Sécurité : Cisco Secure Access Control Server pour Unix

Configuration et débogage de CiscoSecure 2.x TACACS+

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document est destiné pour aider la première fois l'utilisateur 2.x Cisco Secure dans l'installation et l'élimination des imperfections d'une configuration Cisco Secure TACACS+. Il n'est pas une description exhaustive des capacités Cisco Secures.

Référez-vous à votre documentation Cisco Secure pour plus d'informations complètes sur le logiciel de serveur et l'installation utilisateur. Référez-vous à la documentation du logiciel de Cisco IOS pour la release appropriée pour plus d'informations sur des commandes de routeur.

Conditions préalables

Conditions requises

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Cisco Secure ACS 2.x et plus tard

  • Version de logiciel 11.3.3 et ultérieures de½ du¿Â du Cisco IOSïÂ

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Installation Cisco Secure

Procédez comme suit :

  1. Assurez-vous que vous utilisez les instructions qui ont été livré avec le logiciel afin d'installer le code Cisco Secure sur le serveur Unix.

  2. Afin de confirmer que le produit arrête et des débuts, entrez dans le cd à /etc/rc0.d et comme racine, exécutent ./K80Cisco sécurisé (pour arrêter les démons).

    Entrez dans le cd à /etc/rc2.d et comme racine, exécutent ./S80Cisco sécurisé (pour commencer les démons).

    Sur le startup, vous devriez voir des messages comme :

    Cisco Secure starting Processes: Fast Track Admin, FastTrack Server (Delayed Start), DBServer, AAA Server

    Exécutez $BASE/utils/psg dans la commande pour être sûr qu'au moins un de chacun des processus individuels exécute, par exemple, SQLAnywhere ou engine de base de données, processus de serveur Cisco Secure de base de données, serveur Web de Netscape, admin de Web de Netscape, serveur Web de point culminant, un processus Cisco Secure d'AAA, ou un procédé automatique différent de reprise.

  3. Afin de vous assurer soyez dans les répertoires appropriés, les variables environnementales d'installation et les chemins dans votre environnement de shell. le C-shell est utilisé ici.

    $BASE est le répertoire où Cisco Secure est installé, choisi pendant l'installation. Il contient des répertoires tels que des DOCUMENTATIONS, DBServer, CSU, et ainsi de suite.

    Dans cet exemple, l'installation dans /opt/CSCOacs est assumée, mais ceci peut différer sur votre système :

    setenv $BASE   /opt/CSCOacs

    $SQLANY est le répertoire où la base de données Cisco Secure par défaut est installée, choisi pendant l'installation. Si la base de données par défaut qui est livré avec le produit, SQLAnywhere, était utilisée, elle contient des répertoires tels que la base de données, documentation, et ainsi de suite.

    Dans cet exemple, l'installation dans /opt/CSCOacs/SYBSsa50 est assumée, mais ceci peut différer sur votre système.

    setenv $SQLANY /opt/CSCOacs/SYBSsa50

    Ajoutez les chemins dans votre environnement de shell à :

    $BASE/utils
    $BASE/bin
    $BASE/CSU
    $BASE/ns-home/admserv
    $BASE/Ns-home/bin/httpd
    $SQLANY/bin
  4. CD à $BASE/config

    CSU.cfg est la contrôle-FILE Cisco Secure de serveur. Tirez une copie de sauvegarde de ce fichier.

    Dans ce fichier, le config_license_key de LISTE affiche la clé de licence que vous avez reçue par la procédure d'autorisation si vous achetiez le logiciel ; si c'est un permis 4-port d'essai, vous pouvez omettre cette ligne.

