セキュリティ : Cisco Secure Access Control System

ACS 5.x: AD のグループ メンバーシップに基づく TACACS+ 認証およびコマンド認可の設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この資料はユーザの AD 団体会員に基づいて Cisco Secure Access Control System (ACS) 5.x およびそれ以降で TACACS+ 認証およびコマンド許可を設定する例を提供したものです。 ACS は外部 ID ストアとしてユーザ、マシン、グループ、および属性を保存するために Microsoft Active Directory(AD)を使用します。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco Secure ACS 5.3

  • Cisco IOS(R) ソフトウェア リリース 12.2(44)SE6。

    注: この設定はすべての Cisco IOSデバイスですることができます。

  • Microsoft Windows Server 2003 ドメイン

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

認証 および 権限のための ACS 5.x を設定して下さい

認証 および 権限のための ACS 5.x の設定を始める前に、ACS は Microsoft AD と正常に統合必要があります。 ACS が望ましい AD ドメインと統合場合、ACS 5.x およびそれ以降を参照して下さい: 詳細については Microsoft Active Directory 設定例の統合 統合 タスクを行うため。

このセクションでは、2 組の異なるコマンド セットに 2 つの AD グループおよび 2 つのシェル プロファイルを、1 および Cisco IOSデバイスの制限されたアクセスとのフル アクセスとの他マッピング します。

  1. Admin 資格情報を使用して ACS GUI にログイン して下さい。

  2. 『Users』 を選択 すれば識別は > 外部識別保存し、> アクティブ ディレクトリ 接続ステータスが接続されるように表示されること ACS が望ましいドメインに加入したまたことを確認します保存し

    Groups タブを『Directory』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-01.gif

  3. [Select] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-02.gif

  4. シェル プロファイルにマッピング される必要があり、設定のより遅い一部のセットを命じるグループを選択して下さい。 [OK] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-03.gif

  5. [Save Changes] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-04.gif

  6. アクセスポリシー > アクセスを保守し、> サービス セレクション ルール示します TACACS+ 認証を処理するアクセス サービスを選択して下さい。 この例では、それはデフォルト デバイ Admin です。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-05.gif

  7. アクセスポリシー > アクセスを保守し、> デフォルト デバイ Admin > 識別識別ソースの隣で『SELECT』 をクリック します選択して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-06.gif

  8. [AD1] を選択し、[OK] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-07.gif

  9. [Save Changes] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-08.gif

  10. アクセスポリシー > アクセス サービス > デフォルト デバイス Admin > 許可を選択し、『Customize』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-09.gif

  11. 次に AD1:ExternalGroups を利用可能からカスタマイズ状態選択したセクションにコピーし、シェル プロファイルを移動し、利用可能からカスタマイズ結果選択したセクションセットを命じて下さい。 ここで、[OK] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-10.gif

  12. 新しいルールを作成するには、[Create] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-11.gif

  13. AD1:ExternalGroups 状態で『SELECT』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-12.gif

  14. Cisco IOSデバイスでフルアクセスを提供したいと思うことグループを選択して下さい。 [OK] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-13.gif

  15. シェル Profile フィールドで『SELECT』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-14.gif

  16. フル アクセス ユーザ向けの新しいシェル プロファイルを作成するために『Create』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-15.gif

  17. General タブ名前および Description(optional)を提供し、コモン タスク タブをクリックして下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-16.gif

  18. 値 15スタティックデフォルト特権および最大特権を変更して下さい。 [Submit] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-17.gif

  19. この場合新しく作成されたフル アクセス シェル プロファイル(この例の全特権)を選択し、『OK』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-18.gif

  20. コマンド セット フィールドで『SELECT』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-19.gif

  21. フル アクセス ユーザ向けに設定 される新しいコマンドを作成するために『Create』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-20.gif

  22. 名前をつけ、下記の表にない割り当ての隣のチェックボックスがあらゆるコマンド チェックされるようにして下さい。 [Submit] をクリックします。

    注: コマンド セットに関する詳細についてはデバイス 管理のための作成し、複写し、Editing コマンド セットを参照して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-21.gif

  23. [OK] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-22.gif

  24. [OK] をクリックします。 これは Rule-1 の設定を完了します。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-23.gif

  25. 制限されたアクセス ユーザ向けの新しいルールを作成するために『Create』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-24.gif

  26. AD1:ExternalGroups を選択し、『SELECT』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-25.gif

  27. 制限されたアクセスをに提供し、『OK』 をクリック したいと思うことグループ(または)グループを選択して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-26.gif

