Firepower eXtensible Operating System (FXOS) 2.2: autenticação/autorização de chassi para gerenciamento remoto com ISE usando RADIUS

Opções de download

  • PDF     (2.4 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (2.5 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.8 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:21 de fevereiro de 2018
ID do documento:212689

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como configurar a autenticação e autorização RADIUS para o chassi do Firepower eXtensible Operating System (FXOS) via Identity Services Engine (ISE).

    O chassi FXOS inclui as seguintes funções de usuário:

    • Administrador - Acesso completo de leitura e gravação a todo o sistema. A conta de administrador padrão recebe essa função por padrão e não pode ser alterada.
    • Somente Leitura - Acesso somente leitura à configuração do sistema sem privilégios para modificar o estado do sistema.
    • Operações - Acesso de leitura e gravação à configuração NTP, configuração do Smart Call Home para Smart Licensing e logs do sistema, incluindo servidores e falhas do syslog. Acesso de leitura ao restante do sistema.
    • AAA - Acesso de leitura e gravação a usuários, funções e configuração AAA. Acesso de leitura ao restante do sistema.

    Por meio do CLI, isso pode ser visto da seguinte maneira:

    fpr4120-TAC-A /security* # show role

    Função:        

        Nome da função Priv

        ---------- ----

        aaa aaa

        admin admin

        operações operações

        somente leitura somente leitura

    Contribuição de Tony Remirez, Jose Soto, Engenheiros do Cisco TAC.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Conhecimento do sistema operacional extensível Firepower (FXOS)
    • Conhecimento da configuração do ISE

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Dispositivo de segurança Cisco Firepower 4120 versão 2.2
    • Cisco Identity Services Engine 2.2.0.470 virtual

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando. 

    Configurar

    O objetivo da configuração é:

    • Autenticar usuários que efetuam login na GUI baseada na Web do FXOS e no SSH por meio do ISE
    • Autorize os usuários a fazer login na GUI baseada na Web do FXOS e no SSH de acordo com sua respectiva função de usuário por meio do ISE.
    • Verificar a operação apropriada de autenticação e autorização no FXOS por meio do ISE

    Diagrama de Rede

    212689-firepower-extensible-operating-system-f-00.png

    Configurações

    Configuração do chassi FXOS

    Criando um provedor de RADIUS usando o Gerenciador de chassis

    Etapa 1. Navegue até Platform Settings > AAA.

    Etapa 2. Clique na guia RADIUS.

    212689-firepower-extensible-operating-system-f-01.png

    Etapa 3. Para cada provedor RADIUS que você deseja adicionar (até 16 provedores).

                3.1. Na área Provedores de RADIUS, clique em Adicionar.

                3.2. Quando a caixa de diálogo Add RADIUS Provider abrir, insira os valores necessários.

                3.3. Clique em OK para fechar a caixa de diálogo Adicionar provedor RADIUS.

    212689-firepower-extensible-operating-system-f-02.png

    Etapa 4. Click Save.

    212689-firepower-extensible-operating-system-f-03.png

    Etapa 5. Navegue até Sistema > Gerenciamento de usuário > Configurações.

    Etapa 6. Em Default Authentication, escolha RADIUS.

    212689-firepower-extensible-operating-system-f-04.png

    Criando um provedor RADIUS usando CLI

    Etapa 1. Para habilitar a autenticação RADIUS, execute os seguintes comandos.

    fpr4120-TAC-A#scope security

    fpr4120-TAC-A /security # scope default-auth

    fpr4120-TAC-A /security/default-auth # set realm radius

    Etapa 2. Use o comando show detail para exibir os resultados.

    fpr4120-TAC-A /security/default-auth # show detail

    Autenticação padrão:

        Domínio do administrador: Radius

        Domínio operacional: Radius

        Período de atualização da sessão da Web (em segundos): 600

        Tempo limite da sessão (em segundos) para sessões web, ssh, telnet: 600

        Tempo limite absoluto da sessão (em segundos) para sessões web, ssh, telnet: 3600

        Tempo limite da sessão do console serial (em segundos): 600

        Tempo limite absoluto de sessão do console serial (em segundos): 3600

        Grupo de servidores de Autenticação de Administrador:

        Grupo de servidores de autenticação operacional:

        Utilização do segundo fator: Não

    Etapa 3. Para configurar os parâmetros do servidor RADIUS, execute os seguintes comandos.

