Système d'exploitation extensible de FirePOWER (FXOS) 2.2 : Authentification/autorisation de châssis pour la gestion à distance avec ISE utilisant RADIUS

Introduction

Ce document décrit comment configurer l'authentification et l'autorisation de RADIUS pour le châssis du système d'exploitation extensible de FirePOWER (FXOS) par l'intermédiaire du Cisco Identity Services Engine (ISE).

Le châssis FXOS inclut les rôles de l'utilisateur suivants :

• Administrateur - Complete lecture-et-écrivent l'accès au système entier. Le compte par défaut d'admin est assigné ce rôle par défaut et il ne peut pas être changé.
• En lecture seule - Accès en lecture seule à la configuration de système sans des privilèges de modifier l'état du système.
• Des exécutions - Lecture-et-écrivez l'accès à la configuration de NTP, à la configuration de Smart Call Home pour l'autorisation intelligente, et aux logs système, y compris des serveurs de Syslog et des défauts. Accès en lecture au reste du système.
• AAA - Lecture-et-écrivez l'accès aux utilisateurs, aux rôles, et à la configuration d'AAA. Accès en lecture au reste du système.

Par l'intermédiaire du CLI ceci peut être vu comme suit :

fpr4120-TAC-A /security * # show role

Rôle :        

    Role name Priv

    ----------         ----

    AAA d'AAA

    admin d'admin

    exécutions d'exécutions

    en lecture seule en lecture seule

Contribué par Remirez élégant, Jose Soto, ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• La connaissance du système d'exploitation extensible de FirePOWER (FXOS)
• La connaissance de la configuration ISE

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Version 2.2 d'appareils de Sécurité de Cisco FirePOWER 4120
• Logiciel Cisco Identity Services Engine virtuel 2.2.0.470

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande. 

Configurez

Le but de la configuration est à :

• Authentifiez les utilisateurs se connectant dans le GUI du Web du FXOS et le SSH au moyen d'ISE
• Autorisez les utilisateurs se connectant dans le GUI du Web du FXOS et le SSH selon leur rôle de l'utilisateur respectif au moyen d'ISE.
• Vérifiez le bon fonctionnement de l'authentification et de l'autorisation sur le FXOS au moyen d'ISE

Diagramme du réseau

Configurations

Configurer le châssis FXOS

Création d'un fournisseur de RADIUS utilisant le gestionnaire de châssis

Étape 1. Naviguez vers des configurations > l'AAA de plate-forme.

Étape 2. Cliquez sur l'onglet de RADIUS.

Étape 3. Pour chaque fournisseur de RADIUS que vous voulez ajouter (jusqu'à 16 fournisseurs).

            3.1. Dans la région de fournisseurs de RADIUS, cliquez sur Add.

            3.2. Une fois la boîte de dialogue de fournisseur de RADIUS d'ajouter ouvre, écrit les valeurs exigées.

            3.3. Cliquez sur OK pour fermer la boîte de dialogue de fournisseur de RADIUS d'ajouter.

Étape 4. Sauvegarde de clic.

Étape 5. Naviguez vers le système > la gestion des utilisateurs > les configurations.

Étape 6. Sous l'authentification par défaut choisissez RADIUS.

Création d'un fournisseur de RADIUS utilisant le CLI

Étape 1. Afin d'activer l'authentification de RADIUS, exécutez les commandes suivantes.

Sécurité de portée fpr4120-TAC-A#

fpr4120-TAC-A /security # par défaut-auth de portée

fpr4120-TAC-A /security/default-auth # a placé le rayon de royaume

Étape 2. Utilisez la commande de détail d'exposition d'afficher les résultats.

fpr4120-TAC-A /security/default-auth # détail d'exposition

Authentification par défaut :

    Royaume d'admin : Radius

    Royaume opérationnel : Radius

    La session Web régénèrent la période (en quelques sec) : 600

    Délai d'attente de session (en quelques sec) pour le Web, ssh, sessions de telnet : 600

    Délai d'attente de session absolu (en quelques sec) pour le Web, ssh, sessions de telnet : 3600

    Délai d'attente de session de console série (en quelques sec) : 600

    Délai d'attente de session absolu de console série (en quelques sec) : 3600

    Groupe de serveurs d'authentification d'admin :

    Groupe de serveurs opérationnel d'authentification :

    Utilisation de 2ème facteur : Non

Étape 3. Afin de configurer des paramètres de serveur de RADIUS exécutez les commandes suivantes.

