Sécurité : Système de contrôle d'accès sécurisé Cisco

ACS 5.x : Autorisation d'authentification et de commande TACACS+ basée sur l'exemple de configuration d'adhésion à des associations d'AD

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document fournit à un exemple de configurer l'autorisation d'authentification et de commande TACACS+ basée sur l'adhésion à des associations d'AD d'un utilisateur le Système de contrôle d'accès sécurisé Cisco (ACS) 5.x et plus tard. ACS utilise le Microsoft Active Directory (AD) comme mémoire externe d'identité pour enregistrer des ressources comme des utilisateurs, ordinateurs, groupes, et attributs.

Conditions préalables

Conditions requises

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Cisco Secure ACS 5.3

  • Version de logiciel 12.2(44)SE6 de½ du¿Â du Cisco IOSïÂ.

    Remarque: Cette configuration peut être faite sur tous les périphériques de Cisco IOS.

  • Domaine 2003 de Microsoft Windows Server

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configuration

Configurez ACS 5.x pour l'authentification et l'autorisation

Avant que vous commenciez la configuration de l'ACS 5.x pour l'authentification et l'autorisation, ACS devrait avoir été intégré avec succès avec l'AD de Microsoft. Si l'ACS n'est pas intégré avec le domaine désiré d'AD, référez-vous à ACS 5.x et plus tard : Intégration avec le pour en savoir plus d'exemple de configuration de Microsoft Active Directory afin d'effectuer la tâche d'intégration.

Dans cette section, vous tracez deux groupes d'AD à deux positionnements différents de commande et deux profils de shell, un avec l'accès complet et l'autre avec limité-Access sur les périphériques de Cisco IOS.

  1. Connectez-vous dans le GUI ACS utilisant des qualifications d'admin.

  2. Choisissez les utilisateurs et l'identité enregistre > identité externe enregistre > Répertoire actif et vérifie que l'ACS a joint le domaine désiré et aussi que l'état de Connectivité est affiché comme connecté.

    Cliquez sur en fonction l'onglet de groupes de répertoire.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-01.gif

  3. Clic choisi.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-02.gif

  4. Choisissez les groupes qui doivent être tracés aux profils de shell et la commande place dans la partie postérieure de la configuration. Cliquez sur OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-03.gif

  5. Modifications de sauvegarde de clic.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-04.gif

  6. Choisissez les stratégies d'Access > les services d'accès > les règles de sélection de service et identifiez le service d'accès, qui traite l'authentification TACACS+. Dans cet exemple, c'est admin par défaut de périphérique.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-05.gif

  7. Choisissez les stratégies d'Access > les services d'accès > l'admin > l'identité de périphérique de par défaut et cliquez sur choisi à côté de la source d'identité.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-06.gif

  8. Choisissez AD1 et cliquez sur OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-07.gif

  9. Modifications de sauvegarde de clic.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-08.gif

  10. Choisissez les stratégies d'Access > les services d'accès > l'admin > l'autorisation de périphérique de par défaut et cliquez sur en fonction Customize.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-09.gif

  11. La copie AD1:ExternalGroups de disponible à la section sélectionnée d'états Customize et alors déplacent le profil de shell et commandent des positionnements de disponible à la section sélectionnée de résultats Customize. Cliquez sur OK maintenant.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-10.gif

  12. Le clic créent afin de créer une nouvelle règle.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-11.gif

  13. Clic choisi en état AD1:ExternalGroups.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-12.gif

  14. Choisissez le groupe que vous voulez fournir l'accès complet sur le périphérique de Cisco IOS. Cliquez sur OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-13.gif

  15. Clic choisi dans le domaine de profil de shell.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-14.gif

  16. Le clic créent afin de créer un nouveau profil de shell pour des utilisateurs d'accès complet.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-15.gif

  17. Fournissez un nom et un Description(optional) dans l'onglet Général et cliquez sur en fonction l'onglet de fonctionnalités usuelles.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-16.gif

  18. Changez le privilège par défaut et le privilège de maximum à la charge statique avec la valeur 15. Cliquez sur Submit.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-17.gif

  19. Maintenant choisissez le profil de création récente de shell d'accès complet (Plein-privilège dans cet exemple) et cliquez sur OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-18.gif

  20. Clic choisi dans le domaine de positionnements de commande.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-19.gif

  21. Le clic créent afin de créer une nouvelle commande réglée pour des utilisateurs d'accès complet.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-20.gif

  22. Fournissez un nom et assurez-vous que la case à côté de l'autorisation n'importe quelle commande qui n'est pas dans la table ci-dessous est cochée. Cliquez sur Submit.

