Segurança : Cisco Secure Access Control Server para Unix

Configurando e depurando o CiscoSecure 2.x TACACS+

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento é pretendido ajudar a primeira vez ao usuário 2.x seguro de Cisco na instalação e na eliminação de erros de uma configuração segura de Cisco TACACS+. Não é uma descrição exaustiva de capacidades seguras de Cisco.

Refira sua documentação segura de Cisco para informações mais completas sobre do software do server e da instalação de usuário. Refira a documentação do Cisco IOS Software para a liberação apropriada para obter mais informações sobre dos comandos router.

Pré-requisitos

Requisitos

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco Secure ACS 2.x e mais tarde

  • Software Release 11.3.3 e Mais Recente do½ do¿Â do Cisco IOSïÂ

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurando o Cisco Secure

Conclua estes passos:

  1. Certifique-se que você usa as instruções que vieram com o software a fim instalar o código seguro de Cisco no servidor Unix.

  2. A fim confirmar que o produto para e começos, entre no CD a /etc/rc0.d e como a raiz, executam ./K80Cisco seguro (para parar os demônios).

    Entre no CD a /etc/rc2.d e como a raiz, executam ./S80Cisco seguro (para começar os demônios).

    Na partida, você deve ver mensagens como:

    Cisco Secure starting Processes: Fast Track Admin, FastTrack Server (Delayed Start), DBServer, AAA Server

    Execute $BASE/utils/psg em ordem para ter certeza pelo menos uma de cada um dos processos individuais é executado, por exemplo, o SQLAnywhere ou um outro motor de base de dados, Cisco fixam o processo de servidor de base de dados, o servidor de Web de Netscape, o Netscape Web Admin, o processo seguro do servidor de Web do Acme, do Cisco AAA, ou o auto processo do reinício.

  3. A fim assegurá-lo esteja nos diretórios apropriados, estabelece variáveis ambientais e trajetos em seu ambiente shell. o c-shell é usado aqui.

    O $BASE é o diretório onde Cisco se fixa é instalado, escolhido durante a instalação. Contém diretórios como o DOCS, DBServer, CSU, e assim por diante.

    Neste exemplo, a instalação em /opt/CSCOacs é suposta, mas esta pode diferir em seu sistema:

    setenv $BASE   /opt/CSCOacs

    O $SQLANY é o diretório onde o base de dados seguro de Cisco do padrão é instalado, escolhido durante a instalação. Se o base de dados do padrão que vem com o produto, SQLAnywhere, foi usado, contém diretórios como o base de dados, doc, e assim por diante.

    Neste exemplo, a instalação em /opt/CSCOacs/SYBSsa50 é suposta, mas esta pode diferir em seu sistema.

    setenv $SQLANY /opt/CSCOacs/SYBSsa50

    Adicionar trajetos em seu ambiente shell a:

    $BASE/utils
    $BASE/bin
    $BASE/CSU
    $BASE/ns-home/admserv
    $BASE/Ns-home/bin/httpd
    $SQLANY/bin
  4. CD a $BASE/config

    O CSU.cfg é o controle-arquivo do servidor seguro Cisco. Faça uma cópia de segurança deste arquivo.

    Neste arquivo, ALISTE o config_license_key mostra a chave de licença que você recebeu com o processo de licenciamento se você comprou o software; se esta é uma licença de teste 4-port, você pode deixar para fora esta linha.

    A seção do config_nas_config NAS pode conter um servidor de acesso da rede padrão (NAS) ou o roteador, ou o NAS que você entrou durante a instalação. Para propósitos de debugging neste exemplo, você pode permitir que todo o NAS comunique-se com o servidor seguro Cisco sem uma chave. Por exemplo, remova o nome do NAS e a chave das linhas que contêm o nome/* NAS pode ir aqui *” e/*NAS/Cisco fixam a chave secreta *. A única estância nessa área lê:

    NAS config_nas_config = {
      {
        "",         /* NAS name can go here */
        "",             /* NAS/Cisco Secure secret key */
        "",                        /* message_catalogue_filename */
        1,                         /* username retries */
        2,                         /* password retries */
        1                          /* trusted NAS for SENDPASS */
      }
    };
    
    AUTHEN config_external_authen_symbols = {

    Quando você faz este, você diz Cisco seguro que está permitido falar com todos os NAS sem a troca das chaves.

