Segurança : Cisco Secure Access Control System 5.4

A integração da versão de ACS 5.4 com Motorola voa (AP) o exemplo de configuração 5.X

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento fornece um exemplo de configuração uma versão 5.4 do Serviço de controle de acesso Cisco Secure (ACS) para apoiar a autenticação TACACS+, a autorização, e a contabilidade (AAA) em controladores wireless e em Access point de Motorola. Neste documento, os atributos específicos de fornecedor e os valores de Motorola são atribuídos aos grupos no ACS a fim determinar cada papel e permissões de acesso de usuário. Os atributos e os valores são atribuídos ao grupo com serviços definidos pelo utilizador e os protocolos permitidos em cada grupo.

Contribuído por Minakshi Kumar, engenheiro de TAC da Cisco.

Pré-requisitos

Requisitos

A versão de ACS 5.x deve ser conectada às asas 5.x de Motorola.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Versão de ACS 5.4
  • Asas 5.2

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Configurar

Configuração ACS

Tipos de dispositivo

Está aqui um exemplo de como definir dispositivos da asa 5 como tipos de dispositivo em uma versão 5.x do Cisco Secure ACS. Os tipos de dispositivo permitem que os dispositivos sejam agrupados na versão 5.x do Cisco Secure ACS, que é usada quando você define políticas da autorização do dispositivo.

No ACS GUI, navegue aos recursos de rede > aos grupos de dispositivo de rede > ao tipo de dispositivo, e o clique cria.

Incorpore um nome e uma descrição, e selecione um pai. Clique em Submit.

Isto cria um grupo de dispositivo de rede para dispositivos das soluções de Motorola.

Dispositivos de rede e clientes de AAA

Está aqui um exemplo de como adicionar um dispositivo da asa 5 como um cliente de AAA na versão 5.x do Cisco Secure ACS.

No Cisco Secure ACS, navegue aos recursos de rede > aos dispositivos de rede e aos clientes de AAA, e o clique cria:

Dê entrada com um nome para os controladores wireless, e selecione um lugar. Atribua o tipo de dispositivo criado na seção anterior, e verifique a caixa de seleção TACACS+. Incorpore um segredo compartilhado, e clique o botão de rádio ao lado da opção apropriada do endereço IP de Um ou Mais Servidores Cisco ICM NT. Neste exemplo, a escala IP pela máscara é selecionada, e a sub-rede do IPv4 que os controladores do Sem fio estão conectados a (192.168.20.0/24) é definida. O clique submete-se uma vez que você incorpora toda a informação.

Isto define os controladores wireless como dispositivos de rede e clientes de AAA:

Grupos da identidade

Neste exemplo, dois grupos, MotorolaRO Nomeado e MotorolaRW, são definidos. Os usuários atribuídos ao grupo de MotorolaRO estão atribuídos ao papel do monitor e às permissões de acesso à Web concedidas, quando os usuários atribuídos ao grupo de MotorolaRW forem atribuídos ao papel do Superuser e concederam todas as permissões de acesso.

Navegue aos usuários e a identidade armazena > grupos da identidade > cria:

Incorpore um nome e uma descrição para o grupo de acesso do read only, e o clique submete-se.

Crie um segundo grupo. Incorpore um nome e uma descrição para o grupo de acesso de leitura/gravação, e o clique submete-se.

Você tem criado agora dois grupos da identidade.

Perfis do shell

Está aqui um exemplo de como definir perfis do shell em uma versão 5.x do Cisco Secure ACS. Neste exemplo, dois descascam perfis, MOTO Nomeado RO e MOTO RW, são definidos com atributos que determinam o papel e as permissões de acesso que cada usuário do Gerenciamento está atribuído. O nome de cada perfil do shell deve combinar o nome do serviço de autenticação TACACS+ definido na política TACACS+ AAA.

Navegue aos elementos da política > à autorização e às permissões > à administração > ao shell do dispositivo perfis. O clique cria.