    fpr4120-TAC-A#scope security

    fpr4120-TAC-A /security # scope radius

    fpr4120-TAC-A /security/radius # digite server 10.88.244.50

    fpr4120-TAC-A /security/radius/server # set descr "ISE Server"

    fpr4120-TAC-A /security/radius/server* # set key

    Digite a chave: ******

    Confirme a chave: ******

    Etapa 4. Use o comando show detail para exibir os resultados.

    fpr4120-TAC-A /security/radius/server* # show detail

    Servidor RADIUS:

        Nome de host, FQDN ou endereço IP: 10.88.244.50

        Descrição:

        Pedido: 1

        Porta de Autenticação: 1812

        Legenda: ****

        Tempo limite: 5

    Configuração do servidor ISE

    Adicionando o FXOS como um recurso de rede

    Etapa 1. Navegue até Administração > Recursos de rede > Dispositivos de rede.

    Etapa 2. Clique em Add

    212689-firepower-extensible-operating-system-f-05.png

    Etapa 3. Insira os valores necessários (Nome, Endereço IP, Tipo de dispositivo, RADIUS ativado e adicione a CHAVE) e clique em Enviar.

    212689-firepower-extensible-operating-system-f-06.png

    Criando os grupos de Identidade e Usuários

    Etapa 1. Navegue até Administração > Gerenciamento de identidades > Grupos > Grupos de identidades do usuário.

    Etapa 2. Clique em Add.

    212689-firepower-extensible-operating-system-f-07.png

    Etapa 3. Insira o valor para Nome e clique em Enviar.

    212689-firepower-extensible-operating-system-f-08.png

    Etapa 4. Repita a etapa 3 para todas as funções de usuário necessárias.

    212689-firepower-extensible-operating-system-f-09.png

    Etapa 5. Navegue até Administração > Gerenciamento de identidades > Identidade > Usuários.

    Etapa 6. Clique em Add.

    212689-firepower-extensible-operating-system-f-10.png

    Passo 7. Insira os valores necessários (Nome, Grupo de usuários, Senha).

    212689-firepower-extensible-operating-system-f-11.png

    Etapa 8. Repita a etapa 6 para todos os usuários necessários.

    212689-firepower-extensible-operating-system-f-12.png

    Criando o perfil de autorização para cada função de usuário

    Etapa 1. Navegue até Política > Elementos de política > Resultados > Autorização > Perfis de autorização.

    212689-firepower-extensible-operating-system-f-13.png

    Etapa 2. Preencha todos os atributos do Perfil de autorização.

            2.1. Configure o Nome do perfil.

    212689-firepower-extensible-operating-system-f-14.png

            2.2. Em Advanced Attributes Settings, configure o seguinte CISCO-AV-PAIR

    cisco-av-pair=shell:roles="admin"

    212689-firepower-extensible-operating-system-f-15.png

            2.3. Clique em Salvar.

    212689-firepower-extensible-operating-system-f-16.png

    Etapa 3. Repita a etapa 2 para as funções de usuário restantes usando os seguintes pares Cisco-AV

    cisco-av-pair=shell:roles="aaa"

    cisco-av-pair=shell:roles="operações"

    cisco-av-pair=shell:roles="somente leitura"

    212689-firepower-extensible-operating-system-f-17.png

    212689-firepower-extensible-operating-system-f-18.png212689-firepower-extensible-operating-system-f-19.png212689-firepower-extensible-operating-system-f-20.png

    Criando a política de autenticação

    Etapa 1. Navegue até Política > Autenticação > E clique na seta ao lado para editar onde deseja criar a regra.

    212689-firepower-extensible-operating-system-f-21.png

    Etapa 2. A configuração é simples; pode ser feita de forma mais granular, mas para este exemplo, usaremos o tipo de dispositivo:

    Nome: REGRA DE AUTENTICAÇÃO FXOS

    IF Selecionar novo atributo/valor: Dispositivo:Tipo de Dispositivo Igual a Todos os Tipos de Dispositivo #FXOS

    Permitir Protocolos: Acesso à rede padrão

    Uso: Usuários internos

    212689-firepower-extensible-operating-system-f-22.png

    Criando a Política de Autorização

    Etapa 1. Navegue até Política > Autorização > E clique na seta para editar onde deseja criar a regra.

    212689-firepower-extensible-operating-system-f-23.png

    Etapa 2. Informe os valores para a regra de Autorização com os parâmetros necessários.