  5. Se você deseja mandar a informação sobre debugging ir a /var/log/csuslog, você precisa de ter uma linha na seção superior do CSU.cfg, que diz ao server quanto eliminação de erros a fazer. 0X7FFFFFFF adiciona toda a eliminação de erros possível. Adicionar ou altere esta linha em conformidade:

    NUMBER config_logging_configuration = 0x7FFFFFFF;

    Esta linha adicional envia a informação sobre debugging a local0:

    NUMBER config_system_logging_level = 0x80;

    Também, adicionar esta entrada a fim alterar o arquivo de /etc/syslog.conf:

    local0.debug /var/log/csuslog

    Recicle então o syslogd para reler:

    kill -HUP `cat /etc/syslog.pid`

    Recicle o servidor seguro Cisco:

    /etc/rc0.d/K80Cisco Secure
    /etc/rc2.d/S80Cisco Secure

    Deve ainda começar.

  6. Você pode querer usar o navegador para adicionar usuários, grupos, e assim por diante, ou o utilitário CSimport. Os usuários da amostra no arquivo plano na extremidade deste documento podem facilmente ser movidos no base de dados usando o CSimport. Estes usuários trabalharão para propósitos de teste e você pode suprimir d uma vez que você obtém seus próprios usuários dentro. Uma vez que importado lhe pode ver os usuários importados com o GUI.

    Se você decide usar o CSimport:

    CD $BASE/utils

    Põe o usuário e os perfis de grupo na extremidade deste documento em um arquivo tal como em qualquer lugar sobre o sistema, a seguir do diretório $BASE/utils, com os demônios executar, por exemplo, /etc/rc2.d/S80Cisco seguro, e como a raiz de usuário, executa o CSimport com a opção do teste (- t):

    ./CSimport -t -p <path_to_file> -s <name_of_file>

    Isto testa a sintaxe para os usuários; você deve receber mensagens como:

    Secure config home directory is: /opt/CSCOacs/config/CSConfig.ini
    hostname = berry and port = 9900 and clientid = 100
    /home/ddunlap/csecure/upgrade.log exists, do you want to write over 'yes' or 'no' ?
    yes
    Sorting profiles...
    Done sorting 21 profiles!
    Running the database import test...

    Você não deve receber mensagens como:

    Error at line 2: password = "adminusr"
    Couldn't repair and continue parse

    Mesmo se havia uns erros, examine upgrade.log a fim certificar-se dos perfis verificados para fora. Uma vez que os erros estão corrigidos, do diretório $BASE/utils, com os demônios que são executado (/etc/rc2.d/S80Cisco se fixam), e como a raiz de usuário, execute o CSimport com a opção comprometer (- c) para mover os usuários no base de dados:

    ./CSimport -c -p <path_to_file> -s <name_of_file>

    Além disso, não deve haver uns erros na tela ou em upgrade.log.

  7. Os navegadores suportados são alistados no dica técnica seguro da compatibilidade de Cisco. De seu navegador PC, ponto a Cisco seguro/caixa Solaris http://#. #.#.#/cs onde #.#.#.# é o IP de Cisco seguro/servidor solaris.

    Na tela que aparece, porque o usuário inscreve o superuser e para a senha, entre no changeme. Não mude a senha neste momento. Você deve ver os usuários/grupos adicionados se você usa o CSimport na etapa precedente ou você pode clicar o bloco da consultação fora e manualmente adicionar usuários e grupos com o GUI.

Configurando a autenticação

Nota: Esta configuração de roteador foi desenvolvida em um roteador que executasse o Cisco IOS Software Release 11.3.3. O Cisco IOS Software Release 12.0.5.T e Mais Recente mostra tacacs do grupo em vez dos tacacs.

Neste momento, configurar o roteador.