No tab geral, defina os serviços exigidos e protocolos TACACS+ para adicionar. Você pode usar os serviços e os protocolos atuais ou criar seus próprios. Este exemplo define serviços e protocolos sob o nome de MOTO RO a fim fornecer o acesso do read only para voar os dispositivos 5:

Nas tarefas comuns catalogue, ajuste o privilégio máximo à estática, e selecione um valor de 1.

Na aba dos atributos feitos sob encomenda, nos campos do atributo e de valor de atributo, defina os atributos a ser atribuídos ao usuário. Neste exemplo, os usuários do read only são atribuídos ao papel do monitor e às permissões de acesso à Web concedidas. Clique em Submit.

Crie um perfil novo do shell. No tab geral, defina os serviços exigidos e protocolos TACACS+ para adicionar. Você pode usar os serviços e os protocolos atuais ou criar seus próprios. Este exemplo define serviços e protocolos, MOTO Nomeados RW, que fornecem o acesso de leitura/gravação para dispositivos da asa 5:

Nas tarefas comuns catalogue, ajuste o privilégio máximo à estática, e selecione um valor de 1.

Na aba dos atributos feitos sob encomenda, nos campos do atributo e de valor de atributo, defina os atributos a ser atribuídos ao usuário. Neste exemplo, os usuários de leitura/gravação são atribuídos ao papel do Superuser e concederam todas as permissões de acesso. Clique em Submit.

Você tem criado agora os perfis do shell nomeados MOTO RO e MOTO RW.

Perfis da autorização do dispositivo

Está aqui um exemplo de como definir políticas da autorização do dispositivo em uma versão 5.x do Cisco Secure ACS. As políticas da autorização do dispositivo determinam o perfil do shell cada Gerenciamento que o usuário é atribuído baseado no tipo de dispositivo que pede a autenticação, o lugar, e a membrasia do clube da identidade. Neste exemplo, duas políticas da autorização do dispositivo, MotorolaRO Nomeado e MotorolaRW, são definidas.

No Cisco Secure ACS, navegue às políticas de acesso > ao dispositivo do padrão Admin > autorização > personalizam:

Adicionar as condições da personalização nomeadas Identidade Grupo, NDG: Lugar, NDG: Tipo de dispositivo, e protocolo. Sob personalize resultados, adicionar o perfil do shell, e clique a APROVAÇÃO:

O clique cria. No campo de nome, entre em MotorolaRO, e selecione o grupo da identidade, NDG: Lugar, e tipo de NDGevice. Ajuste o protocolo a Tacacs, e selecione o perfil do shell nomeado MOTO RO. APROVAÇÃO do clique:

O clique cria. No campo de nome, entre em MotorolaRW, e selecione o grupo da identidade, NDG: Lugar, e tipo de NDGevice. Ajuste o protocolo a Tacacs, e selecione o perfil do shell nomeado MOTO RW. APROVAÇÃO do clique:

Você tem criado agora as políticas da autorização do dispositivo nomeadas MotorolaRO e MotorolaRW:

As soluções de Motorola voam a configuração 5.2

Políticas AAA TACACS

A política AAA TACACS define a configuração de cliente TACACS+ em um dispositivo da asa 5. Cada política AAA TACACS pode conter até duas entradas do servidor AAA TACACS+ além do que os nomes do serviço e dos protocolos de autenticação TACACS+ definidos no Cisco Secure ACS. A política TACACS+ AAA igualmente determina a informação que é enviada ao servidor de contabilidade.

Este exemplo da política AAA TACACS define um Cisco Secure ACS para TACACS+ AAA, define os serviços TACACS+ e os protocolos nomeados MOTO RO e MOTO RW, e permite a contabilidade do comando CLI e da sessão.

Exemplo da política AAA TACACS

aaa-tacacs-policy CISCO-ACS-SERVER

authentication server 1 host 192.168.10.21 secret 0 hellomoto

authorization server 1 host 192.168.10.21 secret 0 hellomoto

accounting server 1 host 192.168.10.21 secret 0 hellomoto

authentication service MOTO protocol RO

authentication service MOTO protocol RW

accounting commands

accounting session

!

