Segurança e VPN : Protocolos de autenticação

Como Atribuir Níveis de Privilégios com TACACS+ e RADIUS

22 Maio 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (26 Fevereiro 2008) | Feedback


Índice

Introdução
Pré-requisitos
     Requisitos
     Componentes Usados
     Convenções
Exemplo
     Configurações - Roteador
     Configurações - Servidor
Discussões relacionadas da comunidade de suporte da Cisco
Informações Relacionadas

Introdução

Este documento explica como alterar o nível de privilégio para determinados comandos e fornece um exemplo com partes de configurações de exemplo para um roteador e servidores TACACS+ e RADIUS.

Pré-requisitos

Requisitos

Os leitores deste documento devem ter conhecimento de níveis de privilégios em um roteador.

Por padrão, há três níveis de privilégios no roteador.

  • nível de privilégio 1 = sem privilégios (o prompt é router>), o nível padrão de login

  • nível de privilégio 15 = com privilégios (o prompt é router#), o nível após entrar no modo de habilitação

  • nível de privilégio 0 = raramente usado, mas inclui 5 comandos: disable, enable, exit, help e logout

Os níveis 2 a 14 não são usados em uma configuração padrão, mas os comandos que estão normalmente no nível 15 podem ser movidos para baixo para um desses níveis e os comandos que estão normalmente no nível 1 podem ser movidos para cima. Obviamente, este modelo de segurança envolve alguma administração no roteador.

Para determinar o nível de privilégio como usuário conectado, digite o comando show privilege. Para determinar que comandos estão disponíveis em um determinado nível de privilégio da versão do software Cisco IOS® utilizada, digite ? na linha de comando com logon efetuado nesse nível de privilégio.

Observação: Em vez de atribuir níveis de privilégios, você pode efetuar uma autorização de comando se o servidor de autenticação oferecer suporte a TACACS+. O protocolo RADIUS não suporta autorização de comando.

Componentes Usados

As informações contidas neste documento são baseadas no Cisco IOS Software Releases 11.2 e superiores.

As informações apresentadas neste documento foram criadas a partir dos dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste documento começaram com uma configuração esclarecida (padrão). Caso esteja trabalhando em uma rede ativa, certifique-se de ter compreendido o possível impacto dos comandos antes de utilizá-los.

Convenções

Para obter mais informações sobre convenções de documentos, consulte Convenções e Dicas Técnicas da Cisco.

Exemplo

Neste exemplo, os comandos snmp-server são movidos para baixo do nível de privilégio 15 (padrão) para o nível de privilégio 7.O comando ping é movido para cima, do nível de privilégio 1 para o nível de privilégio 7. Quando o usuário 7 é autenticado, ele recebe o nível de privilégio 7 do servidor e um comando show privilege exibe "Current privilege level is 7." O usuário pode fazer um ping e configurar o servidor snmp no modo de configuração. Outros comandos de configuração não estão disponíveis.

Configurações - Roteador

Roteador - 11.2

aaa new-model
aaa authentication login default tacacs+|radius local
aaa authorization exec tacacs+|radius local
username backup privilege 7 password 0 backup
tacacs-server host 171.68.118.101
tacacs-server key cisco
radius-server host 171.68.118.101
radius-server key cisco
privilege configure level 7 snmp-server host
privilege configure level 7 snmp-server enable
privilege configure level 7 snmp-server
privilege exec level 7 ping
privilege exec level 7 configure terminal
privilege exec level 7 configure

Roteador - 11.3.3.T e posterior (até 12.0.5.T)

aaa new-model
aaa authentication login default tacacs+|radius local
aaa authorization exec default tacacs+|radius local
username backup privilege 7 password 0 backup
tacacs-server host 171.68.118.101
tacacs-server key cisco
radius-server host 171.68.118.101
radius-server key cisco
privilege configure level 7 snmp-server host
privilege configure level 7 snmp-server enable
privilege configure level 7 snmp-server
privilege exec level 7 ping
privilege exec level 7 configure terminal
privilege exec level 7 configure

Roteador - 12.0.5.T e posterior

aaa new-model
aaa authentication login default group tacacs+|radius local
aaa authorization exec default group tacacs+|radius local
username backup privilege 7 password 0 backup
tacacs-server host 171.68.118.101
tacacs-server key cisco
radius-server host 171.68.118.101
radius-server key cisco
privilege configure level 7 snmp-server host
privilege configure level 7 snmp-server enable
privilege configure level 7 snmp-server
privilege exec level 7 ping
privilege exec level 7 configure terminal
privilege exec level 7 configure

Configurações - Servidor

Cisco Secure NT TACACS+

Siga estas etapas para configurar o servidor.

  1. Preencha o nome do usuário e a senha.

  2. Em Configurações de Grupo, certifique-se de marcar shell/exec e de informar 7 na caixa em nível de privilégio.

TACACS+ - Stanza no programa gratuito de servidor

Stanza in TACACS+ freeware:
user = seven {
login = cleartext seven
service = exec {
priv-lvl = 7
}
}

Cisco Secure UNIX TACACS+

user = seven {
password = clear "seven"
service = shell {
set priv-lvl = 7
}
}

Cisco Secure NT RADIUS

Siga estas etapas para configurar o servidor.

  1. Informe o nome de usuário e a senha.

  2. Em Group Settings (Configurações de Grupo) do IETF, o tipo de serviço (atributo 6) = Nas-Prompt

  3. Na área CiscoRADIUS, marque AV-Pair e na caixa retangular inferior, insira shell:priv-lvl=7.

Cisco Secure UNIX RADIUS

user = seven{
radius=Cisco {
check_items= {
2="seven"
}
reply_attributes= {
6=7
9,1="shell:priv-lvl=7"
}
}
}

Este é o arquivo de usuário para o nome de usuário "seven".

Observação: O servidor deve suportar Cisco av-pairs.

  • Senha sete = passwdxyz

  • Tipo de serviço = Usuário Shell

  • cisco-avpair =shell:priv-lvl=7


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 13860