  1. Mate Cisco seguro quando você configurar o roteador.

    /etc/rc0.d/K80Cisco Secure to stop the daemons.
  2. No roteador, comece configurar o TACACS+. Incorpore o modo enable e o tipo conf t antes do comando set. Esta sintaxe assegura-se de que você não esteja travado fora do roteador que fornece inicialmente Cisco se fixe não esteja sendo executado. Entre no ps - ef | o grep seguro a fim verificar para certificar-se de Cisco fixar-se não está sendo executado, e kill -9 o processo se é:

    
    !--- Turn on TACACS+
    
    aaa new-model
    enable password whatever
    
    !--- These are lists of authentication methods,
    !--- that is, vtymethod and conmethod are
    !--- names of lists, and the methods listed on the 
    !--- same lines are the methods in the order to be 
    !--- tried. As used here, if authentication
    !--- fails due to Cisco Secure not being started, 
    !--- the enable password is accepted 
    !--- because it is in each list.
    
    aaa authentication login vtymethod tacacs+ enable
    aaa authentication login conmethod tacacs+ enable
    
    !--- Point the router to the server, that is, 
    !--- #.#.#.# is the server IP address.
    
    tacacs-server host #.#.#.#
    line con 0
        password whatever
        
    !--- No time-out to prevent being locked out 
        !--- during debugging.
    
        exec-timeout 0 0
        login authentication conmethod
    line vty 0 4
        password whatever
        
    !--- No time-out to prevent being locked out 
        !--- during debugging.
    
        exec-timeout 0 0
        login authentication vtymethod
  3. Teste para ter certeza você pode ainda alcançar o roteador com telnet e através da porta de Console antes que você continue. Porque Cisco se fixa não está sendo executado, a senha da possibilidade deve ser aceitado.

    cuidado Cuidado: Mantenha a sessão de porta de Console ativa e permaneça no modo enable; esta sessão não deve cronometrar para fora. Você começa limitar neste momento o acesso ao roteador e você precisa de poder fazer alterações de configuração sem travar-se para fora.

    Emita estes comandos a fim ver a interação de servidor a roteador no roteador:

    terminal monitor
    debug aaa authentication
  4. Como a raiz, enfie Cisco seguro no server:

    /etc/rc2.d/S80Cisco Secure

    Isto começa os processos, mas você quer permitir mais eliminação de erros do que é configurado em S80Cisco seguro, assim:

    ps -ef | grep Cisco Secure
    kill -9 <pid_of CS_process>
    
    CD $BASE/CSU
    ./Cisco Secure -cx -f $BASE/config/CSU.cfg to start the Cisco Secure process with debugging

    Com - a opção x, corridas seguras de Cisco no primeiro plano assim que roteador à interação do server pode ser observada. Você não deve ver Mensagens de Erro. O processo seguro Cisco deve começar e pendurar lá devido - à opção x.

  5. De um outro indicador, verifique para ter certeza seguro de Cisco começado. Entre no ps - ef e procure o processo seguro Cisco.

  6. Os usuários (vty) do telnet devem agora ter que autenticar através de Cisco seguro. Com debugar no roteador, telnet no roteador de outro parte da rede. O roteador deve produzir uma alerta do nome de usuário e senha. Você deve poder alcançar o roteador com estes USER-identificação/combinações de senha:

    adminusr/adminusr
    operator/oper
    desusr/encrypt

    Olhe o server e o roteador onde você deve ver a interação, isto é, o que é enviada onde, respostas, e pedidos, e assim por diante. Corrija todos os problemas antes que você continue.

  7. Se você igualmente quer para que seus usuários autentiquem através de Cisco seguro para obter no modo enable, certifique-se que sua sessão de porta de Console é ainda active e se adicionar deste comando ao roteador:

    
    !--- For enable mode, list 'default' looks to Cisco Secure
    !--- then enable password if Cisco Secure is not running.
    
    aaa authentication enable default tacacs+ enable
  8. Você deve agora ter que permitir através de Cisco seguro. Com debugar no roteador, telnet no roteador de outro parte da rede. Quando o roteador pede o username/senha responda com operador/operação.

    Quando o operador do usuário tentar incorporar o modo enable (nível de privilégio 15), a senha “Cisco” está exigida. Outros usuários não poderão incorporar o modo enable sem a indicação do nível de privilégio (ou o demônio seguro de Cisco para baixo).

    Olhe o server e o roteador onde você deve ver a interação segura de Cisco, por exemplo, o que está sendo enviada onde, respostas, e pedidos, e assim por diante. Corrija todos os problemas antes de continuar.