    La section de config_nas_config de NAS peut contenir un serveur d'accès à distance par défaut (NAS) ou le routeur, ou le NAS que vous entrez pendant l'installer. Pour l'élimination des imperfections dans cet exemple, vous pouvez permettre à n'importe quel NAS pour communiquer avec le serveur Cisco Secure sans clé. Par exemple, retirez le nom du NAS et la clé des lignes qui contiennent le nom de NAS/* peut aller ici * » et/*NAS/Cisco sécurisent la clé secrète *. La seule strophe dans cette zone lit :

    NAS config_nas_config = {
      {
        "",         /* NAS name can go here */
        "",             /* NAS/Cisco Secure secret key */
        "",                        /* message_catalogue_filename */
        1,                         /* username retries */
        2,                         /* password retries */
        1                          /* trusted NAS for SENDPASS */
      }
    };
    
    AUTHEN config_external_authen_symbols = {

    Quand vous faites ceci, vous dites à Cisco Secure qu'on lui permet de parler avec tout le NASs sans l'échange des clés.

  5. Si vous souhaitez faire aller les informations de débogage à /var/log/csuslog, vous devez avoir une ligne dans la section supérieure de CSU.cfg, qui indique au serveur combien d'élimination des imperfections à faire. 0X7FFFFFFF ajoute toute l'élimination des imperfections possible. Ajoutez ou modifiez cette ligne en conséquence :

    NUMBER config_logging_configuration = 0x7FFFFFFF;

    Cette ligne supplémentaire envoie les informations de débogage à local0 :

    NUMBER config_system_logging_level = 0x80;

    En outre, ajoutez cette entrée afin de modifier le fichier de /etc/syslog.conf :

    local0.debug /var/log/csuslog

    Réutilisez alors le syslogd pour relire :

    kill -HUP `cat /etc/syslog.pid`

    Réutilisez le serveur Cisco Secure :

    /etc/rc0.d/K80Cisco Secure
    /etc/rc2.d/S80Cisco Secure

    Il devrait encore commencer.

  6. Vous pouvez vouloir utiliser le navigateur pour ajouter des utilisateurs, des groupes, et ainsi de suite, ou l'utilitaire de CSimport. Les utilisateurs témoin dans le fichier plat à la fin de ce document peuvent facilement être entrés dans la base de données utilisant CSimport. Ces utilisateurs travailleront pour le test et vous pouvez les supprimer une fois que vous obtenez vos propres utilisateurs dedans. Une fois qu'importé te peut voir les utilisateurs importés par le GUI.

    Si vous décidez d'utiliser CSimport :

    CD $BASE/utils

    Mettez les profils d'utilisateur et de groupe à la fin de ce document dans un fichier tel que n'importe où en fonction le système, puis à partir du répertoire $BASE/utils, avec les démons exécutant, par exemple, /etc/rc2.d/S80Cisco sécurisé, et comme racine d'utilisateur, exécutez CSimport avec l'option de test (- t) :

    ./CSimport -t -p <path_to_file> -s <name_of_file>

    Ceci teste la syntaxe pour les utilisateurs ; vous devriez recevoir des messages comme :

    Secure config home directory is: /opt/CSCOacs/config/CSConfig.ini
    hostname = berry and port = 9900 and clientid = 100
    /home/ddunlap/csecure/upgrade.log exists, do you want to write over 'yes' or 'no' ?
    yes
    Sorting profiles...
    Done sorting 21 profiles!
    Running the database import test...

    Vous ne devriez pas recevoir des messages comme :

    Error at line 2: password = "adminusr"
    Couldn't repair and continue parse

    S'il y avait des erreurs, examinez upgrade.log afin de s'assurer des profils vérifiés. Une fois que des erreurs sont corrigées, à partir du répertoire $BASE/utils, avec les démons s'exécutant (/etc/rc2.d/S80Cisco sécurisent), et comme racine d'utilisateur, exécutez CSimport avec l'option de validation (- c) d'entrer les utilisateurs dans la base de données :

    ./CSimport -c -p <path_to_file> -s <name_of_file>

    De nouveau, il ne devrait pas y avoir des erreurs sur l'écran ou dans upgrade.log.

  7. Des navigateurs pris en charge sont répertoriés dans le conseil technique Cisco Secure de compatibilité. De votre navigateur PC, point dans le Cisco Secure/boîtier Solaris http://#. #.#.#/cs#.#.#.# est l'IP du serveur Cisco Secure/Solaris.

