Firepower可扩展操作系统(FXO) 2.2 ：远程管理的机箱认证/授权与ISE使用RADIUS

简介

本文描述如何通过身份服务引擎(ISE)配置RADIUS验证和授权Firepower可扩展操作系统的(FXO)机箱的。

FXO机箱包括以下用户角色：

• 管理员-对整个系统的完整读写访问。默认管理帐户分配此角色默认情况下，并且不可能更改。
• 只读-对系统配置的只读访问没有权限修改系统状态。
• 操作-对NTP配置、聪明的Call Home配置聪明许可授权的和系统日志的读写访问，包括系统日志服务器和故障。对系统的其余的读访问。
• AAA -对用户、角色和AAA配置的读写访问。对系统的其余的读访问。

通过CLI这能被看到如下：

fpr4120-TAC-A /security * #请显示角色

角色：        

    角色命名Priv

    ----------        ----

    aaa aaa

    admin admin

    操作操作

    只读只读

贡献用托尼雷米雷斯，何塞索托， Cisco TAC工程师。

先决条件

要求

Cisco 建议您了解以下主题：

• 知识Firepower可扩展操作系统(FXO)
• ISE配置知识

使用的组件

本文档中的信息基于以下软件和硬件版本：

• Cisco Firepower 4120安全工具版本2.2
• 虚拟思科身份服务引擎2.2.0.470

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 

配置

配置的目标对：

• 验证登录FXOS的基于Web的GUI和SSH的用户通过ISE
• 认证登录FXOS的基于Web的GUI和SSH的用户根据他们的各自用户角色通过ISE。
• 通过ISE验证认证和授权正常操作在FXO的

网络图

配置

配置FXO机箱

创建使用机箱管理器的RADIUS供应商

步骤1.导航对平台设置>AAA。

步骤2.点击RADIUS选项。

第三步：每个RADIUS供应商您想要添加(16个供应商)。

            3.1. 在RADIUS供应商地区中，请单击添加。

            3.2. 一旦添加RADIUS供应商对话框打开，请输入需要的值。

            3.3. 点击OK键关闭添加RADIUS供应商对话框。

步骤4.点击“Save”。

步骤5.导航对系统>用户管理>设置。

第六步：在默认验证下请选择RADIUS。

创建使用CLI的RADIUS供应商

步骤1.为了启用RADIUS验证，请运行以下命令。

fpr4120-TAC-A#范围安全

fpr4120-TAC-A /security #范围默认验证

fpr4120-TAC-A /security/default-auth #集领域radius

第二步：请使用detail命令的显示显示结果。

fpr4120-TAC-A /security/default-auth #显示详细信息

默认验证：

    Admin领域：Radius

    可操作的领域：Radius

    Web会话刷新期限(以秒) ：600

    会话超时(以秒) Web的， SSH，远程登录会话：600

    绝对会话超时(以秒) Web的， SSH，远程登录会话：3600

    串行控制台会话超时(以秒) ：600

    串行控制台绝对会话超时(以秒) ：3600

    Admin认证服务器组：

    可操作的认证服务器组：

    使用第2个要素：无

步骤3.为了配置RADIUS服务器参数请运行以下命令。

fpr4120-TAC-A#范围安全

fpr4120-TAC-A /security #范围radius

fpr4120-TAC-A /security/radius #回车服务器10.88.244.50

fpr4120-TAC-A /security/radius/server #集descr “ISE服务器”