  9. Derrube o processo seguro Cisco no server quando ainda conectado à porta de Console para ter certeza que seus usuários podem ainda alcançar o roteador se Cisco se fixa está para baixo:

    'ps -ef' and look for Cisco Secure process 
    kill -9 pid_of_Cisco Secure

    Repita o telnet e permita-o da etapa precedente. O roteador deve realizar que o processo seguro Cisco não responde e para reservar os usuários entrar e permitir com o padrão permitem senhas.

  10. Traga acima o servidor seguro Cisco outra vez e estabeleça uma sessão de Telnet ao roteador, que deve autenticar através de Cisco seguro, com userid/senha de operador/operação a fim verificar para ver se há a autenticação de seus usuários da porta de Console através de Cisco seguro. Permaneça em telnet no roteador e no modo enable até que você esteja certo que você pode entrar ao roteador através da porta de Console, por exemplo, saída de sua conexão original ao roteador através da porta de Console, a seguir reconecte à porta de Console. A autenticação de porta de Console a entrar com o uso o do userid/combinações de senha precedentes deve agora ser através de Cisco seguro. Por exemplo, o userid/senha de operador/senha Cisco da operação então têm que ser usados a fim permitir.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool ( somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Autorização de adição

Adicionar a autorização é opcional.

À revelia, há três níveis de comando no roteador:

  • O nível de privilégio 0 — que inclui o desabilitação, permite a saída, ajuda-a, e saída

  • Nível de privilégio 1 — o normal em nível em um telnet e em uma alerta diz o Roteador>

  • O nível de privilégio 15 — permita o nível e a alerta diz o router-

Desde que os comandos disponíveis dependem do conjunto de características do IOS Cisco, Cisco IOS Software Release, modelo do roteador, e assim por diante, não há nenhuma lista abrangente dos comandos all a níveis 1 e 15. Por exemplo, a rota IPX da mostra não é esta presente em um conjunto de recursos IP somente, o transporte nat da mostra IP não está no código do Cisco IOS Software Release 10.2.X porque o NAT não foi introduzido naquele tempo, e o ambiente da mostra não está atual nos modelos do roteador sem fonte de alimentação e monitoramento de temperatura.

Os comandos disponíveis em um roteador particular a nível particular podem ser encontrados estejam incorporando a? na alerta no roteador quando a esse nível de privilégio.

A autorização da porta de Console não foi adicionada como uma característica até que CSCdi82030 esteve executado. A autorização da porta de Console é fora à revelia diminuir acidentalmente a probabilidade do travamento fora do roteador. Se um usuário tem o acesso físico ao roteador através do console, a autorização da porta de Console não é extremamente eficaz. Mas, a autorização da porta de Console pode ser girada sobre sob o comando line con 0 em uma imagem IOS Cisco em que CSCdi82030 foi executado com o o padrão do executivo da autorização|Comando da PALAVRA.

Conclua estes passos:

  1. O roteador pode ser configurado para autorizar comandos através de Cisco seguro de todo ou alguns níveis. Esta configuração de roteador permite que todos os usuários tenham a autorização do por-comando estabelecida no server. Você pode autorizar comandos all através de Cisco seguro mas se o server está para baixo, nenhuma autorização é necessária, daqui a nenhuma.

    Com o servidor seguro Cisco para baixo, incorpore estes comandos:

    Incorpore este comando a fim remover a exigência que permite a autenticação seja feito através de Cisco seguro:

    no aaa authentication enable default tacacs+ none

    Incorpore estes comandos a fim exigir que os comandos authorization estejam feitos através de Cisco seguro:

    aaa authorization commands 0 default tacacs+ none
    aaa authorization commands 1 default tacacs+ none
    aaa authorization commands 15 default tacacs+ none
  2. Quando o servidor seguro Cisco for executado, telnet no roteador com userid/senha loneusr/lonepwd. Este usuário deve dever não poder fazer comandos any diferentes de:

    show version
    ping <anything>
    logout

    Os usuários anteriores, adminusr/adminusr, operador/operação, desusr/cifram, devem ainda poder fazer comandos all em virtude de seus serviço padrão = licença. Se há uns problemas com o processo, incorpore o modo enable no roteador e gire sobre a eliminação de erros da autorização com este comando:

    terminal monitor
    debug aaa authorization

    Olhe o server e o roteador onde você deve ver a interação segura de Cisco, por exemplo, o que é enviada onde, respostas, e pedidos, e assim por diante. Corrija todos os problemas antes que você continue.

