セキュリティ : Cisco Secure Access Control Server for Windows

ACS を使用した Juniper ルータでのシェル コマンド認可の設定例

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この資料は Cisco Secure Access Control Server (ACS)の Shell コマンド 許可セットで TACACS+ を Juniper ルータに設定 例に、サードパーティベンダー、与えたものです。

Juniper RADIUS特性を現在のユーザ向けの許可として適用することを設定し、可能にするためにユーザ向けの設定 Juniper RADIUS パラメータを参照して下さい。

前提条件

要件

この資料は基本設定が AAA 両方クライアントおよび ACS で設定 されると仮定します。

  1. ACS では、Interface Configuration > Advanced Options の順に選択 して下さい。

  2. ユーザごとの TACACS+/RADIUS Attributes チェックボックスがチェックされるようにして下さい。

使用するコンポーネント

この文書に記載されている情報は Cisco Secure Access Control Server (ACS)にその実行ソフトウェア バージョン 4.1 基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

TACACS+ コンフィギュレーション

コマンド許可セットは、任意のネットワーク デバイス上で発行された各コマンドの許可を制御する中心的なメカニズムとなります。 この機能で、許可の制限を設定するために必要なスケーラビリティと管理性が大幅に向上します。

Juniper コマンド許可セットは TACACS+ コマンド 認証要求が junos EXEC としてサービスを示すことを必要とします。

Juniper 属性を可能にするために現在のユーザ向けの許可として適用することを設定し、これらのステップを完了して下さい:

  1. 認証プロトコルとして TACACS+ (CISCO IOS)のと要求および一致する共有秘密キーのソースをたどる正しい IP アドレスNetwork Configuration > AAA クライアント > Add Entry の下で Juniper ルータを追加して下さい。

    acs-juniper-01.gif

  2. Interface Configuration > TACACS+ (Cisco IOS) の順に選択 して下さい。 新しいサービスの下で、junos EXEC を保守しますグループまたは両方ごとのユーザ 1 人あたりに、有効に して下さい。 ユーザ基礎(X、Y、Z、X-Y)ごとの a の異なる値を許可したいと思う場合ユーザ 1 人あたりにこれをすることを推奨します。

    acs-juniper-02.gif

  3. グループ/ユーザセットアップに行き、TACACS+ 設定の下でこの新しく作成されたサービスを見つけて下さい。 junos EXEC があるようにオプションおよびカスタム属性に関してはオプションを確認して下さい。 このイメージごとの各ユーザ向けのこのサービスの値を入力して下さい:

    acs-juniper-03.gif

    For X user account you will need to enter the following attributes:
    
    local-user-name = sales 
    allow-commands = "configure" 
    deny-commands = "shutdown" 
    
    For Y user account you will need to enter:
    
    local-user-name = sales 
    allow-commands = "(request system) | (show rip neighbor)" 
    deny-commands = "<^clear" 
    
    For Z user acccount:
    
    local-user-name = engineering 
    allow-commands = "monitor | help | show | ping | traceroute" 
    deny-commands = "configure" 
    
    Finally, for XY user account:
    
    local-user-name = engineering 
    allow-commands = "show bgp neighbor" 
    deny-commands = "telnet | ssh"

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 110895