安全 : 用于 Windows 的思科安全访问控制服务器

在Juniper路由器和ACS的Shell命令授权有配置示例

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2014 年 9 月 16 日) | 反馈


目录


简介

本文在思科安全访问控制服务器(ACS)的shell命令授权集提供一配置示例为Juniper路由器,第三方供应商,以TACACS+。

参考设置用户的Juniper RADIUS参数为了配置和使Juniper RADIUS属性申请作为授权当前用户。

先决条件

要求

本文假设,基本配置在AAA客户端和ACS设置。

  1. 在ACS,请选择Interface Configuration > Advanced Options

  2. 保证每用户TACACS+/RADIUS属性复选框被检查。

使用的组件

本文档中的信息根据思科安全访问控制服务器(ACS)该运行软件版本4.1。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

配置

TACACS+配置

命令授权集提供了一种中央控制机制,用于控制在任意给定网络设备上发出的每个命令的授权。此功能极大地增强了设置授权限制所需要的可扩展性和可管理性。

Juniper Authorization命令集要求tacacs+命令授权请求识别服务作为junos exec

为了配置和使Juniper属性申请作为授权当前用户,请完成这些步骤:

  1. 添加Juniper路由器在Network Configuration > AAA客户端> Add Entry下TACACS+ (CISCO IOS)作为认证协议和用他们来源他们的请求和匹配的共享密钥的正确IP地址

    acs-juniper-01.gif

  2. 选择Interface Configuration > TACACS+ (CISCO IOS)。在新的服务下,请启用junos exec每个用户服务,每组或两个。推荐每个用户执行此,如果要允许在a的不同的值每用户(X、Y, Z, X - Y)。

    acs-juniper-02.gif

  3. 去组/用户设置并且寻找此新建立的服务在TACACS+设置下。检查选项junos exec和选项自定义属性。输入值每个用户的此服务每此镜像:

    acs-juniper-03.gif

    For X user account you will need to enter the following attributes:
    
    local-user-name = sales 
    allow-commands = "configure" 
    deny-commands = "shutdown" 
    
    For Y user account you will need to enter:
    
    local-user-name = sales 
    allow-commands = "(request system) | (show rip neighbor)" 
    deny-commands = "<^clear" 
    
    For Z user acccount:
    
    local-user-name = engineering 
    allow-commands = "monitor | help | show | ping | traceroute" 
    deny-commands = "configure" 
    
    Finally, for XY user account:
    
    local-user-name = engineering 
    allow-commands = "show bgp neighbor" 
    deny-commands = "telnet | ssh"

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 110895