Sécurité de portée fpr4120-TAC-A#

fpr4120-TAC-A /security # rayon de portée

fpr4120-TAC-A /security/radius # présentent le serveur 10.88.244.50

fpr4120-TAC-A /security/radius/server # a placé le descr « serveur ISE »

fpr4120-TAC-A /security/radius/server * # placez la clé

Introduisez la clé : ******

Confirmez la clé : ******

Étape 4. Utilisez la commande de détail d'exposition d'afficher les résultats.

fpr4120-TAC-A /security/radius/server * # détail d'exposition

Serveur de RADIUS :

    Adresse Internet, FQDN ou adresse IP : 10.88.244.50

    Descr :

    Commande : 1

    Port authentique : 1812

    Clé : ****

    Délai d'attente : 5

Configurer le serveur ISE

Ajouter le FXOS comme ressource de réseau

Étape 1. Naviguez vers la gestion > les ressources de réseau > les périphériques de réseau.

Étape 2. Cliquez sur Add

Étape 3. Écrivez les valeurs requises (le nom, l'adresse IP, le type de périphérique et l'enable RADIUS et ajoutent la CLÉ), cliquez sur Submit.

Création des groupes et des utilisateurs d'identité

Étape 1. Naviguez vers la gestion > la Gestion de l'identité > les groupes > les groupes d'identité de l'utilisateur.

Étape 2. Cliquez sur Add.

Étape 3. Écrivez la valeur pour le nom et cliquez sur Submit.

Étape 4. Répétez l'étape 3 pour tous les rôles de l'utilisateur requis.

Étape 5. Naviguez vers la gestion > la Gestion de l'identité > l'identité > les utilisateurs.

Étape 6. Cliquez sur Add.

Étape 7. Écrivez les valeurs requises (nom, groupe d'utilisateurs, mot de passe).

Étape 8. Répétez l'étape 6 pour tous les utilisateurs requis.

Création du profil d'autorisation pour chaque rôle de l'utilisateur

Étape 1. Naviguez vers la stratégie > les éléments de stratégie > les résultats > l'autorisation > les profils d'autorisation.

Étape 2. Remplissez tous les attributs pour le profil d'autorisation.

        2.1. Configurez le nom de profil.

        2.2. Dans des attributs avancés les configurations configurent le CISCO-AV-PAIR suivant

cisco-av-pair=shell : roles= " admin »

        2.3. Cliquez sur Save.

Étape 3. Répétez l'étape 2 pour les rôles de l'utilisateur restants utilisant les Cisco-POIDs du commerce-paires suivantes

cisco-av-pair=shell : roles= " AAA »

cisco-av-pair=shell : roles= " exécutions »

cisco-av-pair=shell : roles= " en lecture seule »

Création de la stratégie d'authentification

Étape 1. Naviguez vers la stratégie > l'authentification > et cliquez sur la flèche à côté de éditent où vous voulez créer la règle.

Étape 2. L'installation est simple ; il peut être plus granulaire fait mais pour cet exemple nous utiliserons le type de périphérique :

Nom : RÈGLE D'AUTHENTIFICATION FXOS

SI nouveaux attribut/valeur choisis : Périphérique : Le type de périphérique égale tous les types de périphériques #FXOS

Permettez les protocoles : Accès au réseau par défaut

Utilisation : Utilisateurs internes

Création de la stratégie d'autorisation

Étape 1. Naviguez vers la stratégie > l'autorisation > et cliquez sur le net de flèche pour éditer où vous voulez créer la règle.

Étape 2. Écrivez les valeurs pour la règle d'autorisation avec les paramètres requis.

        2.1. Nom de règle : Règle de Fxos <USER ROLE>.

        2.2. Si : Groupes d'identité de l'utilisateur > <USER choisi ROLE>.

        2.3. ET : Créez le nouveaux état > périphérique : Le type de périphérique égale tous les types de périphériques #FXOS.

        2.4. Autorisations : La norme > choisissent le rôle de l'utilisateur de profil

Étape 3. Répétez l'étape 2 pour tous les rôles de l'utilisateur.

Étape 4. Sauvegarde de clic au bas de page.

Vérifiez

Vous pouvez maintenant examiner chaque utilisateur et vérifier le rôle de l'utilisateur assigné.