            2.1. Nome da regra: Fxos <USER ROLE> Rule.

    212689-firepower-extensible-operating-system-f-24.png

            2.2. Se: User Identity Groups > Selecione <USER ROLE>.

    212689-firepower-extensible-operating-system-f-25.png

            2.3. AND: Criar nova condição > Dispositivo:O tipo de dispositivo é igual a Todos os tipos de dispositivos #FXOS.

    212689-firepower-extensible-operating-system-f-26.png

            2.4. Permissões: Padrão > Escolher o Perfil de Função do Usuário

    212689-firepower-extensible-operating-system-f-27.png

    212689-firepower-extensible-operating-system-f-28.png

    Etapa 3. Repita a etapa 2 para todas as funções de usuário.

    212689-firepower-extensible-operating-system-f-29.png

    Etapa 4. Clique em Salvar na parte inferior da página.

    212689-firepower-extensible-operating-system-f-30.png

    Verificar

    Agora você pode testar cada usuário e verificar a função de usuário atribuída.

    Verificação do chassi FXOS

    1. Faça Telnet ou SSH para o chassi FXOS e faça login usando qualquer um dos usuários criados no ISE.

    Nome de usuário: fxosadmin

    Senha:

    fpr4120-TAC-A# segurança de escopo

    fpr4120-TAC-A /security # show remote-user detail

    Usuário remoto fxosaaa:

        Descrição:

        Funções de usuário:

            Nome: aa

            Nome: somente leitura

    Usuário Remoto fxosadmin:

        Descrição:

        Funções de usuário:

            Nome: admin

            Nome: somente leitura

    Fxosoper do usuário remoto:

        Descrição:

        Funções de usuário:

            Nome: operações

            Nome: somente leitura

    Fxosro de usuário remoto:

        Descrição:

        Funções de usuário:

            Nome: somente leitura

    Dependendo do nome de usuário inserido, a cli do chassi FXOS exibirá apenas os comandos autorizados para a Função de usuário atribuída.

    Função de usuário Admin.

    fpr4120-TAC-A /número de segurança ?

      Acknowledge Acknowledge

      clear-user-sessions Limpar sessões do usuário

      criar Criar objetos gerenciados

      excluir Excluir objetos gerenciados

      disable Desabilita serviços

      enable Habilita serviços

      enter Insere um objeto gerenciado

      scope Altera o modo atual

      set Define valores de propriedade

      show Mostra informações do sistema

      terminar sessões cimc ativas

    fpr4120-TAC-A#connect fxos

    fpr4120-TAC-A (fxos)#debug aaa aaa-requests

    fpr4120-TAC-A (fxos)#

    Função de usuário somente leitura.

    fpr4120-TAC-A /número de segurança ?

      scope Altera o modo atual

      set Define valores de propriedade

      show Mostra informações do sistema

    fpr4120-TAC-A#connect fxos

    fpr4120-TAC-A (fxos)#debug aaa aaa-requests

    % Permissão negada para a função

    1. Navegue até o endereço IP do chassi FXOS e faça login usando qualquer um dos usuários criados no ISE.

    Função de usuário Admin.

    212689-firepower-extensible-operating-system-f-31.png

    Função de usuário somente leitura.

    212689-firepower-extensible-operating-system-f-32.png

    Observação: observe que o botão ADD está esmaecido. 

    Verificação do ISE 2.0

    1. Navegue até Operations > RADIUS > Live logs. Você deve ser capaz de ver tentativas bem-sucedidas e falhas.

    212689-firepower-extensible-operating-system-f-33.png

    Troubleshooting

    Para depurar a autenticação e autorização AAA, execute os seguintes comandos na cli FXOS.

    fpr4120-TAC-A#connect fxos

    fpr4120-TAC-A (fxos)#debug aaa aaa-requests

    fpr4120-TAC-A (fxos)#debug aaa event

    fpr4120-TAC-A (fxos)#debug aaa errors

    fpr4120-TAC-A (fxos)#term mon

    Após uma tentativa de autenticação bem-sucedida, você verá a seguinte saída.

