セキュリティ : Cisco Secure Access Control System 5.4

Motorola の ACS バージョン 5.4 統合によっては 5.X (AP)設定例が飛びます

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料は Cisco Secure Access Control Server (ACS)バージョン 5.4 を Motorola ワイヤレス コントローラおよびアクセス ポイントの TACACS+ 認証、許可および会計(AAA)をサポートするために設定例に与えたものです。 この資料では各ユーザーのロールおよびアクセス 権を判別するために、Motorola vendor-specific属性および値は ACS のグループに割り当てられます。 属性および値は各グループで有効に なるユーザが定義するサービスおよびプロトコルのグループに割り当てられます。

Contributed by Minakshi Kumar, Cisco TAC Engineer.

前提条件

要件

ACS バージョン 5.x は Motorola 翼 5.x に接続する必要があります。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ACS バージョン 5.4
  • 翼 5.2

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

設定

ACS 設定

デバイスの種類

方法の例は Cisco Secure ACS バージョン 5.x のデバイスの種類と翼 5 デバイスを定義するここにあります。 デバイスの種類はデバイス 許可ポリシーを定義するときデバイスが使用される Cisco Secure ACS バージョン 5.x でグループ化されるようにします。

ACS GUI で、ネットワークリソース > ネットワーク デバイス グループ > デバイスの種類にナビゲート し、『Create』 をクリック して下さい。

名前および説明を入力し、親を選択して下さい。 [Submit] をクリックします。

これは Motorola ソリューション デバイスのためのネットワーク デバイス グループを作成します。

ネットワークデバイスおよび AAA クライアント

方法の例は Cisco Secure ACS バージョン 5.x の AAA クライアントとして翼 5 デバイスを追加するここにあります。

Cisco Secure ACS で、ネットワークリソース > ネットワークデバイスおよび AAA クライアントにナビゲート し、『Create』 をクリック して下さい:

ワイヤレス コントローラ用の名前を入力し、Location を選択して下さい。 前のセクションで作成されるデバイスの種類を割り当て TACACS+ チェックボックスをチェックして下さい。 共有秘密を入力し、適切な IP Address オプションの隣でオプション ボタンをクリックして下さい。 この例では、マスクによる IP 範囲は選択され、ワイヤレス コントローラがに接続されること IPv4 サブネットは(192.168.20.0/24)定義されます。 すべての情報を入力したら『SUBMIT』 をクリック して下さい。

これはネットワークデバイスおよび AAA クライアントとワイヤレス コントローラを定義します:

ID グループ

この例では、2 グループは、ネームド MotorolaRO および MotorolaRW、定義されます。 MotorolaRO グループに割り当てられるユーザはモニタ ロールおよび与えられた Web アクセス権限に MotorolaRW グループに割り当てられるユーザはスーパーユーザ ロールに割り当てられ、すべてのアクセス 権を与えたが、割り当てられます。

ユーザおよび識別へのナビゲートは > 識別グループ > 作成します保存します:

Read only アクセスグループのための名前および説明を入力し、『SUBMIT』 をクリック して下さい

秒グループを作成して下さい。 読み書きアクセスグループのための名前および説明を入力し、『SUBMIT』 をクリック して下さい。

今 2 つの識別グループを作成してしまいました。

シェル プロファイル

方法の例は Cisco Secure ACS バージョン 5.x のシェル プロファイルを定義するここにあります。 この例では、2 つのシェル プロファイル、ネームド MOTO RO および MOTO RW は各管理 ユーザは割り当てられることロールおよびアクセス 権を判別する属性と、定義されます。 各シェル プロファイルの名前は TACACS+ AAA ポリシーで定義される TACACS+ 認証サービスの名前を一致する必要があります。

[Policy Elements] > [Authorization and Permissions] > [Device Administration] > [Shell Profiles] に移動します。 [Create] をクリックします。

General タブで、追加するために必須 TACACS+ サービスおよびプロトコルを定義して下さい。 現在のサービスおよびプロトコルを使用するか、またはあなた専有物を作成できます。 この例は MOTO RO という名で 5 つのデバイスを飛ぶために Read only アクセスを提供するためにサービスおよびプロトコルを定義したものです:

一般的なタスクで記録し、最大特権をスタティックに設定 し、1.という値を選択して下さい

カスタム属性タブで、アトリビュートおよび属性値フィールドで、ユーザに割り当てられるべき属性を定義して下さい。 この例では、Read only ユーザはモニタ ロールおよび与えられた Web アクセス権限に割り当てられます。 [Submit] をクリックします。

新しいシェル プロファイルを作成して下さい。 General タブで、追加するために必須 TACACS+ サービスおよびプロトコルを定義して下さい。 現在のサービスおよびプロトコルを使用するか、またはあなた専有物を作成できます。 この例はサービスおよびプロトコルを、翼 5 デバイスに読み書きアクセスを提供するネームド MOTO RW 定義したものです、:

一般的なタスクで記録し、最大特権をスタティックに設定 し、1.という値を選択して下さい

カスタム属性タブで、アトリビュートおよび属性値フィールドで、ユーザに割り当てられるべき属性を定義して下さい。 この例では、読み書きユーザはスーパーユーザ ロールに割り当てられ、すべてのアクセス 権を与えました。 [Submit] をクリックします。

今 MOTO RO および MOTO RW と指名されるシェル プロファイルを作成してしまいました。

デバイス 許可プロファイル

方法の例は Cisco Secure ACS バージョン 5.x のデバイス 許可ポリシーを定義するここにあります。 デバイス承認ポリシーはシェル プロファイルをユーザが認証、位置および識別団体会員を要求するデバイスの種類に基づいて割り当てられる各管理判別します。 この例では、2 つのデバイス承認ポリシーは、ネームド MotorolaRO および MotorolaRW、定義されます。

Cisco Secure ACS、アクセスポリシー > デフォルト デバイ Admin > 許可 > カスタマイズへのナビゲート:

Identity Group と指名されるカスタマイズ状態を NDG 追加して下さい: LocationNDG: デバイスの種類およびプロトコル。 カスタマイズ結果の下で、シェル プロファイルを追加し、『OK』 をクリック して下さい:

[Create] をクリックします。 Name フィールドでは、MotorolaRO を入力し、識別グループをNDG 選択して下さい: Location および NDGevice 型。 プロトコルを Tacacs に設定 し、MOTO RO と指名されるシェル プロファイルを選択して下さい。 『OK』 をクリック して下さい:

[Create] をクリックします。 Name フィールドでは、MotorolaRW を入力し、識別グループをNDG 選択して下さい: Location および NDGevice 型。 プロトコルを Tacacs に設定 し、MOTO RW と指名されるシェル プロファイルを選択して下さい。 『OK』 をクリック して下さい:

今 MotorolaRO および MotorolaRW と指名されるデバイス承認ポリシーを作成してしまいました:

Motorola ソリューションによっては 5.2 設定が飛びます

AAA TACACS ポリシー

AAA TACACS ポリシーは翼 5 デバイスの TACACS+ クライアントコンフィギュレーションを定義します。 各 AAA TACACS ポリシーは Cisco Secure ACS で定義される TACACS+ 認証サービスおよびプロトコルの名前に加えて 2 つまでの TACACS+ AAAサーバ エントリが含まれている場合があります。 TACACS+ AAA ポリシーはまた情報を判別しますアカウンティング サーバに転送される。

この AAA TACACS ポリシー例は TACACS+ AAA のための Cisco Secure ACS を定義しましたり、MOTO RO および MOTO RW と指名される TACACS+ サービスおよびプロトコルを定義し CLI コマンドおよびセッション 会計をイネーブルにしたものです。

AAA TACACS ポリシー例

aaa-tacacs-policy CISCO-ACS-SERVER

authentication server 1 host 192.168.10.21 secret 0 hellomoto

authorization server 1 host 192.168.10.21 secret 0 hellomoto

accounting server 1 host 192.168.10.21 secret 0 hellomoto

authentication service MOTO protocol RO

authentication service MOTO protocol RW

accounting commands

accounting session

!