    Remarque: Référez-vous à créer, à reproduire, et à éditer des positionnements de commande pour la gestion de périphérique pour plus d'informations sur des positionnements de commande.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-21.gif

  23. Cliquez sur OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-22.gif

  24. Cliquez sur OK. Ceci se termine la configuration de Rule-1.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-23.gif

  25. Le clic créent afin de créer une nouvelle règle pour les utilisateurs limités d'accès.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-24.gif

  26. Choisissez AD1:ExternalGroups et cliquez sur choisi.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-25.gif

  27. Choisissez les groupes de groupe (ou) que vous voulez fournir l'accès limité à et cliquer sur OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-26.gif

  28. Clic choisi dans le domaine de profil de shell.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-27.gif

  29. Le clic créent afin de créer un nouveau profil de shell pour l'accès limité.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-28.gif

  30. Fournissez un nom et un Description(optional) dans l'onglet Général et cliquez sur en fonction l'onglet de fonctionnalités usuelles.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-29.gif

  31. Changez le privilège par défaut et le privilège de maximum à la charge statique avec les valeurs 1 et 15 respectivement. Cliquez sur Submit.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-30.gif

  32. Cliquez sur OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-31.gif

  33. Clic choisi dans le domaine de positionnements de commande.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-32.gif

  34. Le clic créent pour créer une nouvelle commande réglée pour le groupe d'accès limité.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-33.gif

  35. Fournissez un nom et assurez-vous que la case à cocher à côté de l'autorisation aucune commande qui n'est pas dans la table ci-dessous n'est pas sélectionnée. Cliquez sur Add après avoir tapé l'exposition dans l'espace prévu dans la section de commande et choisissez l'autorisation dans la section de Grant de sorte que seulement on permette les commandes show pour les utilisateurs dans le groupe d'accès limité.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-34.gif

  36. Ajoutez de même toutes les autres commandes d'être tenu compte des utilisateurs dans le groupe d'accès limité avec l'utilisation Add. Cliquez sur Submit.

    Remarque: Référez-vous à créer, à reproduire, et à éditer des positionnements de commande pour la gestion de périphérique pour plus d'informations sur des positionnements de commande.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-35.gif

  37. Cliquez sur OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-36.gif

  38. Cliquez sur OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-37.gif

  39. Modifications de sauvegarde de clic.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-38.gif

  40. Le clic créent afin d'ajouter le périphérique de Cisco IOS en tant que client d'AAA sur l'ACS.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-39.gif

  41. Fournissez un nom, adresse IP, secret partagé pour TACACS+ et cliquez sur Submit.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-40.gif

Configurez le périphérique de Cisco IOS pour l'authentification et l'autorisation

Terminez-vous ces étapes afin de configurer le périphérique de Cisco IOS et l'ACS pour l'authentification et l'autorisation.

  1. Créez un utilisateur local avec le plein privilège pour le retour avec la commande de nom d'utilisateur comme affiché ici :

    username admin privilege 15 password 0 cisco123!
  2. Fournissez l'adresse IP de l'ACS afin d'activer l'AAA et ajouter ACS 5.x comme serveur TACACS.

    aaa new-model
    tacacs-server host 192.168.26.51 key cisco123

    Remarque: La clé devrait s'assortir avec le Partager-secret donné sur l'ACS pour ce périphérique de Cisco IOS.

  3. Testez l'accessibilité de serveur TACACS avec la commande d'AAA de test comme affichée.

    test aaa group tacacs+ user1 xxxxx legacy
    Attempting authentication test to server-group tacacs+ using tacacs+
    User was successfully authenticated.

    La sortie de la commande précédente prouve que le serveur TACACS est accessible et l'utilisateur a été avec succès authentifié.

    Remarque: User1 et mot de passe xxx appartiennent à l'AD. Si le test veuillez échouer assurez-vous que le Partager-secret fourni dans l'étape précédente est correct.

  4. Configurez la procédure de connexion et activez les authentifications et puis utilisez les autorisations d'exécutif et de commande comme affiché ici :

    aaa authentication login default group tacacs+ local
    aaa authentication enable default group tacacs+ enable
    aaa authorization exec default group tacacs+ local
    aaa authorization commands 0 default group tacacs+ local
    aaa authorization commands 1 default group tacacs+ local
    aaa authorization commands 15 default group tacacs+ local
    aaa authorization config-commands

    Remarque: Les mots clé de gens du pays et d'enable sont utilisés pour le retour au Cisco IOS utilisateur local et enable secret respectivement si le serveur TACACS est inaccessible.

Vérifiez

Afin de vérifier l'authentification et l'autorisation ouvrez une session au périphérique de Cisco IOS par le telnet.

  1. Telnet au périphérique de Cisco IOS comme user1 qui appartient au groupe d'accès complet dans l'AD. Le groupe d'admins de réseau est le groupe dans l'AD qui est commande tracée de profil et d'accès complet de shell de Plein-privilège réglée sur l'ACS. Essayez d'exécuter n'importe quelle commande de s'assurer que vous avez l'accès complet.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-41.gif

  2. Telnet au périphérique de Cisco IOS comme user2 qui appartient au groupe de limité-Access dans l'AD. (Le groupe d'équipe de maintenance du réseau est le groupe dans l'AD qui est commande tracée de profil et d'Exposition-Access de shell de Limité-privilège réglée sur l'ACS). Si vous essayez d'exécuter n'importe quelle commande autre que celle mentionnée dans le positionnement de commande d'Exposition-Access, vous devriez obtenir une autorisation de commande avez manqué l'erreur, qui prouve que l'user2 a limité l'accès.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-42.gif

  3. Ouvrez une session au GUI ACS et lancez la surveillance et signalez le visualiseur. Choisissez le protocole AAA > le TACACS+Authorization afin de vérifier les activités exercées par user1 et user2.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-43.gif


Informations connexes


Document ID: 113590