Segurança e VPN : Terminal Access Controller Access Control System (TACACS+)

Configurar o roteador Cisco para a autenticação do seletor usando o TACACS+

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento descreve como configurar um roteador Cisco para a autenticação do seletor com o TACACS+ que é executado em UNIX. O TACACS+ não oferece tantas como características como o Cisco Secure ACS for Windows disponível no comércio ou Cisco Secure ACS para UNIX.

O software TACACS+ fornecido previamente pelo Cisco Systems foi interrompido e é apoiado já não pelo Cisco Systems.

Hoje, você pode encontrar muitas versões do freeware disponíveis TACACS+ quando você procura “pelo freeware TACACS+” em seu Engine de busca dos internet favorita. Cisco não recomenda especificamente nenhuma aplicação particular do freeware TACACS+.

O Serviço de controle de acesso Cisco Secure (ACS) está disponível para a compra através das vendas Cisco e dos canais de distribuição regulares no mundo inteiro. O Cisco Secure ACS for Windows inclui todos os componentes necessários necessários para uma instalação independente em uma estação de trabalho de Microsoft Windows. A solution engine do Cisco Secure ACS é enviada com uma licença do software instalada do Cisco Secure ACS. Refira o boletim de produto do Cisco Secure ACS 4.0 para números de produto. Visite Cisco que pede o Home Page (clientes registrados somente) para colocar uma ordem.

Nota: Você precisa uma conta CCO com um contrato de serviço associado obter a versão de teste de 90-dia para o Cisco Secure ACS for Windows (clientes registrados somente).

A configuração de roteador neste documento foi desenvolvida em um roteador que executasse o Software Release 11.3.3 de Cisco IOS�. TACACS+ de grupo do uso dos Cisco IOS Software Release 12.0.5.T e Mais Recente em vez de tacacs+. As indicações tais como o TACACS+ padrão da autentificação de login aaa permitem aparecem enquanto o grupo padrão tacacs+ da autentificação de login aaa permite.

Você pode transferir o guia do freeware e de usuário TACACS+ pelo Anonymous FTP a ftp-eng.cisco.com no diretório de /pub/tacacs.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurações

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a ferramenta de consulta de comandos (clientes registrados somente) para encontrar a informação adicional nos comandos usados neste documento.

Este documento utiliza as seguintes configurações:

Configuração do roteador
!
aaa new-model
aaa authentication login default tacacs+ enable
aaa authentication ppp default if-needed tacacs+
aaa authorization exec default tacacs+ if-authenticated
aaa authorization commands 1 default tacacs+ if-authenticated 
aaa authorization commands 15 default tacacs+ if-authenticated 
aaa authorization network default tacacs+ 
enable password ww
!
chat-script default "" at&fls0=1&h1&r2&c1&d2&b1e0q2 OK
!
interface Ethernet0
 ip address 10.6.1.200 255.255.255.0
! 

!--- Challenge Handshake Authentication Protocol 
!--- (CHAP/PPP) authentication user.

  interface Async1
  ip unnumbered Ethernet0
  encapsulation ppp
  async mode dedicated
  peer default ip address pool async
  no cdp enable
  ppp authentication chap
 !
 
!--- Password Authentication Protocol (PAP/PPP) authentication user.

  interface Async2
  ip unnumbered Ethernet0
  encapsulation ppp
  async mode dedicated
  peer default ip address pool async
  no cdp enable
  ppp authentication pap
 !
 
!--- Authentication user with autocommand PPP.

  interface Async3
  ip unnumbered Ethernet0
  encapsulation ppp
  async mode interactive
  peer default ip address pool async
  no cdp enable
 !
 ip local pool async 10.6.100.101 10.6.100.103
 tacacs-server host 171.68.118.101
 tacacs-server timeout 10
 tacacs-server key cisco
 !
 line 1
  session-timeout 20
  exec-timeout 120 0
  autoselect during-login
  script startup default
  script reset default
  modem Dialin
  transport input all
  stopbits 1
  rxspeed 115200
  txspeed 115200
  flowcontrol hardware
 !
 line 2
  session-timeout 20
  exec-timeout 120 0
  autoselect during-login
  script startup default
  script reset default
  modem Dialin
  transport input all
  stopbits 1
  rxspeed 115200
  txspeed 115200
  flowcontrol hardware
 !
 line 3
  session-timeout 20
  exec-timeout 120 0
  autoselect during-login
  autoselect ppp
  script startup default
  script reset default
  modem Dialin
  autocommand ppp
  transport input all
  stopbits 1
  rxspeed 115200
  txspeed 115200
  flowcontrol hardware
 !
 end