Vérification FXOS Chasis

1. Telnet ou SSH au châssis FXOS et procédure de connexion utilisant les utilisateurs créés l'uns des sur l'ISE.

Nom d'utilisateur : fxosadmin

Mot de passe :

Sécurité de portée fpr4120-TAC-A#

fpr4120-TAC-A /security # petit groupe d'utilisateur distant d'exposition

Fxosaaa d'utilisateur distant :

    Description :

    Rôles de l'utilisateur :

        Nom : AAA

        Nom : en lecture seule

Fxosadmin d'utilisateur distant :

    Description :

    Rôles de l'utilisateur :

        Nom : admin

        Nom : en lecture seule

Fxosoper d'utilisateur distant :

    Description :

    Rôles de l'utilisateur :

        Nom : exécutions

        Nom : en lecture seule

Fxosro d'utilisateur distant :

    Description :

    Rôles de l'utilisateur :

        Nom : en lecture seule

Selon le nom d'utilisateur écrit le châssis FXOS le cli affichera seulement les commandes autorisées pour le rôle de l'utilisateur assigné.

Rôle de l'utilisateur d'admin.

fpr4120-TAC-A /security # ?

  reconnaissez reconnaissent

  sessions de clear user de clair-utilisateur-sessions

  créez les objets gérés Create

  objets gérés par effacement d'effacement

  le débronchement désactive des services

  l'enable active des services

  entrez écrit un objet géré

  la portée change le mode courant

  placez les valeurs d'une propriété réglées

  affichez les informations de show system

  terminez les sessions de l'Active cimc

fpr4120-TAC-A# connectent des fxos

fpr4120-TAC-A (fxos) # AAA-demandes de debug aaa

fpr4120-TAC-A (fxos) #

Rôle de l'utilisateur en lecture seule.

fpr4120-TAC-A /security # ?

  la portée change le mode courant

  placez les valeurs d'une propriété réglées

  affichez les informations de show system

fpr4120-TAC-A# connectent des fxos

fpr4120-TAC-A (fxos) # AAA-demandes de debug aaa

% d'autorisation refusée pour le rôle

2. Parcourez à l'adresse IP et à la procédure de connexion de châssis FXOS utilisant les utilisateurs créés l'uns des sur l'ISE.

Rôle de l'utilisateur d'admin.

Rôle de l'utilisateur en lecture seule.

Note: Notez que le bouton d'AJOUTER est greyed. 

Vérification ISE 2.0

1. Naviguez vers des exécutions > RADIUS > vivent des logs. Vous devriez pouvoir voir réussi et des essais ratés.

Dépannez

Le debug aaa authentication et l'autorisation exécutent les commandes suivantes dans le FXOS cli.

fpr4120-TAC-A# connectent des fxos

fpr4120-TAC-A (fxos) # AAA-demandes de debug aaa

fpr4120-TAC-A (fxos) # événement de debug aaa

fpr4120-TAC-A (fxos) # erreurs de debug aaa

fpr4120-TAC-A (fxos) # terme lundi

Après qu'une tentative réussie d'authentification, vous voie la sortie suivante.

2018 AAAs du 20 janvier 17:18:02.410275 : aaa_req_process pour l'authentification. session No. 0

2018 AAAs du 20 janvier 17:18:02.410297 : aaa_req_process : Demande de général AAA d'appln : appln_subtype de procédure de connexion : par défaut