Políticas de gerenciamento

Uma vez que uma política AAA TACACS+ é definida, deve ser atribuída a umas ou várias políticas de gerenciamento antes que o TACACS+ esteja usado. As políticas de gerenciamento determinam as interfaces de gerenciamento que são permitidas em cada dispositivo da asa 5, usuários administrativos locais, papéis e permissões de acesso, e os server externos do RAIO ou TACACS+ usados a fim autenticar usuários administrativos.

À revelia, cada dispositivo da asa 5 é atribuído a uma política de gerenciamento, nomeada o padrão, que é atribuído com o uso dos perfis. O TACACS+ pode ser permitido na política de gerenciamento do padrão ou em toda a política de gerenciamento definida pelo utilizador.

A maioria de implementações típicas incluem políticas de gerenciamento separadas para controladores wireless e Access point. As políticas de gerenciamento separadas são recomendadas, porque os requisitos de gerenciamento e as relações para cada dispositivo diferem. Neste caso, o TACACS+ deve ser permitido em cada política de gerenciamento a fim permitir o TACACS+ em controladores wireless e em Access point.

Os exemplos da política de gerenciamento na próxima seção permitem TACACS+ AAA nas políticas de gerenciamento definidas pelo utilizador que são atribuídas aos controladores wireless e aos Access point. A reserva TACACS+ à autenticação local é permitida igualmente caso um dispositivo da asa 5 não puder alcançar nenhuns servidores para autenticação definida TACACS+.

Exemplos da política de gerenciamento

!

management-policy CONTROLLER-MANAGEMENT

no http server

https server

ssh

user admin password 0 hellomoto role superuser access all

snmp-server user snmptrap v3 encrypted des auth md5 0 hellomoto

snmp-server user snmpoperator v3 encrypted des auth md5 0 hellomoto

snmp-server user snmpmanager v3 encrypted des auth md5 0 hellomoto

aaa-login tacacs fallback

aaa-login tacacs authorization

aaa-login tacacs accounting

aaa-login tacacs policy CISCO-ACS-SERVER

!

!

management-policy AP-MANAGEMENT

ssh

user admin password 0 hellomoto role superuser access all

aaa-login tacacs fallback

aaa-login tacacs authorization

aaa-login tacacs accounting

aaa-login tacacs policy CISCO-ACS-SERVER

!

Verificar

Esta seção fornece as etapas necessárias exigidas a fim validar TACACS+ AAA. Neste exemplo, duas contas de usuário são definidas em cada Cisco Secure ACS e atribuídas aos grupos apropriados. A membrasia do clube do usuário determina o papel e as permissões de acesso atribuídos ao usuário do Gerenciamento.

Username           Role          Access Permissions
----------------------------------------------------
monitor Monitor Web
super user Superuser all

Atribuição do papel

Esta seção fornece os passos de verificação exigidos a fim verificar atribuições da autenticação e do papel.

Na Web UI, início de uma sessão ao controlador wireless com o nome de usuário e senha do monitor:

O usuário é autenticado, autorizado, e atribuído ao papel do monitor, que fornece o acesso do read only no controlador wireless. Selecione a configuração > os dispositivos, e tente editar um dispositivo.

Nota: Nenhum edite a funcionalidade está disponível, porque o usuário é acesso permitido do read only.

Alcance no dispositivo: (Somente o botão View Button está disponível; o botão Delete Button é desabilitada-para fora.)

Na Web UI, início de uma sessão ao controlador wireless com o nome de usuário e senha do superuser:

O usuário é autenticado, autorizado, e atribuído ao papel do Superuser, que fornece o acesso direto no controlador wireless. Selecione a configuração > os dispositivos, e tente editar um dispositivo.

Nota: O botão Edit está agora disponível, porque o usuário é acesso direto permitido no dispositivo.

Troubleshooting

Na versão 5.X do Cisco Secure ACS, navegue à monitoração e aos relatórios > à monitoração & ao relatório do lançamento visor > relatórios seletos > catálogo > protocolo de AAA > autenticação TACACS > sido executado.

Isto apresenta os resultados para toda a passada e autenticações falha para usuários e inclui a razão da falha. Clique o botão da lupa (detalhes) para uns detalhes mais adicionais.



Document ID: 116510