    20 Jan 20 17:18:02.410275 aaa: aaa_req_process para autenticação. session no 0

    2018 Jan 20 17:18:02.410297 aaa: aaa_req_process: Solicitação geral de AAA do appln: login appln_subtype: default

    20 de janeiro de 2018 17:18:02.410310 aaa: try_next_aaa_method

    2018 Jan 20 17:18:02.410330 aaa: o total de métodos configurados é 1, o índice atual a ser tentado é 0

    20 de janeiro de 2018 17:18:02.410344 aaa: handle_req_using_method

    20 de janeiro de 2018 17:18:02.410356 aaa: AAA_METHOD_SERVER_GROUP

    20 de janeiro de 2018 17:18:02.410367 aaa: aaa_sg_method_handler group = radius

    2018 Jan 20 17:18:02.410379 aaa: Usando sg_protocol que é passado para esta função

    2018 Jan 20 17:18:02.410393 aaa: Enviando solicitação para o serviço RADIUS

    20 de janeiro de 2018 17:18:02.412944 aaa: mts_send_msg_to_prot_daemon: Comprimento da Carga = 374

    20 de janeiro de 2018 17:18:02.412973 aaa: session: 0x8dfd68c adicionado à tabela session 1

    2018 Jan 20 17:18:02.412987 aaa: Grupo de método configurado com êxito

    20 de janeiro de 2018 17:18:02.656425 aaa: aaa_process_fd_set

    20 de janeiro de 2018 17:18:02.656447 aaa: aaa_process_fd_set: mtscallback em aaa_q

    20 de janeiro de 2018 17:18:02.656470 aaa: mts_message_response_handler: uma resposta mts

    20 Jan 20 17:18:02.656483 aaa: prot_daemon_reponse_handler

    20 de janeiro de 2018 17:18:02.656497 aaa: session: 0x8dfd68c removed from the session table 0

    20 de janeiro de 2018 17:18:02.656512 aaa: is_aaa_resp_status_success status = 1

    20 de janeiro de 2018 17:18:02.656525 aaa: is_aaa_resp_status_success is TRUE

    20 de janeiro de 2018 17:18:02.656538 aaa: aaa_send_client_response para authentication. session->flags=21. aaa_resp->flags=0.

    20 de janeiro de 2018 17:18:02.656550 aaa: AAA_REQ_FLAG_NORMAL 

    20 de janeiro de 2018 17:18:02.656577 aaa: mts_send_response Bem-sucedido

    20 de janeiro de 2018 17:18:02.700520 aaa: aaa_process_fd_set: mtscallback em aaa_accounting_q

    20 de janeiro de 2018 17:18:02.700688 aaa: ANTIGO OPCODE: accounting_interim_update

    2018 Jan 20 17:18:02.700702 aaa: aaa_create_local_acct_req: user=, session_id=, log=adicionado usuário fxosro 

    20 de janeiro de 2018 17:18:02.700725 aaa: aaa_req_process para contabilidade. sessão nº 0

    20 de janeiro de 2018 17:18:02.700738 aaa: a referência da solicitação MTS é NULL. solicitação LOCAL

    2018 Jan 20 17:18:02.700749 aaa: Definindo AAA_REQ_RESPONSE_NOT_NEEDED

    2018 Jan 20 17:18:02.700762 aaa: aaa_req_process: Solicitação geral de AAA do appln: subtipo de appln padrão: default

    20 de janeiro de 2018 17:18:02.700774 aaa: try_next_aaa_method

    2018 Jan 20 17:18:02.700798 aaa: nenhum método configurado para padrão

    2018 Jan 20 17:18:02.700810 aaa: nenhuma configuração disponível para esta solicitação

    2018 Jan 20 17:18:02.700997 aaa: aaa_send_client_response para accounting. session->flags=254. aaa_resp->flags=0.

    2018 Jan 20 17:18:02.701010 aaa: a resposta para a solicitação de contabilidade da biblioteca antiga será enviada como SUCESSO

    20 de janeiro de 2018 17:18:02.701021 aaa: resposta não necessária para esta solicitação

    20 Jan 20 17:18:02.701033 aaa: AAA_REQ_FLAG_LOCAL_RESP 

    20 de janeiro de 2018 17:18:02.701044 aaa: aaa_cleanup_session

    20 de janeiro de 2018 17:18:02.701055 aaa: aaa_req deve ser liberado. 

    20 de janeiro de 2018 17:18:02.701067 aaa: Método de recuo local bem-sucedido

    20 de janeiro de 2018 17:18:02.706922 aaa: aaa_process_fd_set

    20 de janeiro de 2018 17:18:02.706937 aaa: aaa_process_fd_set: mtscallback em aaa_accounting_q

    20 de janeiro de 2018 17:18:02.706959 aaa: ANTIGO OPCODE: accounting_interim_update

    2018 Jan 20 17:18:02.706972 aaa: aaa_create_local_acct_req: user=, session_id=, log=adicionado user:fxosro à função:somente leitura 

    Após uma tentativa de autenticação com falha, você verá a seguinte saída.

