Seguridad : Cisco Secure Access Control Server para Unix

Configuración y depuración de CiscoSecure 2.x TACACS+

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento se piensa para ayudar la primera vez al usuario seguro 2.x de Cisco en la configuración y el debugging de una configuración segura de Cisco TACACS+. No es una descripción exhaustiva de las capacidades seguras de Cisco.

Refiera a su documentación segura de Cisco para información más completa sobre el software del servidor y la configuración de usuario. Refiera a la documentación del Cisco IOS Software para la versión apropiada para más información sobre los comandos router.

prerrequisitos

Requisitos

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Cisco Secure ACS 2.x y posterior

  • Software Release 11.3.3 y Posterior del½ del¿Â del Cisco IOSïÂ

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configuración de Cisco Secure

Complete estos pasos:

  1. Aseegurese le utilizar las instrucciones que vinieron con el software para instalar el código seguro de Cisco en el servidor Unix.

  2. Para confirmar que el producto para y comienzo, ingrese el Cd a /etc/rc0.d y como raíz, ejecutan ./K80Cisco seguro (parar a los daemon).

    Ingrese el Cd a /etc/rc2.d y como raíz, ejecutan ./S80Cisco seguro (comenzar a los daemon).

    En el lanzamiento, usted debe ver los mensajes por ejemplo:

    Cisco Secure starting Processes: Fast Track Admin, FastTrack Server (Delayed Start), DBServer, AAA Server

    Ejecute $BASE/utils/psg en la orden para estar seguro que por lo menos uno de cada uno de los procesos individuales se ejecuta, por ejemplo, el SQLAnywhere u otro motor de base de datos, Cisco asegura el proceso de servidor de bases de datos, el servidor Web de Netscape, el Netscape Web Admin, el proceso seguro del servidor Web de la cumbre, de Cisco AAA, o el proceso auto del reinicio.

  3. Para asegurarle esté en los directorios apropiados, las variables de entorno de la configuración y las trayectorias en su entorno de shell. la concha C se utiliza aquí.

    El $BASE es el directorio donde Cisco asegura está instalado, elegido durante la instalación. Contiene los directorios tales como el DOCS, DBServer, CSU, y así sucesivamente.

    En este ejemplo, la instalación en /opt/CSCOacs se asume, pero ésta puede diferenciar en su sistema:

    setenv $BASE   /opt/CSCOacs

    El $SQLANY es el directorio donde la base de datos segura predeterminada de Cisco está instalada, elegido durante la instalación. Si la base de datos predeterminada que viene con el producto, SQLAnywhere, fue utilizada, contiene los directorios tales como la base de datos, doc., y así sucesivamente.

    En este ejemplo, la instalación en /opt/CSCOacs/SYBSsa50 se asume, pero ésta puede diferenciar en su sistema.

    setenv $SQLANY /opt/CSCOacs/SYBSsa50

    Agregue las trayectorias en su entorno de shell a:

    $BASE/utils
    $BASE/bin
    $BASE/CSU
    $BASE/ns-home/admserv
    $BASE/Ns-home/bin/httpd
    $SQLANY/bin
  4. CD a $BASE/config

    El CSU.cfg es el control-ARCHIVO del Servidor seguro Cisco. Haga una copia de backup de este archivo.

    En este archivo, ENUMERE el config_license_key muestra la llave de la licencia que usted recibió con el Proceso de obtención de licencia si usted compró el software; si esto es una licencia de prueba 4-port, usted puede dejar hacia fuera esta línea.

    La sección del config_nas_config NAS puede contener un servidor de acceso de la red predeterminada (NAS) o al router, o el NAS que usted entró durante el instalar. Para los propósitos de debugging en este ejemplo, usted puede permitir que cualquier NAS comunique con el Servidor seguro Cisco sin una clave. Por ejemplo, quite el nombre del NAS y la clave de las líneas que contienen el nombre/* NAS puede ir aquí *” y/*NAS/Cisco aseguran la clave secreta *. La única estrofa en esa área lee:

    NAS config_nas_config = {
      {
        "",         /* NAS name can go here */
        "",             /* NAS/Cisco Secure secret key */
        "",                        /* message_catalogue_filename */
        1,                         /* username retries */
        2,                         /* password retries */
        1                          /* trusted NAS for SENDPASS */
      }
    };
    
    AUTHEN config_external_authen_symbols = {

    Cuando usted hace esto, usted dice Cisco seguro que está permitido hablar con todos los NAS sin el intercambio de las claves.