    Sur l'écran qui apparaît, parce que l'utilisateur présentent le super utilisateur et pour le mot de passe, écrivez le changeme. Ne changez pas le mot de passe en ce moment. Vous devriez voir les utilisateurs/groupes ajoutés si vous utilisez le CSimport dans l'étape précédente ou vous pouvez cliquer sur le bloc de furetage hors fonction et manuellement ajouter des utilisateurs et des groupes par le GUI.

Installation de l'authentification

Remarque: Cette configuration de routeur a été développée sur un routeur qui exécute la version du logiciel Cisco IOS 11.3.3. La version du logiciel Cisco IOS 12.0.5.T et les expositions postérieures groupent des tacacs au lieu des tacacs.

En ce moment, configurez le routeur.

  1. Mise à mort Cisco Secure tandis que vous configurez le routeur.

    /etc/rc0.d/K80Cisco Secure to stop the daemons.
  2. Sur le routeur, début pour configurer TACACS+. Écrivez le conf t de mode enable et de type avant que le positionnement de commande. Cette syntaxe s'assure que vous n'êtes pas verrouillé hors de la fourniture de routeur au commencement Cisco Secure ne s'exécute pas. Écrivez la picoseconde - E-F | le grep sécurisé afin de vérifier pour s'assurer Cisco Secure ne s'exécute pas, et pour détruire -9 le processus s'il est :

    
    !--- Turn on TACACS+
    
    aaa new-model
    enable password whatever
    
    !--- These are lists of authentication methods,
    !--- that is, vtymethod and conmethod are
    !--- names of lists, and the methods listed on the 
    !--- same lines are the methods in the order to be 
    !--- tried. As used here, if authentication
    !--- fails due to Cisco Secure not being started, 
    !--- the enable password is accepted 
    !--- because it is in each list.
    
    aaa authentication login vtymethod tacacs+ enable
    aaa authentication login conmethod tacacs+ enable
    
    !--- Point the router to the server, that is, 
    !--- #.#.#.# is the server IP address.
    
    tacacs-server host #.#.#.#
    line con 0
        password whatever
        
    !--- No time-out to prevent being locked out 
        !--- during debugging.
    
        exec-timeout 0 0
        login authentication conmethod
    line vty 0 4
        password whatever
        
    !--- No time-out to prevent being locked out 
        !--- during debugging.
    
        exec-timeout 0 0
        login authentication vtymethod
  3. Essayer pour être sûr que vous pouvez encore accéder au routeur avec le telnet et par le port de console avant que vous continuiez. Puisque Cisco Secure ne s'exécute pas, le mot de passe d'enable devrait être reçu.

    attention Attention : Maintenez la session de port de console active et restez dans le mode enable ; cette session ne devrait pas chronométrer. Vous commencez à limiter l'accès au routeur en ce moment et vous devez pouvoir apporter des modifications de configuration sans se verrouiller.

    Émettez ces commandes afin de voir l'interaction de serveur-à-routeur au routeur :

    terminal monitor
    debug aaa authentication
  4. Comme racine, commencez Cisco Secure sur le serveur :

    /etc/rc2.d/S80Cisco Secure

    Ceci commence les processus, mais vous voulez activer plus d'élimination des imperfections qu'est configuré dans S80Cisco sécurisé, ainsi :

    ps -ef | grep Cisco Secure
    kill -9 <pid_of CS_process>
    
    CD $BASE/CSU
    ./Cisco Secure -cx -f $BASE/config/CSU.cfg to start the Cisco Secure process with debugging

    Avec - on peut observer l'option x, les passages Cisco Secures dans le premier plan ainsi le routeur à l'interaction de serveur. Vous ne devriez pas voir des messages d'erreur. Le processus Cisco Secure devrait commencer et arrêter là en raison - de l'option x.

  5. D'une autre fenêtre, contrôle pour être sure Cisco Secure commencé. Écrivez la picoseconde - E-F et recherchez le processus Cisco Secure.

