Sécurité : Cisco Secure Access Control Server pour Windows

Exemple de configuration d'autorisation des commandes du shell sur un routeur Juniper avec ACS

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document fournit à une configuration d'échantillon sur des positionnements d'autorisation de commande shell dans le Cisco Secure Access Control Server (ACS) pour le routeur de genévrier, un constructeur tiers, TACACS+.

Référez-vous aux paramètres de RAYON de genévrier de configuration pour un utilisateur afin de configurer et permettre à des attributs RADIUS de genévrier de s'appliquer comme autorisation pour l'utilisateur courant.

Conditions préalables

Conditions requises

Ce document suppose que les configurations de base sont placées dans des clients d'AAA et ACS.

  1. Dans ACS, choisissez la configuration d'interface > a avancé des options.

  2. Assurez-vous que la case d'attributs du Par-utilisateur TACACS+/RADIUS est cochée.

Composants utilisés

Les informations dans ce document sont basées sur le Cisco Secure Access Control Server (ACS) ces passages la version de logiciel 4.1.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configurez

Configurations TACACS+

Les positionnements d'autorisation de commande fournissent un mécanisme central pour contrôler l'autorisation de chaque commande qui est émise sur n'importe quel périphérique donné de réseau. Cette caractéristique améliore considérablement l'évolutivité et la gestionnabilité exigées pour placer des restrictions d'autorisation.

Les positionnements d'autorisation de commande de genévrier exigent que la demande d'autorisation de commande TACACS+ identifient le service comme junos-exécutif.

Afin de configurer et permettre à des attributs de genévrier de s'appliquer comme autorisation pour l'utilisateur courant, terminez-vous ces étapes :

  1. Ajoutez les Routeurs de genévrier sous des clients de configuration réseau > d'AAA > ajoutent l'entrée avec TACACS+ (CISCO IOS) comme protocole d'authentification et avec l'IP address correct où ils source leurs demandes et la clé secrète partagée assortie.

    acs-juniper-01.gif

  2. Choisissez la configuration d'interface > le TACACS+ (CISCO IOS). Sous de nouveaux services, activez le junos-exécutif entretient par utilisateur, par groupe ou chacun des deux. Il est recommandé pour faire ceci par utilisateur si vous voulez permettre différentes valeurs sur a par base d'utilisateur (X, Y, Z, DE X/Y).

    acs-juniper-02.gif

  3. Allez au groupe/installation utilisateur et trouvez ce service de création récente sous des configurations TACACS+. Vérifiez l'option pour le junos-exécutif et l'option pour des attributs personnalisés. Écrivez les valeurs de ce service pour chaque utilisateur par cette image :

    acs-juniper-03.gif

    For X user account you will need to enter the following attributes:
    
    local-user-name = sales 
    allow-commands = "configure" 
    deny-commands = "shutdown" 
    
    For Y user account you will need to enter:
    
    local-user-name = sales 
    allow-commands = "(request system) | (show rip neighbor)" 
    deny-commands = "<^clear" 
    
    For Z user acccount:
    
    local-user-name = engineering 
    allow-commands = "monitor | help | show | ping | traceroute" 
    deny-commands = "configure" 
    
    Finally, for XY user account:
    
    local-user-name = engineering 
    allow-commands = "show bgp neighbor" 
    deny-commands = "telnet | ssh"

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 110895