  5. Si usted desea hacer que la información de debugging vaya a /var/log/csuslog, usted necesita tener una línea en la sección superior del CSU.cfg, que dice a servidor cuánto debugging a hacer. 0X7FFFFFFF agrega todo el debugging posible. Agregue o modifique esta línea por consiguiente:

    NUMBER config_logging_configuration = 0x7FFFFFFF;

    Esta línea adicional envía la información de debugging al local0:

    NUMBER config_system_logging_level = 0x80;

    También, agregue esta entrada para modificar el archivo de /etc/syslog.conf:

    local0.debug /var/log/csuslog

    Entonces recicle el syslogd para releer:

    kill -HUP `cat /etc/syslog.pid`

    Recicle el Servidor seguro Cisco:

    /etc/rc0.d/K80Cisco Secure
    /etc/rc2.d/S80Cisco Secure

    Debe todavía comenzar.

  6. Usted puede querer utilizar al navegador para agregar los usuarios, los grupos, y así sucesivamente, o la utilidad CSimport. Los usuarios de la muestra en el archivo plano en el extremo de este documento pueden ser trasladados fácilmente a la base de datos usando el CSimport. Estos usuarios trabajarán para las para pruebas y usted puede borrarlas una vez que usted consigue a sus propios usuarios adentro. Una vez que le está importado puede ver a los usuarios importados con el GUI.

    Si usted decide utilizar el CSimport:

    CD $BASE/utils

    Ponga el usuario y los perfiles del grupo en el extremo de este documento en un archivo tal como dondequiera el sistema, después del directorio $BASE/utils, con las daemones ejecutar, por ejemplo, /etc/rc2.d/S80Cisco seguro, y como raíz de usuario, ejecuta el CSimport con la opción de la prueba (- t):

    ./CSimport -t -p <path_to_file> -s <name_of_file>

    Esto prueba el sintaxis para los usuarios; usted debe recibir los mensajes por ejemplo:

    Secure config home directory is: /opt/CSCOacs/config/CSConfig.ini
    hostname = berry and port = 9900 and clientid = 100
    /home/ddunlap/csecure/upgrade.log exists, do you want to write over 'yes' or 'no' ?
    yes
    Sorting profiles...
    Done sorting 21 profiles!
    Running the database import test...

    Usted no debe recibir los mensajes por ejemplo:

    Error at line 2: password = "adminusr"
    Couldn't repair and continue parse

    Independientemente de si había errores, examine upgrade.log para aseegurarse los perfiles marcados hacia fuera. Una vez que los errores se corrigen, del directorio $BASE/utils, con las daemones ejecutándose (/etc/rc2.d/S80Cisco aseguran), y como raíz de usuario, ejecute el CSimport con la opción del cometer (- c) para trasladarse a los usuarios a la base de datos:

    ./CSimport -c -p <path_to_file> -s <name_of_file>

    Una vez más no debe haber errores en la pantalla o en upgrade.log.

  7. Enumeran a los buscadores admitidos en el consejo técnico seguro de la compatibilidad de Cisco. De su navegador PC, punta a Cisco seguro/caja Solaris http://#. #.#.#/cs donde está el IP #.#.#.# de Cisco seguro/servidor Solaris.

    En la pantalla que aparece, porque el usuario ingresa al superuser y para la contraseña, ingrese el changeme. No cambie la contraseña en este momento. Usted debe ver los usuarios/a los grupos agregados si usted utiliza el CSimport en el paso anterior o usted puede hacer clic el bloque de la ojeada apagado y agregar manualmente los usuarios y a los grupos con el GUI.

Configuración de la autenticación

Nota: Esta configuración del router fue desarrollada en un router que funciona con el Cisco IOS Software Release 11.3.3. El Cisco IOS Software Release 12.0.5.T y Posterior muestra los tacacs del grupo en vez de los tacacs.