  6. Les utilisateurs (vty) de telnet devraient maintenant devoir authentifier par Cisco Secure. Avec mettez au point sur le routeur, telnet dans le routeur d'une autre partie du réseau. Le routeur devrait produire une demande de nom d'utilisateur et mot de passe. Vous devriez pouvoir accéder au routeur avec des ces des combinaisons d'user-id/mot de passe :

    adminusr/adminusr
    operator/oper
    desusr/encrypt

    Observez le serveur et le routeur où vous devriez voir l'interaction, c.-à-d., ce qui est envoyée où, des réponses, et des demandes, et ainsi de suite. Corrigez tous les problèmes avant que vous continuiez.

  7. Si vous voulez également pour que vos utilisateurs authentifient par Cisco Secure pour entrer dans le mode enable, assurez-vous que votre session de port de console est toujours en activité et ajoutez cette commande au routeur :

    
    !--- For enable mode, list 'default' looks to Cisco Secure
    !--- then enable password if Cisco Secure is not running.
    
    aaa authentication enable default tacacs+ enable
  8. Vous devriez maintenant devoir activer par Cisco Secure. Avec mettez au point sur le routeur, telnet dans le routeur d'une autre partie du réseau. Quand le routeur demande le nom d'utilisateur/mot de passe répondez avec l'opérateur/exécution.

    Quand des essais d'opérateur d'utilisateur pour écrire le mode enable (niveau de privilège 15), le mot de passe « Cisco » est exigés. D'autres utilisateurs ne pourront pas écrire le mode enable sans déclaration de niveau de privilège (ou démon Cisco Secure vers le bas).

    Observez le serveur et le routeur où vous devriez voir l'interaction Cisco Secure, par exemple, ce qui est envoyée où, des réponses, et des demandes, et ainsi de suite. Corrigez tous les problèmes avant la continuation.

  9. Réduisez le processus Cisco Secure sur le serveur tandis que connecté toujours au port de console pour être sûr que vos utilisateurs peuvent encore accéder au routeur si Cisco Secure est vers le bas :

    'ps -ef' and look for Cisco Secure process 
    kill -9 pid_of_Cisco Secure

    Répétez le telnet et l'activation de l'étape précédente. Le routeur devrait se rendre compte que le processus Cisco Secure ne répond pas et permet à des utilisateurs pour ouvrir une session et activer avec les mots de passe par défaut d'enable.

  10. Amenez le serveur Cisco Secure de nouveau et établissez une session de telnet au routeur, qui devrait authentifier par Cisco Secure, avec l'ID utilisateur/l'opérateur/exécution de mot de passe afin de vérifier l'authentification de vos utilisateurs de port de console par Cisco Secure. Remain telnetted dans le routeur et dans le mode enable jusqu'à ce que vous soyez sûr que vous pouvez ouvrir une session au routeur par le port de console, par exemple, pour se déconnecter de votre connexion d'origine au routeur par le port de console, puis rebrancher au port de console. L'authentification de port de console à ouvrir une session avec l'utilisation les des combinaisons précédentes d'ID utilisateur/mot de passe devrait maintenant être par Cisco Secure. Par exemple, l'opérateur d'ID utilisateur/mot de passe/mot de passe cisco d'exécution alors doit être utilisé afin d'activer.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Utilisez l'Outil de recherche de commande (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Ajout d'autorisation

Ajouter l'autorisation est facultatif.

Par défaut, il y a trois niveaux de commande sur le routeur :

  • Niveau de privilège 0 — qui inclut le débronchement, la sortie d'enable, l'aide, et la déconnexion

  • Niveau de privilège 1 — le niveau normal sur un telnet et une demande indique le router>

  • Le niveau de privilège 15 — activez de niveau et la demande indique le router#

Puisque les commandes disponibles dépendent de l'ensemble de fonctionnalités de Cisco IOS, Cisco IOS version logicielle, modèle de routeur, et ainsi de suite, il n'y a aucune liste complète de toutes les commandes aux niveaux 1 et 15. Par exemple, le show ipx route n'est pas d'être présent dans une caractéristique IP seulement réglée, le transport nat de show ip n'est pas en code de la version du logiciel Cisco IOS 10.2.X parce que NAT n'a pas été introduit alors, et le show environment n'est pas présent dans des modèles de routeur sans alimentation d'énergie et contrôle de température.