    20 de janeiro de 2018 17:15:18.102130 aaa: aaa_process_fd_set

    20 de janeiro de 2018 17:15:18.102149 aaa: aaa_process_fd_set: mtscallback em aaa_q

    20 de janeiro de 2018 17:15:18.102267 aaa: aaa_process_fd_set

    20 de janeiro de 2018 17:15:18.102281 aaa: aaa_process_fd_set: mtscallback em aaa_q

    20 de janeiro de 2018 17:15:18.102363 aaa: aaa_process_fd_set

    20 de janeiro de 2018 17:15:18.102377 aaa: aaa_process_fd_set: mtscallback em aaa_q

    20 de janeiro de 2018 17:15:18.102456 aaa: aaa_process_fd_set

    20 de janeiro de 2018 17:15:18.102468 aaa: aaa_process_fd_set: mtscallback em aaa_q

    20 de janeiro de 2018 17:15:18.102489 aaa: mts_aaa_req_process

    20 Jan 20 17:15:18.102503 aaa: aaa_req_process para autenticação. session no 0

    2018 Jan 20 17:15:18.102526 aaa: aaa_req_process: Solicitação geral AAA do appln: login appln_subtype: default

    20 de janeiro de 2018 17:15:18.102540 aaa: try_next_aaa_method

    2018 Jan 20 17:15:18.102562 aaa: o total de métodos configurados é 1, o índice atual a ser tentado é 0

    20 de janeiro de 2018 17:15:18.102575 aaa: handle_req_using_method

    20 de janeiro de 2018 17:15:18.102586 aaa: AAA_METHOD_SERVER_GROUP

    20 de janeiro de 2018 17:15:18.102598 aaa: aaa_sg_method_handler group = radius

    2018 Jan 20 17:15:18.102610 aaa: Usando sg_protocol que é passado para esta função

    20 de janeiro de 2018 17:15:18.102625 aaa: Enviando solicitação ao serviço RADIUS

    20 de janeiro de 2018 17:15:18.102658 aaa: mts_send_msg_to_prot_daemon: Comprimento da Carga = 371

    20 de janeiro de 2018 17:15:18.102684 aaa: session: 0x8dfd68c adicionado à tabela session 1

    2018 Jan 20 17:15:18.102698 aaa: Grupo de método configurado com êxito

    20 de janeiro de 2018 17:15:18.273682 aaa: aaa_process_fd_set

    20 de janeiro de 2018 17:15:18.273724 aaa: aaa_process_fd_set: mtscallback em aaa_q

    20 de janeiro de 2018 17:15:18.273753 aaa: mts_message_response_handler: an mts response

    20 Jan 20 17:15:18.273768 aaa: prot_daemon_reponse_handler

    20 de janeiro de 2018 17:15:18.273783 aaa: session: 0x8dfd68c removed from the session table 0

    20 de janeiro de 2018 17:15:18.273801 aaa: is_aaa_resp_status_success status = 2

    20 de janeiro de 2018 17:15:18.273815 aaa: is_aaa_resp_status_success is TRUE

    20 de janeiro de 2018 17:15:18.273829 aaa: aaa_send_client_response para authentication. session->flags=21. aaa_resp->flags=0.

    20 de janeiro de 2018 17:15:18.273843 aaa: AAA_REQ_FLAG_NORMAL 

    20 de janeiro de 2018 17:15:18.273877 aaa: mts_send_response Bem-sucedido

    20 de janeiro de 2018 17:15:18.273902 aaa: aaa_cleanup_session

    2018 Jan 20 17:15:18.273916 aaa: mts_drop da mensagem de solicitação

    20 de janeiro de 2018 17:15:18.273935 aaa: aaa_req deve ser liberado. 

    20 de janeiro de 2018 17:15:18.280416 aaa: aaa_process_fd_set

    20 de janeiro de 2018 17:15:18.280443 aaa: aaa_process_fd_set: mtscallback em aaa_q

    20 de janeiro de 2018 17:15:18.280454 aaa: aaa_enable_info_config: GET_REQ para aaa mensagem de erro de login

    20 de janeiro de 2018 17:15:18.280460 aaa: retomou o valor de retorno da operação de configuração:item de segurança desconhecido

    Informações Relacionadas

    O comando Ethanalyzer no FX-OS cli solicitará uma senha quando a autenticação TACACS/RADIUS estiver habilitada. Este comportamento é causado por um bug.

    ID do erro: CSCvg87518

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    22-Jan-2018
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Tony Remirez Harfuch
      TAC
    • Jose Soto Nolasco
      TAC
    • Ezequiel Tlecuitl
      TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos