安全 : Cisco Secure Access Control System 5.4

与ACS 5.4配置示例的NCS集成

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

本文为TACACS+认证提供配置示例和授权在思科最初网络控制系统(NCS)版本1.1。

贡献用Minakshi库马尔, Cisco TAC工程师。 

先决条件

要求

尝试进行此配置之前,请确保满足以下要求:

  • 定义NCS作为访问控制系统(ACS)的一个客户端。

  • 定义IP地址和相同的共享密钥在ACS和NCS。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • ACS版本5.4

  • NCS头等版本1.1

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

配置

在此部分,您提交与用于的信息为了配置在本文描述的功能。

注意:使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

添加ACS作为TACACS服务器

完成这些步骤为了添加ACS作为TACACS服务器:

  1. 导航对管理>AAA

  2. 从左侧侧边栏菜单,请选择TACACS+,并且此信息显示:



    TACACS+页显示IP地址,端口,重新传输速率和认证类型。

  3. 添加ACS服务器的IP地址。

  4. 输入ACS服务器使用的TACACS+共享的机密。

  5. 重新输入共享机密在确认共享的秘密文本框。

  6. 留下字段的其余他们的默认设置的。

  7. 单击 submit

AAA模式设置

为了选择验证、授权和统计(AAA)模式,请完成这些步骤:

  1. 导航对管理>AAA

  2. 从左侧侧边栏菜单选择AAA模式,并且此信息显示:



  3. 选择TACACS+

  4. 请检查Enable (event) Fallback到本地复选框,如果希望管理员使用本地数据库,当外部AAA服务器(ACS)时发生故障。推荐这,以便验证仍然出现,如果TACACS+服务器出故障。一旦配置验证和工作,如果需要您能做变动。

ACS版本5.4配置

对于ACS版本5.4配置,您必须完成这些步骤为了发送从ACS的属性到NCS :

  1. 获取属性:

    • 导航给管理>AAA >用户组

    • 此示例显示管理员验证。寻找在列表的Admin group名称,并且点击在右边的任务列表选项。





  2. 导出并且保存属性到桌面。

  3. 登陆对ACS Admin GUI,并且导航到策略元素>验证和权限>设备Administration > Shell配置文件为了创建Shell配置文件。

  4. 给出配置文件NCS



  5. 自定义属性请选中,输入这些值:
    Attribute          Requirement    Value
    --------------------------------------------------------
    role0               Mandatory     Admin
    task0               Mandatory     GLOBAL
    task1               Mandatory     View Alerts and Events
    Virtual-domain0     Mandatory     ROOT-DOMAIN

    注意:万一使用NCS,最近版本虚拟域在列表包括。您必须定义用户虚拟域。



  6. 提交更改为了创建NCS的一个基于属性的角色。

  7. 导航到访问策略>Access Services>默认设备Admin >标识,并且选择标识来源的内部用户



  8. 创建一个新的授权规则或编辑在正确访问策略已经存在的规则。默认情况下, TACACS+请求由默认设备Admin访问策略处理。



  9. 情况地区中,请选择适当的条件。在成果区域中,请选择Shell配置文件的NCS

  10. 单击 Ok

验证

登录NCS并且确认您有Admin角色。

故障排除

如果不能登录NCS,登录ACS GUI和导航到监控和报告>目录>AAA协议> TACACS+认证。为什么选择失败的认证,并且选择详细信息为了发现验证失败或拒绝。 



Document ID: 116358