Des commandes disponibles dans un routeur particulier à un niveau particulier peuvent être trouvées écrivent a ? à l'invite du routeur correspondant à ce niveau de privilège.

L'autorisation sur le port de console n'a pas été ajoutée comme caractéristique jusqu'à ce que CSCdi82030 ait été mis en application. L'autorisation sur le port de console est éteinte par défaut pour diminuer la probabilité accidentellement d'être verrouillée hors du routeur. Si un utilisateur a un accès physique au routeur par la console, l'autorisation de port de console n'est pas extrêmement pertinente. Mais, l'autorisation sur le port de console peut être activée sous la ligne commande de l'escroquerie 0 dans une image de Cisco IOS dans laquelle CSCdi82030 a été mis en application avec le l'exec default d'autorisation|Commande de WORD.

Procédez comme suit :

  1. Le routeur peut être configuré pour autoriser des commandes par Cisco Secure du tout ou quelques niveaux. Cette configuration du routeur permet à tous les utilisateurs d'avoir l'autorisation par-commande installée sur le serveur. Vous pouvez autoriser toutes les commandes par Cisco Secure mais si le serveur est en panne, aucune autorisation n'est nécessaire, par conséquent l'aucune.

    Avec le serveur Cisco Secure vers le bas, sélectionnez ces commandes :

    Sélectionnez cette commande afin de retirer la condition qu'activent l'authentification soit fait par Cisco Secure :

    no aaa authentication enable default tacacs+ none

    Sélectionnez ces commandes afin d'exiger que l'autorisation de commandes soit faite par Cisco Secure :

    aaa authorization commands 0 default tacacs+ none
    aaa authorization commands 1 default tacacs+ none
    aaa authorization commands 15 default tacacs+ none
  2. Tandis que le serveur Cisco Secure fonctionne, telnet dans le routeur avec l'ID utilisateur/mot de passe loneusr/lonepwd. Cet utilisateur devrait devoir ne pas pouvoir faire toutes les commandes autres que :

    show version
    ping <anything>
    logout

    Les utilisateurs précédents, adminusr/adminusr, opérateur/exécution, desusr/chiffrent, devraient pouvoir toujours faire tout des commandes en vertu de leur service = autorisation par défaut. S'il y a des problèmes avec le processus, écrivez le mode enable sur le routeur et activez l'élimination des imperfections d'autorisation avec cette commande :

    terminal monitor
    debug aaa authorization

    Observez le serveur et le routeur où vous devriez voir l'interaction Cisco Secure, par exemple, ce qui est envoyée où, des réponses, et des demandes, et ainsi de suite. Corrigez tous les problèmes avant que vous continuiez.

  3. Le routeur peut être configuré pour autoriser des sessions d'EXEC par Cisco Secure. L'exec default tacacs+ d'autorisation d'AAA aucun commandent l'autorisation des instituts TACACS+ pour des sessions d'EXEC.

    Si vous appliquez ceci, il affecte le temps d'utilisateurs/temps, le telnet/telnet, le todam/todam, le todpm/todpm et le somerouters/somerouters. Après que vous ajoutiez cette commande au routeur et telnet au routeur comme temps d'utilisateur/temps, une session d'EXEC demeure ouverte pour une minute (placez le délai d'attente = 1). Le telnet d'utilisateur/telnet présente le routeur mais est immédiatement envoyé à l'autre adresse (placez l'autocmd = le « telnet 171.68.118.102"). Il est possible que les utilisateurs todam/todam et todpm/todpm puissent ou ne sont pas accéder au routeur, qui dépend en fonction quelle heure du jour il est pendant le test. Les somerouters d'utilisateur peut seulement au telnet dans le routeur koala.rtp.cisco.com du réseau 10.31.1.x. Essais Cisco Secures pour résoudre le nom du routeur. Si vous utilisez l'adresse IP 10.31.1.5, elle est valide si la résolution n'a pas lieu, et si vous utilisez le koala de nom, il est valide si la résolution est.