TACACS+ arquivo de configuração no programa gratuito de servidor

!--- Handshake with router
!--- AS needs 'tacacs-server key cisco'.

key = "cisco"


!--- User who can Telnet in to configure.

user = admin {
        default service = permit
        login = cleartext "admin"
        }

 
!--- CHAP/PPP authentication line 1 -
!--- password must be cleartext per CHAP specifications.

  user = chapuser {
         chap = cleartext "chapuser"
         service = ppp protocol = ip {
                 default attribute = permit
                 }
         }
 
 
!--- PPP/PAP authentication line 2.

  user = papuser {
         login = file /etc/passwd
         service = ppp protocol = ip {
                 default attribute = permit
                 }
         }

 
!--- Authentication user line 3.

  user = authauto {
         login = file /etc/passwd
         service = ppp protocol = ip {
                 default attribute = permit
                 }
         }

Instalação do Microsoft Windows

Configuração do Microsoft Windows para usuários 1 e 2

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Instruções passo a passo

Termine estas etapas.

Nota: A configuração do PC pode variar baseado levemente na versão do sistema operacional que você se usa.

  1. Selecione o iniciar > programas > acessórios > rede dial-up para abrir o indicador da rede de comunicação dial-up.

  2. Escolha o Make New Connection do menu conexões, e dê entrada com um nome para sua conexão.

  3. Entre em seu informação específico de modem e o clique configura.

  4. Na página geral das propriedades selecione a velocidade a mais alta de seu modem, mas não verifique o único conectam nesta caixa da velocidade….

  5. Configurar/propriedades de conexão pagine, não use 8 bit de dados, nenhuma paridade, e 1 bit de interrupção. As preferências de chamada a usar-se são espera para o tom de discagem antes de discar e para cancelar o atendimento se não conectado após 200 segundos.

  6. Na página da conexão, clique avançado. Nas configurações de conexão avançadas, selecione o padrão somente do controle de fluxo de hardware e do tipo de modulação.

    A página nas propriedades configurar/opções, nada deve ser verificada exceto a caixa sob o controle de status.

  7. A APROVAÇÃO do clique e clica então em seguida.

  8. Entre no número de telefone do destino, clique-o em seguida outra vez, e clique-o então o revestimento.

  9. Uma vez que o ícone da nova conexão aparece, clicar-lo com o botão direito e escolha-o propriedades > tipo de servidor.

  10. Escolha o PPP: O WINDOWS 95, WINDOWS NT 3.5, Internet e não verifica nenhuma opções avançada.

  11. Verifique o TCP/IP sob protocolos de rede permitidos.

  12. Sob ajustes TCP/IP…, escolha o endereço IP atribuído do server, o gateway padrão dos endereços de servidor de nome designado de servidor, e do uso na rede remota e clique então a APROVAÇÃO.

  13. Quando o usuário faz duplo clique o ícone para fazer a conexão ao indicador do indicador a fim discar, o usuário deve preencher os campos do nome de usuário e de senha, e clica então conecta.

Configuração do Microsoft Windows para usuário 3

A configuração para o usuário 3 (usuário de autenticação com comando automático PPP) é a mesma que para os usuários 1 e 2 com estas exceções:

  • Configurar/opções que as propriedades paginam (etapa 6), verificação traga acima a janela terminal após discar.

  • Quando o usuário fizer duplo clique o ícone para abrir a conexão ao indicador para discar (etapa 13), o usuário não preenche os campos do nome de usuário e de senha. Os cliques do usuário conectam. Depois que a conexão ao roteador é feita, o usuário datilografa dentro o nome de usuário e senha na janela preta que aparece. Após a autenticação, as imprensas do usuário continuam (F7).

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Router

Consulte Informações Importantes sobre Comandos de Debugação antes de usar comandos debug.

  • monitor terminal — Indicadores comando debug e mensagens de erro de sistema para o terminal atual e a sessão.

  • debugar a negociação ppp — Indica os pacotes PPP enviados durante a inicialização de PPP, onde as opções de PPP são negociadas.

  • debugar o pacote ppp — Indica os pacotes PPP que são enviados e recebidos. (Este comando mostra cópias parciais da memória de pacote de nível baixo.)

  • debugar o PPP chap — Indica a informação sobre se um cliente passa a autenticação (para Cisco IOS Software Release mais cedo de 11.2).

  • debugar a autenticação aaa — Indica a informação na autenticação do Authentication, Authorization, and Accounting (AAA) /TACACS+.

  • debug aaa authorization — Exibe informações sobre autorização AAA/TACACS+.

Servidor

Nota:  Isto supõe o código de servidor de programa gratuito TACACS+ de Cisco.

tac_plus_executable -C config.file -d 16
  tail -f /var/tmp/tac_plus.log

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 13866