Segurança : Cisco Secure Access Control Server para Windows

Exemplo de Configuração de Conjuntos de Autorização de Comandos do Shell no ACS no IOS e no ASA/PIX

17 Julho 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (12 Outubro 2007) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
Conjuntos de Autorização de Comandos
Adição de um Conjunto de Autorização de Comandos do Shell
      Cenário 1: Privilégio para Acesso Leitura-Gravação ou Acesso Total
      Cenário 2: Privilégio para Acesso Somente Leitura
      Cenário 3: Privilégio para Acesso Restrito
Associação do Conjunto de Autorização de Comandos do Shell a um Grupo de Usuários
      Associação do Conjunto de Autorização de Comandos do Shell (ReadWrite Access) a um Grupo de Usuários (Admin Group)
      Associação do Conjunto de Autorização de Comandos do Shell (ReadOnly Access) a um Grupo de Usuários (Read-Only Group)
Associação do Conjunto de Autorização de Comandos do Shell (Restrict_access) a Usuário
Configuração do IOS Router
Configuração do ASA/PIX
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento descreve como configurar os conjuntos de autorização do shell no Cisco Secure Access Control Server (ACS) para clientes AAA, como switches ou roteadores IOS e os Cisco Security Appliances (ASA e PIX) com TACACS+ como o protocolo de autorização.

Pré-requisitos

Requisitos

Este documento pressupõe que as configurações básicas estejam definidas em ambos os clientes AAA e ACS.

No ACS, escolha Interface Configuration > Advanced Options e certifique-se de que a caixa de seleção Per-user TACACS+/RADIUS Attributes esteja marcada.

Componentes Utilizados

As informações neste documento são baseadas no Cisco Secure Access Control Server (ACS) com a versão 3.3 ou posterior do software.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Conjuntos de Autorização de Comandos

Os conjuntos de autorização de comandos fornecem um mecanismo central para controlar a autorização de cada comando emitido em um dispositivo de rede específico. Este recurso aumenta expressivamente a escalabilidade e a capacidade de gerenciamento necessárias para definir restrições de autorização.

No ACS, os conjuntos de autorização de comandos padrão incluem os Conjuntos de Autorização de Comandos do Shell e os conjuntos de Autorização de Comandos do PIX. Os aplicativos de gerenciamento de dispositivos da Cisco, como o CiscoWorks Management Center for Firewalls, podem instruir o ACS a oferecer suporte a tipos de conjuntos de autorização de comandos adicionais.

Nota: Os Conjuntos de Autorização de Comandos do PIX exigem que a solicitação de autorização de comandos TACACS+ identifique o serviço como pixshell. Verifique se este serviço foi implementado na versão do PIX OS que o seu firewall usa. Em caso negativo, use os Conjuntos de Autorização de Comandos do Shell para executar a autorização de comandos para os dispositivos PIX. Consulte Configurando um Conjunto de Autorização de Comandos para um Grupo de Usuários para obter mais informações.

Nota: A partir do PIX OS versão 6.3, o serviço pixshell não é mais implementado.

Para oferecer mais controle sobre as sessões administrativas de Telnet hospedadas em dispositivos, um dispositivo de rede que usa TACACS+ pode solicitar autorização para cada linha de comando antes que ela seja executada. Você pode definir um conjunto de comandos para os quais a execução é permitida ou negada por um usuário ou dispositivo específico. O ACS aprimorou ainda mais esta funcionalidade com estes recursos:

  • Reusable Named Command Authorization Sets — Sem citar diretamente qualquer usuário ou grupo de usuários, você pode criar um conjunto nomeado de autorizações de comandos. Você pode definir conjuntos de autorização de comandos que delineiam diferentes perfis de acesso. Por exemplo:

    • Um conjunto de autorização de comandos Suporte técnico poderia permitir acesso a comandos de navegação de alto nível, como show run, e negar qualquer comando de configuração.

    • Um conjunto de autorização de comandos Todos os engenheiros de rede poderia conter uma uma lista limitada de comandos permitidos para qualquer engenheiro de rede na corporação.

    • Um conjunto de autorização de comandos Engenheiros de rede local poderia permitir todos os comandos (e incluir comandos de configuração de endereço IP).

  • Fine Configuration Granularity — Você pode criar associações entre conjuntos de autorização de comandos nomeados e grupos de dispositivos de rede (NDGs). Portanto, você pode definir diferentes perfis de acesso para os usuários dependendo dos dispositivos de rede que eles acessam. Você pode associar o mesmo conjunto de autorização de comandos nomeado a mais de um NDG e usá-lo para mais de um grupo de usuários. O ACS impõe a integridade de dados. Os conjuntos de autorização de comandos nomeados são mantidos no banco de dados interno do ACS. Você pode usar os recursos Backup e Restore do ACS para fazer backup e restaurá-los. Você também pode replicar os conjuntos de autorização de comandos para ACSs secundários junto com outros dados de configuração.