Ajout de la comptabilité

L'ajout de la comptabilité est facultatif.

  1. La comptabilité n'a pas lieu à moins que configuré dans le routeur, si le le routeur exécute la version logicielle de Cisco IOS plus tard que le Logiciel Cisco IOS version 11.0. Vous pouvez activer la comptabilité sur le routeur :

    aaa accounting exec default start-stop tacacs+
    aaa accounting connection default start-stop tacacs+
    aaa accounting network default start-stop tacacs+
    aaa accounting system default start-stop tacacs+

    Remarque: La comptabilité des commandes était cassée, dans l'ID de bogue Cisco CSCdi44140, mais si vous utilisez une image dans laquelle ceci est réparé, la comptabilité des commandes peut également être activée.

  2. Ajoutez l'élimination des imperfections d'enregistrement des comptes sur le routeur :

    terminal monitor
    debug aaa accounting
  3. Debug sur la console si les articles statistiques de show accounting présentant le serveur pendant que les utilisateurs ouvrent une session.

  4. Afin de récupérer des enregistrements des comptes, comme racine :

    CD $BASE/utils/bin
    ./AcctExport <filename> no_truncate

    le no_truncate signifie que les données sont retenues dans la base de données.

Ajouter des utilisateurs de connexion téléphonique

Procédez comme suit :

  1. Assurez-vous que les autres fonctions du travail Cisco Secure avant que vous ajoutiez des utilisateurs de connexion téléphonique. Si le serveur Cisco Secure et le modem ne travaillaient pas avant ce point, ils ne travaillent pas après ce point.

  2. Ajoutez cette commande à la configuration de routeur :

    aaa authentication ppp default if-needed tacacs+
    aaa authentication login default tacacs+ enable
    aaa authorization network default tacacs+
    chat-script default "" at&fls0=1&h1&r2&c1&d2&b1e0q2 OK

    Les configurations d'interface diffèrent, qui dépend de la façon dont l'authentification est faite, mais des lignes d'accès commuté entrant sont utilisées dans cet exemple, avec ces configurations :

    interface Ethernet 0
    ip address 10.6.1.200 255.255.255.0
    
    !
    !--- CHAP/PPP authentication user:
    
    interface Async1
    ip unnumbered Ethernet0
    encapsulation ppp
    async mode dedicated
    peer default ip address pool async
    no cdp enable
    ppp authentication chap
    
    !
    !--- PAP/PPP authentication user:
    
    interface Async2
    ip unnumbered Ethernet0
    encapsulation ppp
    async mode dedicated
    peer default ip address pool async
    no cdp enable
    ppp authentication pap
    
    !
    !--- login authentication user with autocommand PPP:
    
    interface Async3
    ip unnumbered Ethernet0
    encapsulation ppp
    async mode interactive
    peer default ip address pool async
    no cdp enable
    
    ip local pool async 10.6.100.101 10.6.100.103
    
    line 1
    session-timeout 20
    exec-timeout 120 0
    autoselect during-login
    script startup default
    script reset default
    modem Dialin
    transport input all
    stopbits 1
    rxspeed 115200
    txspeed 115200
    flowcontrol hardware
    
    !
    
    line 2
    session-timeout 20
    exec-timeout 120 0
    autoselect during-login
    script startup default
    script reset default
    modem Dialin
    transport input all
    stopbits 1
    rxspeed 115200
    txspeed 115200
    flowcontrol hardware
    
    !
    
    line 3
    session-timeout 20
    exec-timeout 120 0
    autoselect during-login
    autoselect ppp
    script startup default
    script reset default
    modem Dialin
    autocommand ppp
    transport input all
    stopbits 1
    rxspeed 115200
    txspeed 115200
    flowcontrol hardware
    
    !
    
    access-list 101 deny icmp any any
  3. À partir du fichier utilisateur du Cisco Secure :

    • chapuser — CHAP/PPP — utilisateur se connecte sur la ligne 1 ; l'adresse est assignée par le groupe de peer default ip address async et l'ip local pool 10.6.100.101 async 10.6.100.103 sur le routeur

    • chapaddr — CHAP/PPP — utilisateur se connecte sur la ligne 1 ; l'adresse 10.29.1.99 est assignée par le serveur

    • chapacl — CHAP/PPP — utilisateur se connecte sur la ligne 1 ; l'adresse 10.29.1.100 est assignée par le serveur et la liste d'accès en entrée 101 est appliquée (qui doit être définie sur le routeur)

    • papuser — PAP/PPP — utilisateur se connecte sur la ligne 2 ; l'adresse est assignée par le groupe de peer default ip address async et l'ip local pool 10.6.100.101 async 10.6.100.103 sur le routeur

    • papaddr — PAP/PPP — utilisateur se connecte sur la ligne 2 ; l'adresse 10.29.1.98 est assignée par le serveur

    • papacl — PAP/PPP — utilisateur se connecte sur la ligne 2 ; l'adresse 10.29.1.100 est assignée par le serveur et la liste d'accès en entrée 101 est appliquée, qui doit être définie sur le routeur

    • loginauto — l'utilisateur se connecte sur la ligne 3 ; l'authentification de connexion avec l'autocommand sur la ligne force l'utilisateur à la connexion PPP et assigne l'adresse du groupe

  4. Microsoft Windows a installé pour tous les utilisateurs excepté le loginauto d'utilisateur

    1. Choisissez le début > le Programs > Accessories > Dial Up Networking.

    2. Choisissez les connexions > établissent le nouveau rapport. Introduisez un nom pour votre connexion.

    3. Écrivez vos informations de modem-particularité. Dans configurez > général, choisissent la vitesse la plus élevée de votre modem, mais ne cochent pas la case au-dessous de ceci.

    4. Dans configurez > connexion, n'utilisez 8 bits de données, aucune parité, et 1 bit d'arrêt. Les préférences d'appel sont attente la tonalité avant la composition et annulent l'appel sinon connecté après 200 secondes.

    5. Dans avancé, choisissez seulement le contrôle de flux matériel et le type de modulation norme.

    6. Dans configurez > des options, rien devrait être vérifié excepté sous le contrôle d'état. Cliquez sur OK.

    7. Sur la prochaine fenêtre, introduisez le numéro de téléphone de la destination, puis cliquez sur Next, et puis cliquez sur Finish.

    8. Une fois que la nouvelle icône de connexion apparaît, cliquez avec le bouton droit-la et choisissez Properties, et puis cliquez sur le type de serveur.

    9. Choisissez le PPP : Le WINDOWS 95, WINDOWS NT 3.5, Internet et ne vérifie aucune option avancée.

    10. Dans des protocoles réseau permis, vérifiez au moins le TCP/IP.

    11. Sous des configurations TCP/IP, choisissez le serveur adresse IP assignée, serveur les adresses assignées de Serveur de noms, et la passerelle par défaut d'utilisation sur le réseau distant. Cliquez sur OK.

    12. Quand vous double-cliquer l'icône pour évoquer le connecter à la fenêtre afin de composer, vous devez compléter les champs de nom d'utilisateur et de mot de passe, et puis cliquez sur le connecter.

  5. Microsoft Windows 95 installé pour le loginauto d'utilisateur

    1. La configuration pour le loginauto d'utilisateur, utilisateur d'authentification avec le PPP d'autocommand, est identique que pour d'autres utilisateurs à moins que sur la fenêtre de configurer > d'options. Le contrôle apportent le terminal window après composition.

    2. Quand vous double-cliquer l'icône pour évoquer le connecter à la fenêtre pour composer, vous ne complétez pas les champs de nom d'utilisateur et de mot de passe. Le clic connectent et après que le rapport au routeur soit établi, saisissent le nom d'utilisateur et mot de passe dans la fenêtre noire qui apparaît.