En este momento, configure al router.

  1. Mate a Cisco seguro mientras que usted configura al router.

    /etc/rc0.d/K80Cisco Secure to stop the daemons.
  2. En el router, comience a configurar el TACACS+. Ingrese el conf t del enable mode y del tipo antes del comando set. Este sintaxis se asegura de que usted no sea router bloqueado de los que proporciona inicialmente a Cisco asegure no se esté ejecutando. Ingrese el ps - ef | el grep seguro para marcar para aseegurarse Cisco asegurar no se está ejecutando, y kill -9 el proceso si es:

    
    !--- Turn on TACACS+
    
    aaa new-model
    enable password whatever
    
    !--- These are lists of authentication methods,
    !--- that is, vtymethod and conmethod are
    !--- names of lists, and the methods listed on the 
    !--- same lines are the methods in the order to be 
    !--- tried. As used here, if authentication
    !--- fails due to Cisco Secure not being started, 
    !--- the enable password is accepted 
    !--- because it is in each list.
    
    aaa authentication login vtymethod tacacs+ enable
    aaa authentication login conmethod tacacs+ enable
    
    !--- Point the router to the server, that is, 
    !--- #.#.#.# is the server IP address.
    
    tacacs-server host #.#.#.#
    line con 0
        password whatever
        
    !--- No time-out to prevent being locked out 
        !--- during debugging.
    
        exec-timeout 0 0
        login authentication conmethod
    line vty 0 4
        password whatever
        
    !--- No time-out to prevent being locked out 
        !--- during debugging.
    
        exec-timeout 0 0
        login authentication vtymethod
  3. Prueba a estar segura que usted puede todavía acceder al router con Telnet y a través del puerto de la consola antes de que usted continúe. Porque Cisco asegura no se está ejecutando, la contraseña habilitada debe ser validado.

    precaución Precaución: Mantenga a la sesión de puerto de la consola activa y permanezca en el enable mode; esta sesión no debe medir el tiempo hacia fuera. Usted comienza a limitar el acceso al router en este momento y usted necesita poder realizar los cambios de configuración sin bloquearse hacia fuera.

    Publique estos comandos para ver la interacción entre el servidor y el router en el router:

    terminal monitor
    debug aaa authentication
  4. Como raíz, comience Cisco seguro en el servidor:

    /etc/rc2.d/S80Cisco Secure

    Esto comienza los procesos, pero usted quiere habilitar más debugging que se configura en S80Cisco seguro, tan:

    ps -ef | grep Cisco Secure
    kill -9 <pid_of CS_process>
    
    CD $BASE/CSU
    ./Cisco Secure -cx -f $BASE/config/CSU.cfg to start the Cisco Secure process with debugging

    Con - la opción x, los funcionamientos seguros de Cisco en el primero plano así que router a la interacción del servidor puede ser observada. Usted no debe ver los mensajes de error. El proceso Cisco Secure debe comenzar y colgar allí debido - a la opción x.

  5. De otra ventana, control ser seguro seguro de Cisco comenzada. Ingrese el ps - ef y busque el proceso Cisco Secure.

  6. Los usuarios de Telnet (vty) deben ahora tener que autenticar con Cisco seguro. Con el debug en el router, Telnet en el router de otra parte de la red. El router debe producir un prompt del nombre de usuario y contraseña. Usted debe poder acceder al router con estos identificación del usuario/las combinaciones de la contraseña:

    adminusr/adminusr
    operator/oper
    desusr/encrypt

    Mire el servidor y al router donde usted debe ver la interacción, es decir, se envía qué donde, las respuestas, y las peticiones, y así sucesivamente. Corrija cualquier problema antes de que usted continúe.

  7. Si usted también quiere para que sus usuarios autentiquen con Cisco seguro para conseguir en el enable mode, aseegurese a su sesión de puerto de la consola sigue siendo active y agrega este comando al router:

    
    !--- For enable mode, list 'default' looks to Cisco Secure
    !--- then enable password if Cisco Secure is not running.
    
    aaa authentication enable default tacacs+ enable
  8. Usted debe ahora tener que habilitar con Cisco seguro. Con el debug en el router, Telnet en el router de otra parte de la red. Cuando el router pide el nombre de usuario/la contraseña responda con el operador/la operación.

