les groupes d'identité de l'utilisateur.
Étape 2. Cliquez sur Add.
Étape 3. Écrivez la valeur pour le nom et cliquez sur Submit.
Étape 4. Répétez l'étape 3 pour tous les rôles de l'utilisateur requis.
Étape 5. Naviguez vers la gestion > la Gestion de l'identité > l'identité > les utilisateurs.
Étape 6. Cliquez sur Add.
Étape 7. Écrivez les valeurs requises (nom, groupe d'utilisateurs, mot de passe).
Étape 8. Répétez l'étape 6 pour tous les utilisateurs requis.
Création du profil d'autorisation pour chaque rôle de l'utilisateur
Étape 1. Naviguez vers la stratégie > les éléments de stratégie > les résultats > l'autorisation > les profils d'autorisation.
Étape 2. Remplissez tous les attributs pour le profil d'autorisation.
2.1. Configurez le nom de profil.
2.2. Dans des attributs avancés les configurations configurent le CISCO-AV-PAIR suivant
cisco-av-pair=shell : roles= " admin »
2.3. Cliquez sur Save.
Étape 3. Répétez l'étape 2 pour les rôles de l'utilisateur restants utilisant les Cisco-POIDs du commerce-paires suivantes
cisco-av-pair=shell : roles= " AAA »
cisco-av-pair=shell : roles= " exécutions »
cisco-av-pair=shell : roles= " en lecture seule »
Création de la stratégie d'authentification
Étape 1. Naviguez vers la stratégie > l'authentification > et cliquez sur la flèche à côté de éditent où vous voulez créer la règle.
Étape 2. L'installation est simple ; il peut être plus granulaire fait mais pour cet exemple nous utiliserons le type de périphérique :
Nom : RÈGLE D'AUTHENTIFICATION FXOS
SI nouveaux attribut/valeur choisis : Périphérique : Le type de périphérique égale tous les types de périphériques #FXOS
Permettez les protocoles : Accès au réseau par défaut
Utilisation : Utilisateurs internes
Création de la stratégie d'autorisation
Étape 1. Naviguez vers la stratégie > l'autorisation > et cliquez sur le net de flèche pour éditer où vous voulez créer la règle.
Étape 2. Écrivez les valeurs pour la règle d'autorisation avec les paramètres requis.
2.1. Nom de règle : Règle de Fxos <USER ROLE>.
2.2. Si : Groupes d'identité de l'utilisateur > <USER choisi ROLE>.
2.3. ET : Créez le nouveaux état > périphérique : Le type de périphérique égale tous les types de périphériques #FXOS.
2.4. Autorisations : La norme > choisissent le rôle de l'utilisateur de profil
Étape 3. Répétez l'étape 2 pour tous les rôles de l'utilisateur.
Étape 4. Sauvegarde de clic au bas de page.
Vous pouvez maintenant examiner chaque utilisateur et vérifier le rôle de l'utilisateur assigné.
Nom d'utilisateur : fxosadmin
Mot de passe :
Sécurité de portée fpr4120-TAC-A#
fpr4120-TAC-A /security # petit groupe d'utilisateur distant d'exposition
Fxosaaa d'utilisateur distant :
Description :
Rôles de l'utilisateur :
Nom : AAA
Nom : en lecture seule
Fxosadmin d'utilisateur distant :
Description :
Rôles de l'utilisateur :
Nom : admin
Nom : en lecture seule
Fxosoper d'utilisateur distant :
Description :
Rôles de l'utilisateur :
Nom : exécutions
Nom : en lecture seule
Fxosro d'utilisateur distant :
Description :
Rôles de l'utilisateur :
Nom : en lecture seule
Selon le nom d'utilisateur écrit le châssis FXOS le cli affichera seulement les commandes autorisées pour le rôle de l'utilisateur assigné.
Rôle de l'utilisateur d'admin.
fpr4120-TAC-A /security # ?
reconnaissez reconnaissent
sessions de clear user de clair-utilisateur-sessions
créez les objets gérés Create
objets gérés par effacement d'effacement
le débronchement désactive des services
l'enable active des services
entrez écrit un objet géré
la portée change le mode courant
placez les valeurs d'une propriété réglées
affichez les informations de show system
terminez les sessions de l'Active cimc
fpr4120-TAC-A# connectent des fxos
fpr4120-TAC-A (fxos) # AAA-demandes de debug aaa
fpr4120-TAC-A (fxos) #
Rôle de l'utilisateur en lecture seule.
fpr4120-TAC-A /security # ?
la portée change le mode courant
placez les valeurs d'une propriété réglées
affichez les informations de show system
fpr4120-TAC-A# connectent des fxos
fpr4120-TAC-A (fxos) # AAA-demandes de debug aaa
% d'autorisation refusée pour le rôle
Rôle de l'utilisateur d'admin.
Rôle de l'utilisateur en lecture seule.
Note: Notez que le bouton d'AJOUTER est greyed.