経営方針

AAA TACACS+ ポリシーが定義されれば、TACACS+ が使用される前に 1つ以上の経営方針に割り当てる必要があります。 経営方針は各翼 5 デバイス、ローカル管理上のユーザ、ロールおよびアクセス 権で有効に なる、および外部 RADIUS または管理上のユーザを認証するために使用される TACACS+ サーバを判別しますマネージメントインターフェイス。

デフォルトで、各翼 5 デバイスはプロファイルの使用と指定されるデフォルトと指名される経営方針に割り当てられます。 TACACS+ はデフォルト経営方針かユーザが定義する経営方針で有効に することができます。

ほとんどの典型的な配備はワイヤレス コントローラおよびアクセス ポイントのための別々の経営方針が含まれています。 別々の経営方針は各デバイスのためのマネージメント必要条件およびインターフェイスが異なるので、推奨されます。 この場合、TACACS+ は各経営方針でワイヤレス コントローラおよびアクセス ポイント両方の TACACS+ を有効に するために有効に する必要があります。

次の セクションの経営方針例はワイヤレス コントローラおよびアクセス ポイントに割り当てられるユーザが定義する経営方針の TACACS+ AAA を有効に します。 ローカル認証への TACACS+ フォールバックはまた翼 5 デバイスが認証の定義された TACACS+ サーバを達することができなければ有効に なります。

経営方針例

!

management-policy CONTROLLER-MANAGEMENT

no http server

https server

ssh

user admin password 0 hellomoto role superuser access all

snmp-server user snmptrap v3 encrypted des auth md5 0 hellomoto

snmp-server user snmpoperator v3 encrypted des auth md5 0 hellomoto

snmp-server user snmpmanager v3 encrypted des auth md5 0 hellomoto

aaa-login tacacs fallback

aaa-login tacacs authorization

aaa-login tacacs accounting

aaa-login tacacs policy CISCO-ACS-SERVER

!

!

management-policy AP-MANAGEMENT

ssh

user admin password 0 hellomoto role superuser access all

aaa-login tacacs fallback

aaa-login tacacs authorization

aaa-login tacacs accounting

aaa-login tacacs policy CISCO-ACS-SERVER

!

確認

このセクションが TACACS+ AAA を検証するために必要な必要な ステップを提供します。 この例では、2 つのユーザアカウントは各 Cisco Secure ACS で定義され、適切なグループに割り当てられます。 ユーザの団体会員は管理 ユーザに割り当てられるロールおよびアクセス 権を判別します。

Username           Role          Access Permissions
----------------------------------------------------
monitor Monitor Web
super user Superuser all

ロールの割り当て

このセクションが認証およびロールの割り当てを確認するために必要な検証手順を提供します。

Web UI、モニタ ユーザ名 および パスワードのワイヤレス コントローラへのログイン:

ユーザはモニタにワイヤレス コントローラで read only アクセスを提供するロールを認証され、許可され、割り当てられます。 > デバイス 『Configuration』 を選択 し、デバイスを編集するように試みて下さい。

: ユーザが許可された read only アクセスであるので、機能性をです利用可能編集しないで下さい。

デバイスでアクセスして下さい: (View ボタンだけ利用できます; Delete ボタンはグレーになります。)

Web UI、スーパーユーザ ユーザ名 および パスワードのワイヤレス コントローラへのログイン:

ユーザはワイヤレス コントローラでフルアクセスを提供するスーパーユーザ ロールに認証され、許可され、割り当てられます。 > デバイス 『Configuration』 を選択 し、デバイスを編集するように試みて下さい。

Edit ボタンはユーザがデバイスの許可されたフルアクセスであるので、現在利用できます。

トラブルシューティング

Cisco Secure ACS バージョン 5.X で、モニタリングおよびレポート > 起動モニタリングにナビゲート して下さい及びビューア > SELECT レポート > カタログ > AAAプロトコル > TACACS認証を > 実行される報告して下さい

これにはユーザ向けのすべての渡されるおよび失敗した認証のための結果を示し、失敗原因を含まれています。 更に詳しい情報については拡大鏡(詳細)ボタンをクリックして下さい。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 116510