Para tipos de conjuntos de autorização de comandos que oferecem suporte aos aplicativos de gerenciamento de dispositivos da Cisco, os benefícios são semelhantes quando você usa os conjuntos de autorização de comandos. Você pode aplicar conjuntos de autorização de comandos a grupos do ACS que contenham usuários do aplicativo de gerenciamento de dispositivos para impor a autorização de vários privilégios em um aplicativo de gerenciamento de dispositivos. Os grupos do ACS podem corresponder a diferentes funções no aplicativo de gerenciamento de dispositivos e você pode aplicar vários conjuntos de autorização de comandos a cada grupo, conforme aplicável.

O ACS possui três estágios seqüenciais de filtragem de autorização de comandos. Cada solicitação de autorização de comando é avaliada na ordem listada:

  1. Command Match — O ACS determina se o comando processado corresponde a um comando listado em um conjunto de autorização de comandos. Se não houver uma correspondência para o comando, a sua autorização será determinada pela configuração de Unmatched Commands: permit ou deny Caso contrário, se houver uma correspondência para o comando, a avaliação continuará.

  2. Argument Match — O ACS determina se os argumentos de comando apresentados correspondem aos argumentos de comando listados em um conjunto de autorização de comandos.

    • Se não houver correspondência para algum argumento, a autorização do comando será determinada com base no status de ativação da opção Permit Unmatched Args. Se argumentos sem correspondência forem permitidos, o comando será autorizado e a avaliação será encerrada. Caso contrário, o comando não será autorizado e a avaliação será encerrada.

    • Se houver correspondências para todos os argumentos, a avaliação continuará.

  3. Argument Policy — Uma vez que o ACS determine que os argumentos no comando correspondem aos argumentos no conjunto de autorização de comandos, o ACS determinará se cada argumento de comando é explicitamente permitido. Se todos os argumentos forem explicitamente permitidos, o ACS concederá a autorização do comando. Se algum argumento não for permitido, o ACS negará a autorização do comando.

Adição de um Conjunto de Autorização de Comandos do Shell

Esta seção inclui estes cenários que descrevem como adicionar um conjunto de autorização de comandos:

Nota: Consulte a seção Adicionando um Conjunto de Autorização de Comandos do Guia do Usuário para o Cisco Secure Access Control Server 4.1 para obter mais informações sobre como criar conjuntos de autorização de comandos. Consulte Editando um Conjunto de Autorização de Comandos e Excluindo um Conjunto de Autorização de Comandos para obter mais informações sobre como editar e excluir conjuntos de autorização de comandos.

Cenário 1: Privilégio para Acesso Leitura-Gravação ou Acesso Total

Nestes cenários, o acesso leitura-gravação (ou total) é concedido aos usuários.

Na área Shell Command Authorization Set da janela Shared Profile Components, defina estas configurações:

  1. No campo Name, insira ReadWriteAccess como o nome do conjunto de autorização de comandos.

  2. No campo Description, insira uma descrição para o conjunto de autorização de comandos.

  3. Clique no botão de opção Permit e, em seguida, clique em Submit.

acs_shell_auth01.gif

Cenário 2: Privilégio para Acesso Somente Leitura

Nestes cenários, os usuários poderão usar somente os comandos show.

Na área Shell Command Authorization Set da janela Shared Profile Components, defina estas configurações:

  1. No campo Name, insira ReadOnlyAccess como o nome do conjunto de autorização de comandos.

  2. No campo Description, insira uma descrição para o conjunto de autorização de comandos.

  3. Clique no botão de opção Deny.

  4. Insira o comando show no campo acima do botão Add Command e clique em Add Command.

  5. Marque a caixa de seleção Permit Unmatched Args e clique em Submit.

acs_shell_auth02.gif

Cenário 3: Privilégio para Acesso Restrito

Neste cenário, os usuários poderão usar os comandos seletivos.

Na área Shell Command Authorization Set da janela Shared Profile Components, defina estas configurações:

  1. No campo Name, insira Restrict_access como o nome do conjunto de autorização de comandos.

  2. Clique no botão de opção Deny.

  3. Insira os comandos que deseja permitir nos clientes AAA.

    1. No campo localizado acima do botão Add Command, insira o comando show e clique em Add Command.

      acs_shell_auth11.gif

    2. Insira o comando configure e clique em Add Command.

    3. Selecione o comando configure e insira permit terminal no campo à direita.

      acs_shell_auth12.gif

    4. Insira o comando interface e clique em Add Command.

    5. Selecione o comando interface e insira permit Ethernet no campo à direita.

      acs_shell_auth13.gif

    6. Insira o comando ethernet e clique em Add Command.

    7. Selecione o comando interface e insira permit timeout, permit bandwidth e permit description no campo à direita.

      acs_shell_auth14.gif

    8. Insira o comando bandwidth e clique em Add Command.

      acs_shell_auth15.gif

    9. Insira o comando timeout e clique em Add Command.

      acs_shell_auth17.gif

    10. Insira o comando description e clique em Add Command.

      acs_shell_auth16.gif

  4. Clique em Submit.

Associação do Conjunto de Autorização de Comandos do Shell a um Grupo de Usuários

Consulte a seção Configurando um Conjunto de Autorização de Comandos do Shell para um Grupo de Usuários do Guia do Usuário para o Cisco Secure Access Control Server 4.1 para obter mais informações sobre como configurar o conjunto de autorização de comandos do shell para grupos de usuários.