Le debug aaa authentication et l'autorisation exécutent les commandes suivantes dans le FXOS cli.
fpr4120-TAC-A# connectent des fxos
fpr4120-TAC-A (fxos) # AAA-demandes de debug aaa
fpr4120-TAC-A (fxos) # événement de debug aaa
fpr4120-TAC-A (fxos) # erreurs de debug aaa
fpr4120-TAC-A (fxos) # terme lundi
Après qu'une tentative réussie d'authentification, vous voie la sortie suivante.
2018 AAAs du 20 janvier 17:18:02.410275 : aaa_req_process pour l'authentification. session No. 0
2018 AAAs du 20 janvier 17:18:02.410297 : aaa_req_process : Demande de général AAA d'appln : appln_subtype de procédure de connexion : par défaut
2018 AAAs du 20 janvier 17:18:02.410310 : try_next_aaa_method
2018 AAAs du 20 janvier 17:18:02.410330 : les méthodes totales configurées est 1, index en cours à essayer est 0
2018 AAAs du 20 janvier 17:18:02.410344 : handle_req_using_method
2018 AAAs du 20 janvier 17:18:02.410356 : AAA_METHOD_SERVER_GROUP
2018 AAAs du 20 janvier 17:18:02.410367 : groupe = rayon d'aaa_sg_method_handler
2018 AAAs du 20 janvier 17:18:02.410379 : Utilisant le sg_protocol qui est passé à cette fonction
2018 AAAs du 20 janvier 17:18:02.410393 : Envoi de la demande au service RADIUS
2018 AAAs du 20 janvier 17:18:02.412944 : mts_send_msg_to_prot_daemon : Longueur de charge utile = 374
2018 AAAs du 20 janvier 17:18:02.412973 : session : 0x8dfd68c ajouté au tableau 1 de session
2018 AAAs du 20 janvier 17:18:02.412987 : Groupe configuré de méthode réussi
2018 AAAs du 20 janvier 17:18:02.656425 : aaa_process_fd_set
2018 AAAs du 20 janvier 17:18:02.656447 : aaa_process_fd_set : mtscallback sur l'aaa_q
2018 AAAs du 20 janvier 17:18:02.656470 : mts_message_response_handler : une réponse de mts
2018 AAAs du 20 janvier 17:18:02.656483 : prot_daemon_reponse_handler
2018 AAAs du 20 janvier 17:18:02.656497 : session : 0x8dfd68c retiré du tableau 0 de session
2018 AAAs du 20 janvier 17:18:02.656512 : état d'is_aaa_resp_status_success = 1
2018 AAAs du 20 janvier 17:18:02.656525 : les is_aaa_resp_status_success est VRAI
2018 AAAs du 20 janvier 17:18:02.656538 : aaa_send_client_response pour l'authentification. session->flags=21. aaa_resp->flags=0.
2018 AAAs du 20 janvier 17:18:02.656550 : AAA_REQ_FLAG_NORMAL
2018 AAAs du 20 janvier 17:18:02.656577 : mts_send_response réussi
2018 AAAs du 20 janvier 17:18:02.700520 : aaa_process_fd_set : mtscallback sur l'aaa_accounting_q
2018 AAAs du 20 janvier 17:18:02.700688 : VIEIL OPCODE : accounting_interim_update
2018 AAAs du 20 janvier 17:18:02.700702 : aaa_create_local_acct_req : user=, session_id=, fxosro log=added d'utilisateur
2018 AAAs du 20 janvier 17:18:02.700725 : aaa_req_process pour la comptabilité. session No. 0
2018 AAAs du 20 janvier 17:18:02.700738 : La référence de demande MTS est NULLE. Demande LOCALE
2018 AAAs du 20 janvier 17:18:02.700749 : Établissement d'AAA_REQ_RESPONSE_NOT_NEEDED
2018 AAAs du 20 janvier 17:18:02.700762 : aaa_req_process : Demande de général AAA d'appln : appln_subtype par défaut : par défaut
2018 AAAs du 20 janvier 17:18:02.700774 : try_next_aaa_method
2018 AAAs du 20 janvier 17:18:02.700798 : aucune méthodes configurées pour le par défaut de par défaut
2018 AAAs du 20 janvier 17:18:02.700810 : aucune configuration disponible pour ceci demande
2018 AAAs du 20 janvier 17:18:02.700997 : aaa_send_client_response pour la comptabilité. session->flags=254. aaa_resp->flags=0.
2018 AAAs du 20 janvier 17:18:02.701010 : la réponse pour la demande de comptabilité de la vieille bibliothèque sera envoyée comme SUCCÈS
2018 AAAs du 20 janvier 17:18:02.701021 : réponse non requise pour cette demande
2018 AAAs du 20 janvier 17:18:02.701033 : AAA_REQ_FLAG_LOCAL_RESP
2018 AAAs du 20 janvier 17:18:02.701044 : aaa_cleanup_session
2018 AAAs du 20 janvier 17:18:02.701055 : l'aaa_req devrait être libéré.
2018 AAAs du 20 janvier 17:18:02.701067 : Tombent de retour les gens du pays de méthode réussis
2018 AAAs du 20 janvier 17:18:02.706922 : aaa_process_fd_set
2018 AAAs du 20 janvier 17:18:02.706937 : aaa_process_fd_set : mtscallback sur l'aaa_accounting_q
2018 AAAs du 20 janvier 17:18:02.706959 : VIEIL OPCODE : accounting_interim_update
2018 AAAs du 20 janvier 17:18:02.706972 : aaa_create_local_acct_req : user=, session_id=, utilisateur log=added : fxosro au rôle : en lecture seule
Après qu'une tentative d'authentification défaillante, vous voie la sortie suivante.
