此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。
本文描述如何通过身份服务引擎(ISE)配置RADIUS验证和授权Firepower可扩展操作系统的(FXO)机箱的。
FXO机箱包括以下用户角色:
通过CLI这能被看到如下:
fpr4120-TAC-A /security * #请显示角色
角色:
角色命名Priv
---------- ----
aaa aaa
admin admin
操作操作
只读只读
贡献用托尼雷米雷斯,何塞索托, Cisco TAC工程师。
Cisco 建议您了解以下主题:
本文档中的信息基于以下软件和硬件版本:
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
配置的目标对:
创建使用机箱管理器的RADIUS供应商
步骤1.导航对平台设置>AAA。
步骤2.点击RADIUS选项。
第三步:每个RADIUS供应商您想要添加(16个供应商)。
3.1. 在RADIUS供应商地区中,请单击添加。
3.2. 一旦添加RADIUS供应商对话框打开,请输入需要的值。
3.3. 点击OK键关闭添加RADIUS供应商对话框。
步骤4.点击“Save”。
步骤5.导航对系统>用户管理>设置。
第六步:在默认验证下请选择RADIUS。
创建使用CLI的RADIUS供应商
步骤1.为了启用RADIUS验证,请运行以下命令。
fpr4120-TAC-A#范围安全
fpr4120-TAC-A /security #范围默认验证
fpr4120-TAC-A /security/default-auth #集领域radius
第二步:请使用detail命令的显示显示结果。
fpr4120-TAC-A /security/default-auth #显示详细信息
默认验证:
Admin领域:Radius
可操作的领域:Radius
Web会话刷新期限(以秒) :600
会话超时(以秒) Web的, SSH,远程登录会话:600
绝对会话超时(以秒) Web的, SSH,远程登录会话:3600
串行控制台会话超时(以秒) :600
串行控制台绝对会话超时(以秒) :3600
Admin认证服务器组:
可操作的认证服务器组:
使用第2个要素:无
步骤3.为了配置RADIUS服务器参数请运行以下命令。
fpr4120-TAC-A#范围安全
fpr4120-TAC-A /security #范围radius
fpr4120-TAC-A /security/radius #回车服务器10.88.244.50
fpr4120-TAC-A /security/radius/server #集descr “ISE服务器”
fpr4120-TAC-A /security/radius/server * #集密钥
输入密钥:******
确认密钥:******
第四步:请使用detail命令的显示显示结果。
fpr4120-TAC-A /security/radius/server * #请显示详细信息
RADIUS服务器:
主机名、FQDN或者IP地址:10.88.244.50
Descr :
命令:1
验证波尔特:1812
密钥:****
超时:5
添加FXO作为网络资源
步骤1.导航到Administration >网络资源>网络设备。
步骤2.单击添加
步骤3.输入需要的值(名称、IP地址、设备类型和Enable (event) RADIUS和添加KEY),单击提交。
创建标识组和用户
步骤1.导航给Administration >身份管理> Groups >用户标识组。
步骤2.单击添加。
步骤3.输入名称的值并且单击提交。
步骤4.重复所有所需的用户角色的步骤3。
步骤5.导航对Administration >身份管理>标识> Users。
步骤6.单击添加。
步骤7.输入需要的值(名称、用户组,密码)。
步骤8.重复全部必需用户的步骤6。
创建每个用户角色的授权配置文件
步骤1.导航对策略>Policy元素>结果>授权>授权配置文件。
步骤2.填装授权配置文件的所有属性。
2.1. 配置配置文件名称。
2.2. 在先进的属性设置请配置以下CISCO-AV-PAIR
cisco-av-pair=shell :roles= " admin”
2.3. Click Save.
步骤3.使用以下Cisco AV对,重复剩余的用户角色的步骤2
cisco-av-pair=shell :roles= " aaa”
cisco-av-pair=shell :roles= "操作”
cisco-av-pair=shell :"只读”的roles=
创建验证策略
步骤1.导航对策略>验证>并且单击箭头在旁边编辑您要创建规则的地方。
第二步:设置简单;它可以是执行的更加粒状,但是对于此示例我们将使用设备类型:
名称:FXO验证规则
IF挑选新团体/值:设备:设备类型等于所有设备类型#FXOS
允许协议:默认网络网络访问
使用:内部用户
创建授权策略
步骤1.导航对策略>授权>并且点击箭头网编辑您要创建规则的地方。
步骤2.输入授权规则的值与要求的参数。
2.1. 规则名称:Fxos <USER ROLE>规则。
2.2. 如果:用户标识Groups>挑选<USER ROLE>。
2.3. 并且:创建新的情况>设备:设备类型等于所有设备类型#FXOS。
2.4. 权限:英文虎报>选择用户角色配置文件
步骤3.重复所有用户角色的步骤2。
步骤4.单击“Save”在页底端。
您可以当前测试每个用户和验证已分配用户角色。
用户名:fxosadmin
密码:
fpr4120-TAC-A#范围安全
fpr4120-TAC-A /security #显示远程用户详细信息
远程用户fxosaaa :
说明:
用户角色:
名称:aaa
名称:只读
远程用户fxosadmin :
说明:
用户角色:
名称:admin
名称:只读
远程用户fxosoper :
说明:
用户角色:
名称:操作
名称:只读
远程用户fxosro :
说明:
用户角色:
名称:只读
根据输入FXO机箱cli的用户名只将显示为用户角色授权的命令分配。
管理员用户角色。
fpr4120-TAC-A /security # ?