fpr4120-TAC-A /security/radius/server * #集密钥

输入密钥：******

确认密钥：******

第四步：请使用detail命令的显示显示结果。

fpr4120-TAC-A /security/radius/server * #请显示详细信息

RADIUS服务器：

    主机名、FQDN或者IP地址：10.88.244.50

    Descr ：

    命令：1

    验证波尔特：1812

    密钥：****

    超时：5

配置ISE服务器

添加FXO作为网络资源

步骤1.导航到Administration >网络资源>网络设备。

步骤2.单击添加

步骤3.输入需要的值(名称、IP地址、设备类型和Enable (event) RADIUS和添加KEY)，单击提交。

创建标识组和用户

步骤1.导航给Administration >身份管理> Groups >用户标识组。

步骤2.单击添加。

步骤3.输入名称的值并且单击提交。

步骤4.重复所有所需的用户角色的步骤3。

步骤5.导航对Administration >身份管理>标识> Users。

步骤6.单击添加。

步骤7.输入需要的值(名称、用户组，密码)。

步骤8.重复全部必需用户的步骤6。

创建每个用户角色的授权配置文件

步骤1.导航对策略>Policy元素>结果>授权>授权配置文件。

步骤2.填装授权配置文件的所有属性。

        2.1. 配置配置文件名称。

        2.2. 在先进的属性设置请配置以下CISCO-AV-PAIR

cisco-av-pair=shell ：roles= " admin”

        2.3. Click Save.

步骤3.使用以下Cisco AV对，重复剩余的用户角色的步骤2

cisco-av-pair=shell ：roles= " aaa”

cisco-av-pair=shell ：roles= "操作”