2018 AAAs du 20 janvier 17:15:18.102130 : aaa_process_fd_set
2018 AAAs du 20 janvier 17:15:18.102149 : aaa_process_fd_set : mtscallback sur l'aaa_q
2018 AAAs du 20 janvier 17:15:18.102267 : aaa_process_fd_set
2018 AAAs du 20 janvier 17:15:18.102281 : aaa_process_fd_set : mtscallback sur l'aaa_q
2018 AAAs du 20 janvier 17:15:18.102363 : aaa_process_fd_set
2018 AAAs du 20 janvier 17:15:18.102377 : aaa_process_fd_set : mtscallback sur l'aaa_q
2018 AAAs du 20 janvier 17:15:18.102456 : aaa_process_fd_set
2018 AAAs du 20 janvier 17:15:18.102468 : aaa_process_fd_set : mtscallback sur l'aaa_q
2018 AAAs du 20 janvier 17:15:18.102489 : mts_aaa_req_process
2018 AAAs du 20 janvier 17:15:18.102503 : aaa_req_process pour l'authentification. session No. 0
2018 AAAs du 20 janvier 17:15:18.102526 : aaa_req_process : Demande de général AAA d'appln : appln_subtype de procédure de connexion : par défaut
2018 AAAs du 20 janvier 17:15:18.102540 : try_next_aaa_method
2018 AAAs du 20 janvier 17:15:18.102562 : les méthodes totales configurées est 1, index en cours à essayer est 0
2018 AAAs du 20 janvier 17:15:18.102575 : handle_req_using_method
2018 AAAs du 20 janvier 17:15:18.102586 : AAA_METHOD_SERVER_GROUP
2018 AAAs du 20 janvier 17:15:18.102598 : groupe = rayon d'aaa_sg_method_handler
2018 AAAs du 20 janvier 17:15:18.102610 : Utilisant le sg_protocol qui est passé à cette fonction
2018 AAAs du 20 janvier 17:15:18.102625 : Envoi de la demande au service RADIUS
2018 AAAs du 20 janvier 17:15:18.102658 : mts_send_msg_to_prot_daemon : Longueur de charge utile = 371
2018 AAAs du 20 janvier 17:15:18.102684 : session : 0x8dfd68c ajouté au tableau 1 de session
2018 AAAs du 20 janvier 17:15:18.102698 : Groupe configuré de méthode réussi
2018 AAAs du 20 janvier 17:15:18.273682 : aaa_process_fd_set
2018 AAAs du 20 janvier 17:15:18.273724 : aaa_process_fd_set : mtscallback sur l'aaa_q
2018 AAAs du 20 janvier 17:15:18.273753 : mts_message_response_handler : une réponse de mts
2018 AAAs du 20 janvier 17:15:18.273768 : prot_daemon_reponse_handler
2018 AAAs du 20 janvier 17:15:18.273783 : session : 0x8dfd68c retiré du tableau 0 de session
2018 AAAs du 20 janvier 17:15:18.273801 : état d'is_aaa_resp_status_success = 2
2018 AAAs du 20 janvier 17:15:18.273815 : les is_aaa_resp_status_success est VRAI
2018 AAAs du 20 janvier 17:15:18.273829 : aaa_send_client_response pour l'authentification. session->flags=21. aaa_resp->flags=0.
2018 AAAs du 20 janvier 17:15:18.273843 : AAA_REQ_FLAG_NORMAL
2018 AAAs du 20 janvier 17:15:18.273877 : mts_send_response réussi
2018 AAAs du 20 janvier 17:15:18.273902 : aaa_cleanup_session
2018 AAAs du 20 janvier 17:15:18.273916 : mts_drop des msg de demande
2018 AAAs du 20 janvier 17:15:18.273935 : l'aaa_req devrait être libéré.
2018 AAAs du 20 janvier 17:15:18.280416 : aaa_process_fd_set
2018 AAAs du 20 janvier 17:15:18.280443 : aaa_process_fd_set : mtscallback sur l'aaa_q
2018 AAAs du 20 janvier 17:15:18.280454 : aaa_enable_info_config : GET_REQ pour le message d'erreur de procédure de connexion d'AAA
2018 AAAs du 20 janvier 17:15:18.280460 : obtenu de retour la valeur de retour de l'exécution de configuration : élément inconnu de Sécurité
La commande d'Ethanalyzer sur FX-OS cli incitera pour le mot de passe pour un mot de passe quand l'authentification TACACS/RADIUS est activée. Ce comportement est provoqué par par une bogue.
Id de bogue : CSCvg87518