  3. O roteador pode ser configurado para autorizar sessões de exec através de Cisco seguro. O comando none do TACACS+ padrão do executivo da autorização aaa institui a autorização TACACS+ para sessões de exec.

    Se você aplica este, afeta o tempo dos usuários/tempo, o telnet/telnet, o todam/todam, o todpm/todpm e o somerouters/somerouters. Depois que você adiciona este comando ao roteador e telnet ao roteador como o tempo do usuário/tempo, uma sessão de exec permanece aberta para um minuto (ajuste o intervalo = 1). O telnet do usuário/telnet inscreve o roteador mas é enviado imediatamente ao outro endereço (ajuste o autocmd = o “telnet 171.68.118.102"). É possível que os usuários todam/todam e todpm/todpm podem ou não são alcançar o roteador, que depende sobre quando do dia é durante os testes. Os somerouters do usuário podem somente ao telnet no roteador koala.rtp.cisco.com da rede 10.31.1.x. Tentativas seguras de Cisco para resolver o nome do roteador. Se você usa o endereço IP 10.31.1.5, é válido se a definição não ocorre, e se você usa a coala do nome, é válida se a definição está completamente.

Relatório de adição

Os relatórios de adição são opcionais.

  1. A contabilidade não ocorre a menos que configurado no roteador, se o o roteador executa o Cisco IOS Software Release mais tarde do que o Cisco IOS Software Release 11.0. Você pode permitir a contabilidade no roteador:

    aaa accounting exec default start-stop tacacs+
    aaa accounting connection default start-stop tacacs+
    aaa accounting network default start-stop tacacs+
    aaa accounting system default start-stop tacacs+

    Nota: a Comando-contabilidade era quebrada, na identificação de bug Cisco CSCdi44140, mas se você usa uma imagem em que esta é fixa, a comando-contabilidade pode igualmente ser permitida.

  2. Adicionar a eliminação de erros do registro de contabilidade no roteador:

    terminal monitor
    debug aaa accounting
  3. Debugar no console deve mostrar os registros de contabilidade que entram no server como os usuários entram.

  4. A fim recuperar registros de contabilidade, como a raiz:

    CD $BASE/utils/bin
    ./AcctExport <filename> no_truncate

    o no_truncate significa que os dados estão retidos no base de dados.

Adicionando usuários de discagem

Conclua estes passos:

  1. Certifique-se de que as outras funções do trabalho seguro de Cisco antes que você adicione usuários dial-up. Se o servidor seguro Cisco e o modem não trabalharam antes deste ponto, não trabalha após este ponto.

  2. Adicionar este comando à configuração de roteador:

    aaa authentication ppp default if-needed tacacs+
    aaa authentication login default tacacs+ enable
    aaa authorization network default tacacs+
    chat-script default "" at&fls0=1&h1&r2&c1&d2&b1e0q2 OK

    As configurações da interface diferem, que depende de como a autenticação é feita, mas as linhas de discagem de entrada são usadas neste exemplo, com estas configurações:

    interface Ethernet 0
    ip address 10.6.1.200 255.255.255.0
    
    !
    !--- CHAP/PPP authentication user:
    
    interface Async1
    ip unnumbered Ethernet0
    encapsulation ppp
    async mode dedicated
    peer default ip address pool async
    no cdp enable
    ppp authentication chap
    
    !
    !--- PAP/PPP authentication user:
    
    interface Async2
    ip unnumbered Ethernet0
    encapsulation ppp
    async mode dedicated
    peer default ip address pool async
    no cdp enable
    ppp authentication pap
    