cisco-av-pair=shell ："只读”的roles=

创建验证策略

步骤1.导航对策略>验证>并且单击箭头在旁边编辑您要创建规则的地方。

第二步：设置简单;它可以是执行的更加粒状，但是对于此示例我们将使用设备类型：

名称：FXO验证规则

IF挑选新团体/值：设备：设备类型等于所有设备类型#FXOS

允许协议：默认网络网络访问

使用：内部用户

创建授权策略

步骤1.导航对策略>授权>并且点击箭头网编辑您要创建规则的地方。

步骤2.输入授权规则的值与要求的参数。

        2.1. 规则名称：Fxos <USER ROLE>规则。

        2.2. 如果：用户标识Groups>挑选<USER ROLE>。

        2.3. 并且：创建新的情况>设备：设备类型等于所有设备类型#FXOS。

        2.4. 权限：英文虎报>选择用户角色配置文件

步骤3.重复所有用户角色的步骤2。

步骤4.单击“Save”在页底端。

验证

您可以当前测试每个用户和验证已分配用户角色。

FXO机箱验证

1. Telnet或SSH对FXO机箱和登录使用任何已创建用户ISE的。

用户名：fxosadmin

密码：

fpr4120-TAC-A#范围安全

fpr4120-TAC-A /security #显示远程用户详细信息

远程用户fxosaaa ：

    说明：

    用户角色：

        名称：aaa

        名称：只读

远程用户fxosadmin ：

    说明：

    用户角色：

        名称：admin

        名称：只读

远程用户fxosoper ：

    说明：

    用户角色：

        名称：操作

        名称：只读

远程用户fxosro ：

    说明：

    用户角色：

        名称：只读

根据输入FXO机箱cli的用户名只将显示为用户角色授权的命令分配。

管理员用户角色。

fpr4120-TAC-A /security # ？

  确认确认

  结算用户塞申斯Clear user塞申斯

  创建创建托管对象

  删除删除托管对象

  禁用功能失效服务

  enable (event)启用服务

  回车输入托管对象

  范围更改电流模式

  设置集合属性值

  显示Show system information

  终止激活cimc会话

fpr4120-TAC-A#连接fxos

fpr4120-TAC-A (fxos) # debug aaa AAA请求

fpr4120-TAC-A (fxos) #

只读用户角色。

fpr4120-TAC-A /security # ？

  范围更改电流模式

  设置集合属性值

  显示Show system information

fpr4120-TAC-A#连接fxos

fpr4120-TAC-A (fxos) # debug aaa AAA请求

%为角色拒绝的权限

2. 使用任何ISE的，已创建用户浏览对FXO机箱IP地址和登录。

管理员用户角色。

只读用户角色。

Note:注意Add按钮变灰。 

ISE 2.0验证

1. 导航对操作> RADIUS> Live日志。您应该能发现成功和失败的尝试。

故障排除

为了debug aaa authentication和授权运行以下in命令FXO cli。

fpr4120-TAC-A#连接fxos

fpr4120-TAC-A (fxos) # debug aaa AAA请求

fpr4120-TAC-A (fxos) # debug aaa事件

fpr4120-TAC-A (fxos) # debug aaa错误

fpr4120-TAC-A (fxos) # term mon

在成功认证尝试，您将看到以下输出后。

2018简20 17:18:02.410275 aaa ：验证的aaa_req_process。会话没有0

2018简20 17:18:02.410297 aaa ：aaa_req_process ：常规从appln的AAA请求：登录appln_subtype ：默认

2018简20 17:18:02.410310 aaa ：try_next_aaa_method

2018简20 17:18:02.410330 aaa ：配置的总方法是1，将尝试的当前索引是0

2018简20 17:18:02.410344 aaa ：handle_req_using_method

2018简20 17:18:02.410356 aaa ：AAA_METHOD_SERVER_GROUP

2018简20 17:18:02.410367 aaa ：aaa_sg_method_handler group= radius

2018简20 17:18:02.410379 aaa ：使用通过对此功能的sg_protocol

2018简20 17:18:02.410393 aaa ：发送请求对RADIUS服务

2018简20 17:18:02.412944 aaa ：mts_send_msg_to_prot_daemon ：有效载荷长度= 374

2018简20 17:18:02.412973 aaa ：会话：0x8dfd68c被添加到会话表1

2018简20 17:18:02.412987 aaa ：已配置的方法组继之后

2018简20 17:18:02.656425 aaa ：aaa_process_fd_set

2018简20 17:18:02.656447 aaa ：aaa_process_fd_set ：在aaa_q的mtscallback

2018简20 17:18:02.656470 aaa ：mts_message_response_handler ：mts答复

2018简20 17:18:02.656483 aaa ：prot_daemon_reponse_handler

2018简20 17:18:02.656497 aaa ：会话：从会话表删除的0x8dfd68c 0

2018简20 17:18:02.656512 aaa ：is_aaa_resp_status_success状态= 1

2018简20 17:18:02.656525 aaa ：is_aaa_resp_status_success真

2018简20 17:18:02.656538 aaa ：验证的aaa_send_client_response。session->flags=21.aaa_resp->flags=0.

2018简20 17:18:02.656550 aaa ：AAA_REQ_FLAG_NORMAL 

2018简20 17:18:02.656577 aaa ：成功的mts_send_response

2018简20 17:18:02.700520 aaa ：aaa_process_fd_set ：在aaa_accounting_q的mtscallback

2018简20 17:18:02.700688 aaa ：旧有操作码：accounting_interim_update

2018简20 17:18:02.700702 aaa ：aaa_create_local_acct_req ：user=， session_id=， log=added用户fxosro 

2018简20 17:18:02.700725 aaa ：核算的aaa_req_process。会话没有0

2018简20 17:18:02.700738 aaa ：MTS请求参考是NULL。本地请求

2018简20 17:18:02.700749 aaa ：设置AAA_REQ_RESPONSE_NOT_NEEDED

2018简20 17:18:02.700762 aaa ：aaa_req_process ：常规从appln的AAA请求：默认appln_subtype ：默认

2018简20 17:18:02.700774 aaa ：try_next_aaa_method

2018简20 17:18:02.700798 aaa ：为默认默认配置的没有方法

2018简20 17:18:02.700810 aaa ：此请求的没有配置联机

2018简20 17:18:02.700997 aaa ：核算的aaa_send_client_response。session->flags=254.aaa_resp->flags=0.

2018简20 17:18:02.701010 aaa ：旧有库认为的请求的答复将被发送作为成功

2018简20 17:18:02.701021 aaa ：为此请求没需要的答复

2018简20 17:18:02.701033 aaa ：AAA_REQ_FLAG_LOCAL_RESP 

2018简20 17:18:02.701044 aaa ：aaa_cleanup_session

2018简20 17:18:02.701055 aaa ：应该释放aaa_req。 

2018简20 17:18:02.701067 aaa ：后退成功的方法本地

2018简20 17:18:02.706922 aaa ：aaa_process_fd_set

2018简20 17:18:02.706937 aaa ：aaa_process_fd_set ：在aaa_accounting_q的mtscallback

2018简20 17:18:02.706959 aaa ：旧有操作码：accounting_interim_update

2018简20 17:18:02.706972 aaa ：aaa_create_local_acct_req ：user=， session_id=， log=added用户：对角色的fxosro ：只读 