2018 AAAs du 20 janvier 17:18:02.410310 : try_next_aaa_method

2018 AAAs du 20 janvier 17:18:02.410330 : les méthodes totales configurées est 1, index en cours à essayer est 0

2018 AAAs du 20 janvier 17:18:02.410344 : handle_req_using_method

2018 AAAs du 20 janvier 17:18:02.410356 : AAA_METHOD_SERVER_GROUP

2018 AAAs du 20 janvier 17:18:02.410367 : groupe = rayon d'aaa_sg_method_handler

2018 AAAs du 20 janvier 17:18:02.410379 : Utilisant le sg_protocol qui est passé à cette fonction

2018 AAAs du 20 janvier 17:18:02.410393 : Envoi de la demande au service RADIUS

2018 AAAs du 20 janvier 17:18:02.412944 : mts_send_msg_to_prot_daemon : Longueur de charge utile = 374

2018 AAAs du 20 janvier 17:18:02.412973 : session : 0x8dfd68c ajouté au tableau 1 de session

2018 AAAs du 20 janvier 17:18:02.412987 : Groupe configuré de méthode réussi

2018 AAAs du 20 janvier 17:18:02.656425 : aaa_process_fd_set

2018 AAAs du 20 janvier 17:18:02.656447 : aaa_process_fd_set : mtscallback sur l'aaa_q

2018 AAAs du 20 janvier 17:18:02.656470 : mts_message_response_handler : une réponse de mts

2018 AAAs du 20 janvier 17:18:02.656483 : prot_daemon_reponse_handler

2018 AAAs du 20 janvier 17:18:02.656497 : session : 0x8dfd68c retiré du tableau 0 de session

2018 AAAs du 20 janvier 17:18:02.656512 : état d'is_aaa_resp_status_success = 1

2018 AAAs du 20 janvier 17:18:02.656525 : les is_aaa_resp_status_success est VRAI

2018 AAAs du 20 janvier 17:18:02.656538 : aaa_send_client_response pour l'authentification. session->flags=21. aaa_resp->flags=0.

2018 AAAs du 20 janvier 17:18:02.656550 : AAA_REQ_FLAG_NORMAL 

2018 AAAs du 20 janvier 17:18:02.656577 : mts_send_response réussi

2018 AAAs du 20 janvier 17:18:02.700520 : aaa_process_fd_set : mtscallback sur l'aaa_accounting_q

2018 AAAs du 20 janvier 17:18:02.700688 : VIEIL OPCODE : accounting_interim_update

2018 AAAs du 20 janvier 17:18:02.700702 : aaa_create_local_acct_req : user=, session_id=, fxosro log=added d'utilisateur 

2018 AAAs du 20 janvier 17:18:02.700725 : aaa_req_process pour la comptabilité. session No. 0

2018 AAAs du 20 janvier 17:18:02.700738 : La référence de demande MTS est NULLE. Demande LOCALE

2018 AAAs du 20 janvier 17:18:02.700749 : Établissement d'AAA_REQ_RESPONSE_NOT_NEEDED

2018 AAAs du 20 janvier 17:18:02.700762 : aaa_req_process : Demande de général AAA d'appln : appln_subtype par défaut : par défaut

2018 AAAs du 20 janvier 17:18:02.700774 : try_next_aaa_method

2018 AAAs du 20 janvier 17:18:02.700798 : aucune méthodes configurées pour le par défaut de par défaut

2018 AAAs du 20 janvier 17:18:02.700810 : aucune configuration disponible pour ceci demande

2018 AAAs du 20 janvier 17:18:02.700997 : aaa_send_client_response pour la comptabilité. session->flags=254. aaa_resp->flags=0.

2018 AAAs du 20 janvier 17:18:02.701010 : la réponse pour la demande de comptabilité de la vieille bibliothèque sera envoyée comme SUCCÈS

2018 AAAs du 20 janvier 17:18:02.701021 : réponse non requise pour cette demande

2018 AAAs du 20 janvier 17:18:02.701033 : AAA_REQ_FLAG_LOCAL_RESP 

2018 AAAs du 20 janvier 17:18:02.701044 : aaa_cleanup_session

2018 AAAs du 20 janvier 17:18:02.701055 : l'aaa_req devrait être libéré. 

2018 AAAs du 20 janvier 17:18:02.701067 : Tombent de retour les gens du pays de méthode réussis

2018 AAAs du 20 janvier 17:18:02.706922 : aaa_process_fd_set

2018 AAAs du 20 janvier 17:18:02.706937 : aaa_process_fd_set : mtscallback sur l'aaa_accounting_q

2018 AAAs du 20 janvier 17:18:02.706959 : VIEIL OPCODE : accounting_interim_update

2018 AAAs du 20 janvier 17:18:02.706972 : aaa_create_local_acct_req : user=, session_id=, utilisateur log=added : fxosro au rôle : en lecture seule 

Après qu'une tentative d'authentification défaillante, vous voie la sortie suivante.