确认确认
结算用户塞申斯Clear user塞申斯
创建创建托管对象
删除删除托管对象
禁用功能失效服务
enable (event)启用服务
回车输入托管对象
范围更改电流模式
设置集合属性值
显示Show system information
终止激活cimc会话
fpr4120-TAC-A#连接fxos
fpr4120-TAC-A (fxos) # debug aaa AAA请求
fpr4120-TAC-A (fxos) #
只读用户角色。
fpr4120-TAC-A /security # ?
范围更改电流模式
设置集合属性值
显示Show system information
fpr4120-TAC-A#连接fxos
fpr4120-TAC-A (fxos) # debug aaa AAA请求
%为角色拒绝的权限
管理员用户角色。
只读用户角色。
Note:注意Add按钮变灰。
为了debug aaa authentication和授权运行以下in命令FXO cli。
fpr4120-TAC-A#连接fxos
fpr4120-TAC-A (fxos) # debug aaa AAA请求
fpr4120-TAC-A (fxos) # debug aaa事件
fpr4120-TAC-A (fxos) # debug aaa错误
fpr4120-TAC-A (fxos) # term mon
在成功认证尝试,您将看到以下输出后。
2018简20 17:18:02.410275 aaa :验证的aaa_req_process。会话没有0
2018简20 17:18:02.410297 aaa :aaa_req_process :常规从appln的AAA请求:登录appln_subtype :默认
2018简20 17:18:02.410310 aaa :try_next_aaa_method
2018简20 17:18:02.410330 aaa :配置的总方法是1,将尝试的当前索引是0
2018简20 17:18:02.410344 aaa :handle_req_using_method
2018简20 17:18:02.410356 aaa :AAA_METHOD_SERVER_GROUP
2018简20 17:18:02.410367 aaa :aaa_sg_method_handler group= radius
2018简20 17:18:02.410379 aaa :使用通过对此功能的sg_protocol
2018简20 17:18:02.410393 aaa :发送请求对RADIUS服务
2018简20 17:18:02.412944 aaa :mts_send_msg_to_prot_daemon :有效载荷长度= 374
2018简20 17:18:02.412973 aaa :会话:0x8dfd68c被添加到会话表1
2018简20 17:18:02.412987 aaa :已配置的方法组继之后
2018简20 17:18:02.656425 aaa :aaa_process_fd_set
2018简20 17:18:02.656447 aaa :aaa_process_fd_set :在aaa_q的mtscallback
2018简20 17:18:02.656470 aaa :mts_message_response_handler :mts答复
2018简20 17:18:02.656483 aaa :prot_daemon_reponse_handler
2018简20 17:18:02.656497 aaa :会话:从会话表删除的0x8dfd68c 0
2018简20 17:18:02.656512 aaa :is_aaa_resp_status_success状态= 1
2018简20 17:18:02.656525 aaa :is_aaa_resp_status_success真
2018简20 17:18:02.656538 aaa :验证的aaa_send_client_response。session->flags=21.aaa_resp->flags=0.
2018简20 17:18:02.656550 aaa :AAA_REQ_FLAG_NORMAL
2018简20 17:18:02.656577 aaa :成功的mts_send_response
2018简20 17:18:02.700520 aaa :aaa_process_fd_set :在aaa_accounting_q的mtscallback
2018简20 17:18:02.700688 aaa :旧有操作码:accounting_interim_update
2018简20 17:18:02.700702 aaa :aaa_create_local_acct_req :user=, session_id=, log=added用户fxosro
2018简20 17:18:02.700725 aaa :核算的aaa_req_process。会话没有0
2018简20 17:18:02.700738 aaa :MTS请求参考是NULL。本地请求
2018简20 17:18:02.700749 aaa :设置AAA_REQ_RESPONSE_NOT_NEEDED
2018简20 17:18:02.700762 aaa :aaa_req_process :常规从appln的AAA请求:默认appln_subtype :默认
2018简20 17:18:02.700774 aaa :try_next_aaa_method
2018简20 17:18:02.700798 aaa :为默认默认配置的没有方法
2018简20 17:18:02.700810 aaa :此请求的没有配置联机
2018简20 17:18:02.700997 aaa :核算的aaa_send_client_response。session->flags=254.aaa_resp->flags=0.