在失败的认证尝试，您将看到以下输出后。

2018简20 17:15:18.102130 aaa ：aaa_process_fd_set

2018简20 17:15:18.102149 aaa ：aaa_process_fd_set ：在aaa_q的mtscallback

2018简20 17:15:18.102267 aaa ：aaa_process_fd_set

2018简20 17:15:18.102281 aaa ：aaa_process_fd_set ：在aaa_q的mtscallback

2018简20 17:15:18.102363 aaa ：aaa_process_fd_set

2018简20 17:15:18.102377 aaa ：aaa_process_fd_set ：在aaa_q的mtscallback

2018简20 17:15:18.102456 aaa ：aaa_process_fd_set

2018简20 17:15:18.102468 aaa ：aaa_process_fd_set ：在aaa_q的mtscallback

2018简20 17:15:18.102489 aaa ：mts_aaa_req_process

2018简20 17:15:18.102503 aaa ：验证的aaa_req_process。会话没有0

2018简20 17:15:18.102526 aaa ：aaa_req_process ：常规从appln的AAA请求：登录appln_subtype ：默认

2018简20 17:15:18.102540 aaa ：try_next_aaa_method

2018简20 17:15:18.102562 aaa ：配置的总方法是1，将尝试的当前索引是0

2018简20 17:15:18.102575 aaa ：handle_req_using_method

2018简20 17:15:18.102586 aaa ：AAA_METHOD_SERVER_GROUP

2018简20 17:15:18.102598 aaa ：aaa_sg_method_handler group= radius

2018简20 17:15:18.102610 aaa ：使用通过对此功能的sg_protocol

2018简20 17:15:18.102625 aaa ：发送请求对RADIUS服务

2018简20 17:15:18.102658 aaa ：mts_send_msg_to_prot_daemon ：有效载荷长度= 371

2018简20 17:15:18.102684 aaa ：会话：0x8dfd68c被添加到会话表1

2018简20 17:15:18.102698 aaa ：已配置的方法组继之后

2018简20 17:15:18.273682 aaa ：aaa_process_fd_set

2018简20 17:15:18.273724 aaa ：aaa_process_fd_set ：在aaa_q的mtscallback

2018简20 17:15:18.273753 aaa ：mts_message_response_handler ：mts答复

2018简20 17:15:18.273768 aaa ：prot_daemon_reponse_handler

2018简20 17:15:18.273783 aaa ：会话：从会话表删除的0x8dfd68c 0

2018简20 17:15:18.273801 aaa ：is_aaa_resp_status_success状态= 2

2018简20 17:15:18.273815 aaa ：is_aaa_resp_status_success真

2018简20 17:15:18.273829 aaa ：验证的aaa_send_client_response。session->flags=21.aaa_resp->flags=0.

2018简20 17:15:18.273843 aaa ：AAA_REQ_FLAG_NORMAL 

2018简20 17:15:18.273877 aaa ：成功的mts_send_response

2018简20 17:15:18.273902 aaa ：aaa_cleanup_session

2018简20 17:15:18.273916 aaa ：请求数据mts_drop

2018简20 17:15:18.273935 aaa ：应该释放aaa_req。 

2018简20 17:15:18.280416 aaa ：aaa_process_fd_set

2018简20 17:15:18.280443 aaa ：aaa_process_fd_set ：在aaa_q的mtscallback

2018简20 17:15:18.280454 aaa ：aaa_enable_info_config ：aaa登录错误消息的GET_REQ

2018简20 17:15:18.280460 aaa ：获得的上一步回归值配置运行：未知安全项目

相关信息

当TACACS/RADIUS验证启用， Ethanalyzer on命令FX-OS cli将提示输入密码的密码。此行为是由bug引起的。

Bug ID ： CSCvg87518