    !
    !--- login authentication user with autocommand PPP:
    
    interface Async3
    ip unnumbered Ethernet0
    encapsulation ppp
    async mode interactive
    peer default ip address pool async
    no cdp enable
    
    ip local pool async 10.6.100.101 10.6.100.103
    
    line 1
    session-timeout 20
    exec-timeout 120 0
    autoselect during-login
    script startup default
    script reset default
    modem Dialin
    transport input all
    stopbits 1
    rxspeed 115200
    txspeed 115200
    flowcontrol hardware
    
    !
    
    line 2
    session-timeout 20
    exec-timeout 120 0
    autoselect during-login
    script startup default
    script reset default
    modem Dialin
    transport input all
    stopbits 1
    rxspeed 115200
    txspeed 115200
    flowcontrol hardware
    
    !
    
    line 3
    session-timeout 20
    exec-timeout 120 0
    autoselect during-login
    autoselect ppp
    script startup default
    script reset default
    modem Dialin
    autocommand ppp
    transport input all
    stopbits 1
    rxspeed 115200
    txspeed 115200
    flowcontrol hardware
    
    !
    
    access-list 101 deny icmp any any
  3. Do arquivo de usuário de Cisco fixe:

    • chapuser — CHAP/PPP — seletores do usuário dentro na linha 1; o endereço é atribuído pelo async do conjunto de endereço IP de peer default e pela assincronia de conjunto local IP 10.6.100.101 10.6.100.103 no roteador

    • chapaddr — CHAP/PPP — seletores do usuário dentro na linha 1; o endereço 10.29.1.99 é atribuído pelo server

    • chapacl — CHAP/PPP — seletores do usuário dentro na linha 1; o endereço 10.29.1.100 é atribuído pelo server e a lista de acessos de entrada 101 é aplicada (que deve ser definida no roteador)

    • papuser — PAP/PPP — seletores do usuário dentro na linha 2; o endereço é atribuído pelo async do conjunto de endereço IP de peer default e pela assincronia de conjunto local IP 10.6.100.101 10.6.100.103 no roteador

    • papaddr — PAP/PPP — seletores do usuário dentro na linha 2; o endereço 10.29.1.98 é atribuído pelo server

    • papacl — PAP/PPP — seletores do usuário dentro na linha 2; o endereço 10.29.1.100 é atribuído pelo server e a lista de acessos de entrada 101 é aplicada, que deve ser definida no roteador

    • login automático — o usuário disca dentro na linha 3; a autenticação de login com o comando automático na linha força o usuário à conexão PPP e atribui o endereço do pool

  4. A instalação do Microsoft Windows para todos os usuários exceptua o login automático do usuário

    1. Escolha o iniciar > programas > acessórios > rede dial-up.

    2. Escolha conexões > Make New Connection. Datilografe um nome para sua conexão.

    3. Entre em seu informação específico de modem. Em configurar > general, escolhem a velocidade a mais alta de seu modem, mas não verificam a caixa abaixo desta.

    4. Em configurar > conexão, não use 8 bit de dados, nenhuma paridade, e 1 bit de interrupção. As preferências de chamada são espera para o tom de discagem antes de discar e cancelam o atendimento se não conectado após 200 segundos.

    5. Em avançado, escolha o padrão somente do controle de fluxo de hardware e do tipo de modulação.

    6. Em configurar > opções, nada deve ser verificado exceto sob o controle de status. Clique em OK.

    7. Na próxima janela, entre no número de telefone do destino, a seguir clique-o em seguida, e clique-o então o revestimento.

    8. Uma vez que o ícone da nova conexão aparece, clicar-lo com o botão direito e escolha-o propriedades, e clique-o então o tipo de servidor.

    9. Escolha o PPP: O WINDOWS 95, WINDOWS NT 3.5, Internet e não verifica nenhuma opções avançada.

    10. Em protocolos de rede permitidos, verifique pelo menos o TCP/IP.

    11. Sob ajustes TCP/IP, escolha o endereço IP atribuído do server, o gateway padrão dos endereços de servidor de nome designado de servidor, e do uso na rede remota. Clique em OK.

    12. Quando você faz duplo clique o ícone para trazer acima a conexão ao indicador a fim discar, você deve preencher os campos do nome de usuário e de senha, e clica então a conexão.

  5. Microsoft Windows 95 Setup para o login automático do usuário

    1. A configuração para o login automático do usuário, usuário de autenticação com comando automático PPP, é a mesma que para outros usuários a não ser que configurar > na janela de opções. A verificação traz acima a janela terminal após discar.