  28. シェル Profile フィールドで『SELECT』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-27.gif

  29. 制限されたアクセスのための新しいシェル プロファイルを作成するために『Create』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-28.gif

  30. General タブ名前および Description(optional)を提供し、コモン タスク タブをクリックして下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-29.gif

  31. 1 および 15スタティックデフォルト特権および最大特権をそれぞれ変更して下さい。 [Submit] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-30.gif

  32. [OK] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-31.gif

  33. コマンド セット フィールドで『SELECT』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-32.gif

  34. 制限されたアクセス グループのために設定 される新しいコマンドを作成するために『Create』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-33.gif

  35. 名前をつけ、下記の表にない割り当ての隣のチェックボックスがあらゆるコマンド選択されないようにして下さい。 タイプの後で show コマンドだけ制限されたアクセス グループのユーザ向けに許可されるように示し、指揮 班で提供されるスペースで選択しますグラント セクションの許可を『Add』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-34.gif

  36. 同様に Add の使用の制限されたアクセス グループのユーザを可能にされる他のどのコマンドも追加して下さい。 [Submit] をクリックします。

    注: コマンド セットに関する詳細についてはデバイス 管理のための作成し、複写し、Editing コマンド セットを参照して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-35.gif

  37. [OK] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-36.gif

  38. [OK] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-37.gif

  39. [Save Changes] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-38.gif

  40. ACS の AAA クライアントとして Cisco IOSデバイスを追加するために『Create』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-39.gif

  41. 名前を、IP アドレス、共有秘密 TACACS+ につけ、『SUBMIT』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-40.gif

認証 および 権限のための Cisco IOSデバイスを設定して下さい

認証 および 権限のための Cisco IOSデバイスおよび ACS を設定するためにこれらのステップを完了して下さい。

  1. ここに示されているように username コマンドでフォールバックのための完全な特権でローカルユーザを作成して下さい:

    username admin privilege 15 password 0 cisco123!
  2. ACS の IP アドレスを AAA を有効に し、TACACSサーバとして ACS 5.x を追加するために提供します。

    aaa new-model
    tacacs-server host 192.168.26.51 key cisco123

    注: キーは共有されると-この Cisco IOSデバイスに ACS で提供されるシークレット 一致する必要があります。

  3. 示されているようにテスト aaa コマンドで TACACSサーバ 到達可能性をテストして下さい。

    test aaa group tacacs+ user1 xxxxx legacy
    Attempting authentication test to server-group tacacs+ using tacacs+
    User was successfully authenticated.

    前のコマンドの出力は TACACSサーバが到達可能であり、ユーザの認証に成功されたことを示したものです。

    注: User1 およびパスワード xxx は AD に属します。 テストが失敗したように共有されるして下さい-前の手順で提供されるシークレットは正しいです。

  4. ログオンを設定し、認証を有効に し、次にここに示されているように Exec およびコマンド許可を使用して下さい:

    aaa authentication login default group tacacs+ local
    aaa authentication enable default group tacacs+ enable
    aaa authorization exec default group tacacs+ local
    aaa authorization commands 0 default group tacacs+ local
    aaa authorization commands 1 default group tacacs+ local
    aaa authorization commands 15 default group tacacs+ local
    aaa authorization config-commands

    注: それぞれ TACACSサーバが到達不能ならローカルおよび Enable キーワードは Cisco IOS ローカルユーザおよび enable secret へのフォールバックのために使用されます。

確認

認証 および 権限を確認するために Telnet によって Cisco IOSデバイスにログインして下さい。

  1. AD のフル アクセス グループに属する user1 として Cisco IOSデバイスに Telnet で接続して下さい。 ネットワーク Admin グループは ACS で設定 される マッピング された全特権 シェル プロファイルおよびフル アクセス コマンドの AD のグループです。 コマンドをフルアクセスがあることを確認するために実行することを試みて下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-41.gif

  2. と同時に AD の制限されたアクセス グループに属する user2 が Cisco IOSデバイスに Telnet で接続します。 (ネットワークメンテナンス チーム グループは ACS で設定 される マッピング された限られ特権 シェル プロファイルおよび示アクセス コマンドの) AD のグループです。 設定 される示アクセス コマンドで述べられる物以外コマンドを実行することを試みる場合 user2 に制限されたアクセスがあることを示すコマンド許可 失敗エラーを得る必要があります。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-42.gif

  3. ACS GUI にログインし、モニタリングを起動させ、ビューアを報告しますAAAプロトコル > TACACS+Authorization を user1 および user2 によって実行された アクティビティを確認するために選択して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-43.gif

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 113590