    3. Après authentification, clic Continue(F7).

Vérifiez

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Serveur

./Cisco - la CX - f sécurisé $BASE/CSU $BASE/config/CSU.cfg

Routeur

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Remarque: Référez-vous aux informations importantes sur les commandes de débogage avant d'utiliser les commandes de débogage. Pour plus d'informations sur des commandes spécifiques, voir s'il vous plaît la référence de débogage des commandes de Cisco IOS.

  • terminal monitor — L'affichage mettent au point des messages d'erreur de sortie de commande et de système pour le terminal et la session en cours.

  • debug ppp negotiation — Paquets PPP d'affichage transmis pendant le startup de PPP, où des options PPP sont négociées.

  • paquet de debug ppp — Paquets PPP d'affichage qui sont envoyés et reçus. Cette commande affiche des vidages mémoire de paquet à bas niveau.

  • debug ppp chap — Affichez les informations sur le trafic et les échanges d'un interréseau mettant en application l'authentification Protocol (CHAP) de défi.

  • debug aaa authentication — Voyez quelles méthodes d'authentification sont utilisées et ce que sont les résultats de ces méthodes.

  • autorisation de debug aaa — Voyez quelles méthodes d'autorisation sont utilisées et ce que sont les résultats de ces méthodes.

Fichier d'utilisateurs Cisco Secure

group = admin {
        password = clear "adminpwd"
        service = shell {
                default cmd = permit
                default attribute = permit
        }
}
 
group = oper {
        password = clear "oper"
        privilege = clear "cisco" 15
        service = shell {
                default cmd = permit
                default attribute = permit
        }
}

user = adminusr {
        password = clear "adminusr"
        default service = permit
        }

user = desusr {
        password = des "QjnXYd1kd7ePk"
        default service = permit
        }

user = operator {
        member = oper 
        default service = permit
        }

user = time {
        default service = permit
        password = clear "time"
        service = shell  {
                set timeout = 1
                default cmd = permit
                default attribute = permit
        }
}

user = todam {
        password = clear "todam"
        service = shell  {
                default cmd = permit
                default attribute = permit
                time = Any 0600 - 1200
        }
        }

user = todpm {
        password = clear "todpm"
        service = shell  {
                default cmd = permit
                default attribute = permit
                time = Any 1200 - 2359
        }
        }

user = telnet {
        password = clear "telnet"
        service = shell  {
                set autocmd = "telnet 171.68.118.102"
                        }
        }

user = limit_lifetime {
        password = clear "cisco" from
        "2 may 2001" until
        "4 may 2001"
        }
 
user = loneusr {
        password = clear "lonepwd"
        service = shell  {
                cmd = show {
                permit "ver"
                }
                cmd = ping {
                permit "."
                }
                cmd = logout {
                permit "."
                }
        }
}
 
user = chapuser {
        default service = permit
        password = chap "chapuser"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                }
        }
}

user = chapaddr {
        password = chap "chapaddr"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                        set addr = 10.29.1.99
                }
        }
}

user = chapacl {
        default service = permit
        password = chap "chapacl"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                        set inacl = 101
                        set addr = 10.29.1.100
                }
        }
}

user = papuser {
        default service = permit
        password = pap "papuser"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                }
        }
}

user = papaddr {
        default service = permit
        password = pap "papaddr"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                        set addr = 10.29.1.98
                }
        }
}

user = papacl {
        default service = permit
        password = chap "papacl"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                        set inacl = 101
                        set addr = 10.29.1.100
                }
        }
}

user = loginauto {
        default service = permit
        password = clear "loginauto"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                        }
        }
 }

user = somerouters {
   password = clear "somerouters"
   allow koala ".*" "10\.31\.1\.*"
   allow koala.rtp.cisco.com ".*" "10\.31\.1\.*"
   allow 10.31.1.5 ".*" "10\.31\.1\.*"
   refuse ".*" ".*" ".*"
   service=shell {
   default cmd=permit
   default attribute=permit
   }
   }

Informations connexes


Document ID: 13850