2018 AAAs du 20 janvier 17:15:18.102130 : aaa_process_fd_set

2018 AAAs du 20 janvier 17:15:18.102149 : aaa_process_fd_set : mtscallback sur l'aaa_q

2018 AAAs du 20 janvier 17:15:18.102267 : aaa_process_fd_set

2018 AAAs du 20 janvier 17:15:18.102281 : aaa_process_fd_set : mtscallback sur l'aaa_q

2018 AAAs du 20 janvier 17:15:18.102363 : aaa_process_fd_set

2018 AAAs du 20 janvier 17:15:18.102377 : aaa_process_fd_set : mtscallback sur l'aaa_q

2018 AAAs du 20 janvier 17:15:18.102456 : aaa_process_fd_set

2018 AAAs du 20 janvier 17:15:18.102468 : aaa_process_fd_set : mtscallback sur l'aaa_q

2018 AAAs du 20 janvier 17:15:18.102489 : mts_aaa_req_process

2018 AAAs du 20 janvier 17:15:18.102503 : aaa_req_process pour l'authentification. session No. 0

2018 AAAs du 20 janvier 17:15:18.102526 : aaa_req_process : Demande de général AAA d'appln : appln_subtype de procédure de connexion : par défaut

2018 AAAs du 20 janvier 17:15:18.102540 : try_next_aaa_method

2018 AAAs du 20 janvier 17:15:18.102562 : les méthodes totales configurées est 1, index en cours à essayer est 0

2018 AAAs du 20 janvier 17:15:18.102575 : handle_req_using_method

2018 AAAs du 20 janvier 17:15:18.102586 : AAA_METHOD_SERVER_GROUP

2018 AAAs du 20 janvier 17:15:18.102598 : groupe = rayon d'aaa_sg_method_handler

2018 AAAs du 20 janvier 17:15:18.102610 : Utilisant le sg_protocol qui est passé à cette fonction

2018 AAAs du 20 janvier 17:15:18.102625 : Envoi de la demande au service RADIUS

2018 AAAs du 20 janvier 17:15:18.102658 : mts_send_msg_to_prot_daemon : Longueur de charge utile = 371

2018 AAAs du 20 janvier 17:15:18.102684 : session : 0x8dfd68c ajouté au tableau 1 de session

2018 AAAs du 20 janvier 17:15:18.102698 : Groupe configuré de méthode réussi

2018 AAAs du 20 janvier 17:15:18.273682 : aaa_process_fd_set

2018 AAAs du 20 janvier 17:15:18.273724 : aaa_process_fd_set : mtscallback sur l'aaa_q

2018 AAAs du 20 janvier 17:15:18.273753 : mts_message_response_handler : une réponse de mts

2018 AAAs du 20 janvier 17:15:18.273768 : prot_daemon_reponse_handler

2018 AAAs du 20 janvier 17:15:18.273783 : session : 0x8dfd68c retiré du tableau 0 de session

2018 AAAs du 20 janvier 17:15:18.273801 : état d'is_aaa_resp_status_success = 2

2018 AAAs du 20 janvier 17:15:18.273815 : les is_aaa_resp_status_success est VRAI

2018 AAAs du 20 janvier 17:15:18.273829 : aaa_send_client_response pour l'authentification. session->flags=21. aaa_resp->flags=0.

2018 AAAs du 20 janvier 17:15:18.273843 : AAA_REQ_FLAG_NORMAL 

2018 AAAs du 20 janvier 17:15:18.273877 : mts_send_response réussi

2018 AAAs du 20 janvier 17:15:18.273902 : aaa_cleanup_session

2018 AAAs du 20 janvier 17:15:18.273916 : mts_drop des msg de demande

2018 AAAs du 20 janvier 17:15:18.273935 : l'aaa_req devrait être libéré. 

2018 AAAs du 20 janvier 17:15:18.280416 : aaa_process_fd_set

2018 AAAs du 20 janvier 17:15:18.280443 : aaa_process_fd_set : mtscallback sur l'aaa_q

2018 AAAs du 20 janvier 17:15:18.280454 : aaa_enable_info_config : GET_REQ pour le message d'erreur de procédure de connexion d'AAA

2018 AAAs du 20 janvier 17:15:18.280460 : obtenu de retour la valeur de retour de l'exécution de configuration : élément inconnu de Sécurité

Informations connexes

La commande d'Ethanalyzer sur FX-OS cli incitera pour le mot de passe pour un mot de passe quand l'authentification TACACS/RADIUS est activée. Ce comportement est provoqué par par une bogue.

Id de bogue : CSCvg87518