    2. Quando você faz duplo clique o ícone para trazer acima a conexão ao indicador para discar, você não preenche os campos do nome de usuário e de senha. O clique conecta e depois que a conexão ao roteador é feita, datilografa dentro o nome de usuário e senha na janela preta que aparece.

    3. Após a autenticação, clique Continue(F7).

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Servidor

$BASE/config/CSU.cfg seguro de ./Cisco - CX - f $BASE/CSU

Router

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug. Para obter mais informações sobre dos comandos específicos, veja por favor a referência do comando Debug do Cisco IOS.

  • monitor terminal — Indique o comando debug e os mensagens de erro de sistema para o terminal atual e a sessão.

  • debug ppp negotiation – Exibe pacotes PPP transmitidos durante a inicialização de PPP, em que as opções de PPP são negociadas.

  • debugar o pacote ppp — Indique os pacotes PPP que são enviados e recebidos. Esse comando exibe os dumps de pacote de nível baixo.

  • debugar o PPP chap — Exibir informação no tráfego e trocas em uma rede interna que executa o protocolo challenge authentication (RACHADURA).

  • debugar a autenticação aaa — Veja que métodos de autenticação estão sendo usados e o que os resultados destes métodos são.

  • debug aaa authorization — Veja que métodos de autorização estão sendo usados e o que os resultados destes métodos são.

Arquivo de usuários do Cisco Secure

group = admin {
        password = clear "adminpwd"
        service = shell {
                default cmd = permit
                default attribute = permit
        }
}
 
group = oper {
        password = clear "oper"
        privilege = clear "cisco" 15
        service = shell {
                default cmd = permit
                default attribute = permit
        }
}

user = adminusr {
        password = clear "adminusr"
        default service = permit
        }

user = desusr {
        password = des "QjnXYd1kd7ePk"
        default service = permit
        }

user = operator {
        member = oper 
        default service = permit
        }

user = time {
        default service = permit
        password = clear "time"
        service = shell  {
                set timeout = 1
                default cmd = permit
                default attribute = permit
        }
}

user = todam {
        password = clear "todam"
        service = shell  {
                default cmd = permit
                default attribute = permit
                time = Any 0600 - 1200
        }
        }

user = todpm {
        password = clear "todpm"
        service = shell  {
                default cmd = permit
                default attribute = permit
                time = Any 1200 - 2359
        }
        }

user = telnet {
        password = clear "telnet"
        service = shell  {
                set autocmd = "telnet 171.68.118.102"
                        }
        }

user = limit_lifetime {
        password = clear "cisco" from
        "2 may 2001" until
        "4 may 2001"
        }
 
user = loneusr {
        password = clear "lonepwd"
        service = shell  {
                cmd = show {
                permit "ver"
                }
                cmd = ping {
                permit "."
                }
                cmd = logout {
                permit "."
                }
        }
}
 
user = chapuser {
        default service = permit
        password = chap "chapuser"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                }
        }
}

user = chapaddr {
        password = chap "chapaddr"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                        set addr = 10.29.1.99
                }
        }
}

user = chapacl {
        default service = permit
        password = chap "chapacl"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                        set inacl = 101
                        set addr = 10.29.1.100
                }
        }
}

user = papuser {
        default service = permit
        password = pap "papuser"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                }
        }
}

user = papaddr {
        default service = permit
        password = pap "papaddr"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                        set addr = 10.29.1.98
                }
        }
}

user = papacl {
        default service = permit
        password = chap "papacl"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                        set inacl = 101
                        set addr = 10.29.1.100
                }
        }
}

user = loginauto {
        default service = permit
        password = clear "loginauto"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                        }
        }
 }

user = somerouters {
   password = clear "somerouters"
   allow koala ".*" "10\.31\.1\.*"
   allow koala.rtp.cisco.com ".*" "10\.31\.1\.*"
   allow 10.31.1.5 ".*" "10\.31\.1\.*"
   refuse ".*" ".*" ".*"
   service=shell {
   default cmd=permit
   default attribute=permit
   }
   }

Informações Relacionadas


Document ID: 13850