2018简20 17:18:02.701010 aaa :旧有库认为的请求的答复将被发送作为成功
2018简20 17:18:02.701021 aaa :为此请求没需要的答复
2018简20 17:18:02.701033 aaa :AAA_REQ_FLAG_LOCAL_RESP
2018简20 17:18:02.701044 aaa :aaa_cleanup_session
2018简20 17:18:02.701055 aaa :应该释放aaa_req。
2018简20 17:18:02.701067 aaa :后退成功的方法本地
2018简20 17:18:02.706922 aaa :aaa_process_fd_set
2018简20 17:18:02.706937 aaa :aaa_process_fd_set :在aaa_accounting_q的mtscallback
2018简20 17:18:02.706959 aaa :旧有操作码:accounting_interim_update
2018简20 17:18:02.706972 aaa :aaa_create_local_acct_req :user=, session_id=, log=added用户:对角色的fxosro :只读
在失败的认证尝试,您将看到以下输出后。
2018简20 17:15:18.102130 aaa :aaa_process_fd_set
2018简20 17:15:18.102149 aaa :aaa_process_fd_set :在aaa_q的mtscallback
2018简20 17:15:18.102267 aaa :aaa_process_fd_set
2018简20 17:15:18.102281 aaa :aaa_process_fd_set :在aaa_q的mtscallback
2018简20 17:15:18.102363 aaa :aaa_process_fd_set
2018简20 17:15:18.102377 aaa :aaa_process_fd_set :在aaa_q的mtscallback
2018简20 17:15:18.102456 aaa :aaa_process_fd_set
2018简20 17:15:18.102468 aaa :aaa_process_fd_set :在aaa_q的mtscallback
2018简20 17:15:18.102489 aaa :mts_aaa_req_process
2018简20 17:15:18.102503 aaa :验证的aaa_req_process。会话没有0
2018简20 17:15:18.102526 aaa :aaa_req_process :常规从appln的AAA请求:登录appln_subtype :默认
2018简20 17:15:18.102540 aaa :try_next_aaa_method
2018简20 17:15:18.102562 aaa :配置的总方法是1,将尝试的当前索引是0
2018简20 17:15:18.102575 aaa :handle_req_using_method
2018简20 17:15:18.102586 aaa :AAA_METHOD_SERVER_GROUP
2018简20 17:15:18.102598 aaa :aaa_sg_method_handler group= radius
2018简20 17:15:18.102610 aaa :使用通过对此功能的sg_protocol
2018简20 17:15:18.102625 aaa :发送请求对RADIUS服务
2018简20 17:15:18.102658 aaa :mts_send_msg_to_prot_daemon :有效载荷长度= 371
2018简20 17:15:18.102684 aaa :会话:0x8dfd68c被添加到会话表1
2018简20 17:15:18.102698 aaa :已配置的方法组继之后
2018简20 17:15:18.273682 aaa :aaa_process_fd_set
2018简20 17:15:18.273724 aaa :aaa_process_fd_set :在aaa_q的mtscallback
2018简20 17:15:18.273753 aaa :mts_message_response_handler :mts答复
2018简20 17:15:18.273768 aaa :prot_daemon_reponse_handler
2018简20 17:15:18.273783 aaa :会话:从会话表删除的0x8dfd68c 0
2018简20 17:15:18.273801 aaa :is_aaa_resp_status_success状态= 2
2018简20 17:15:18.273815 aaa :is_aaa_resp_status_success真
2018简20 17:15:18.273829 aaa :验证的aaa_send_client_response。session->flags=21.aaa_resp->flags=0.
2018简20 17:15:18.273843 aaa :AAA_REQ_FLAG_NORMAL
2018简20 17:15:18.273877 aaa :成功的mts_send_response
2018简20 17:15:18.273902 aaa :aaa_cleanup_session
2018简20 17:15:18.273916 aaa :请求数据mts_drop
2018简20 17:15:18.273935 aaa :应该释放aaa_req。
2018简20 17:15:18.280416 aaa :aaa_process_fd_set
2018简20 17:15:18.280443 aaa :aaa_process_fd_set :在aaa_q的mtscallback
2018简20 17:15:18.280454 aaa :aaa_enable_info_config :aaa登录错误消息的GET_REQ
2018简20 17:15:18.280460 aaa :获得的上一步回归值配置运行:未知安全项目
当TACACS/RADIUS验证启用, Ethanalyzer on命令FX-OS cli将提示输入密码的密码。此行为是由bug引起的。
Bug ID : CSCvg87518