Associação do Conjunto de Autorização de Comandos (ReadWrite Access) a um Grupo de Usuários (Admin Group)

  1. Na janela do ACS, clique em Group Setup e escolha Admin Group na lista suspensa Group.

    acs_shell_auth03.gif

  2. Clique em Edit Settings.

  3. Na lista suspensa Jump To, escolha Enable Options.

  4. Na área Enable Options, clique no botão de opção Max Privilege for any AAA client e escolha Level 15 na lista suspensa.

    acs_shell_auth04.gif

  5. Na lista suspensa Jump To, escolha TACACS+.

  6. Na área TACACS+ Settings, marque a caixa de seleção Shell (exec), marque a caixa de seleção Privilege level e insira 15 no campo Privilege level.

    acs_shell_auth05.gif

  7. Na área Shell Command Authorization Set, clique no botão de opção Assign a Shell Command Authorization Set for any network device e escolha ReadWriteAccess na lista suspensa.

    acs_shell_auth06.gif

  8. Clique em Submit.

Associação do Conjunto de Autorização de Comandos do Shell (ReadOnly Access) a um Grupo de Usuários (Read-Only Group)

  1. Na janela do ACS, clique em Group Setup e escolha Read-Only Group na lista suspensa Group.

    acs_shell_auth07.gif

  2. Clique em Edit Settings.

  3. Na lista suspensa Jump To, escolha Enable Options.

  4. Na área Enable Options, clique no botão de opção Max Privilege for any AAA client e escolha Level 1 na lista suspensa.

    acs_shell_auth08.gif

  5. Na área TACACS+ Settings, marque a caixa de seleção Shell (exec), marque a caixa de seleção Privilege level e insira 1 no campo Privilege level.

    acs_shell_auth09.gif

  6. Na área Shell Command Authorization Set, clique no botão de opção Assign a Shell Command Authorization Set for any network device e escolha ReadOnlyAccess na lista suspensa.

    acs_shell_auth10.gif

  7. Clique em Submit.

Associação do Conjunto de Autorização de Comandos do Shell (Restrict_access) a Usuário

Consulte a seção Configurando um Conjunto de Autorização de Comandos do Shell para um Usuário do Guia do Usuário para o Cisco Secure Access Control Server 4.1 para obter mais informações sobre como configurar o conjunto de autorização de comandos do shell para os usuários.

Nota: As configurações de usuário têm precedência sobre as configurações de grupo no ACS, isto é, se o usuário possuir um conjunto de autorização de comandos nas configurações de usuário, ele terá precedência sobre as configurações de grupo.

  1. Clique em User Setup > Add/Edit para criar um novo usuário chamado Admin_user para fazer parte do grupo Admin.

    acs_shell_auth18.gif

  2. A partir do grupo ao qual o usuário está atribuído na lista suspensa, escolha Admin Group.

    acs_shell_auth19.gif

  3. Na área Shell Command Authorization Set, clique no botão de opção Assign a Shell Command Authorization Set for any network device e escolha Restrict_access na lista suspensa.

    Nota: Neste cenário, este usuário será parte do grupo Admin. O conjunto de autorização do shell Restrict_access é aplicável; o conjunto de autorização do shell ReadWrite Access não é aplicável.

    acs_shell_auth20.gif

    Nota: Na seção TACACS+ (Cisco) da área Interface Configuration, certifique-se de que a opção Shell (exec) esteja selecionada na coluna User.

Configuração do IOS Router

Além da configuração predefinida, estes comandos são necessários em um switch ou roteador IOS para implementar a autorização de comandos através do servidor ACS:

aaa new-model
aaa authorization config-commands
aaa authorization commands 0 default  group tacacs+ local
aaa authorization commands 1 default  group tacacs+ local
aaa authorization commands 15 default group tacacs+ local
tacacs-server host 10.1.1.1
tacacs-server key cisco123

Configuração do ASA/PIX

Além da configuração predefinida, estes comandos são necessários no ASA/PIX para implementar a autorização de comandos através do servidor ACS:

aaa-server authserver protocol tacacs+
aaa-server authserver host 10.1.1.1
aaa authorization command authserver

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 99361