    Cuando el operador del usuario intenta ingresar el enable mode (nivel de privilegio 15), se requiere la contraseña “Cisco”. Otros usuarios no podrán ingresar el enable mode sin la declaración del nivel de privilegio (o el daemon seguro de Cisco abajo).

    Mire el servidor y al router donde usted debe ver la interacción segura de Cisco, por ejemplo, se está enviando qué donde, las respuestas, y las peticiones, y así sucesivamente. Corrija cualquier problema antes de continuar.

  9. Derribe el proceso Cisco Secure en el servidor mientras que todavía está conectado con el puerto de la consola para estar seguro que sus usuarios pueden todavía acceder al router si Cisco asegura está abajo:

    'ps -ef' and look for Cisco Secure process 
    kill -9 pid_of_Cisco Secure

    Relance Telnet y el permiso del paso anterior. El router debe realizar que el proceso Cisco Secure no responde y permite que los usuarios inicien sesión y que habiliten con las contraseñas habilitadas predeterminadas.

  10. Traiga para arriba el Servidor seguro Cisco otra vez y establezca a una sesión telnet al router, que debe autenticar con Cisco seguro, con el userid/el operador de contraseña/la operación para marcar para saber si hay autenticación de sus usuarios del puerto de la consola con Cisco seguro. Permanece el telnetted en el router y en el enable mode hasta que usted esté seguro que usted puede iniciar sesión al router a través del puerto de la consola, por ejemplo, logout de su conexión original al router a través del puerto de la consola, después vuelva a conectar al puerto de la consola. La autenticación de puerto de consola a iniciar sesión con el uso el del ID del usuario anterior/combinaciones de la contraseña debe ahora estar con Cisco seguro. Por ejemplo, el userid/el operador de contraseña/la palabra clave Cisco de la operación entonces tiene que ser utilizado para habilitar.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

Agregado de autorización

Agregar la autorización es opcional.

Por abandono, hay tres niveles del comando en el router:

  • Nivel de privilegio 0 — que incluye la neutralización, la salida del permiso, la ayuda, y el logout

  • Nivel de privilegio 1 — el nivel normal en Telnet y un prompt dice el router>

  • El nivel de privilegio 15 — habilite el nivel y el prompt dice el router-

Puesto que los comandos disponibles dependen del conjunto de características de Cisco IOS, versión de Cisco IOS Software, modelo del router, y así sucesivamente, no hay lista amplia de comandos all en los niveles 1 y 15. Por ejemplo, la ruta de IPX de la demostración no es estar presente en un conjunto de características IP solamente, el transporte nacional del IP de la demostración no está en el código del Cisco IOS Software Release 10.2.X porque el NAT no fue introducido en ese entonces, y el entorno de la demostración no está presente en los modelos de router sin la fuente de alimentación y el control de temperatura.

¿Los comandos disponibles en un router determinado en un nivel determinado se pueden encontrar estén ingresando a? en el prompt en el router cuando en ese nivel de privilegio.

La autorización de puerto de la consola no fue agregada como característica hasta que CSCdi82030 fuera implementado. La autorización de puerto de la consola es apagado por abandono aminorar la probabilidad accidentalmente de ser router bloqueado de los. Si un usuario tiene acceso físico al router a través de la consola, la autorización de puerto de la consola no es extremadamente eficaz. Pero, la autorización de puerto de la consola se puede girar bajo comando line con 0 en una imagen del Cisco IOS en la cual CSCdi82030 fue implementado con el valor por defecto del exec de autorización|Comando de la PALABRA.

Complete estos pasos:

  1. El router puede ser configurado para autorizar los comandos con Cisco seguro en absoluto o algunos niveles. Esta configuración del router permite que todos los usuarios tengan autorización del por-comando configurada en el servidor. Usted puede autorizar los comandos all con Cisco seguro pero si el servidor está abajo, no hay autorización necesaria, por lo tanto la ninguna.

    Con el Servidor seguro Cisco abajo, ingrese estos comandos:

    Ingrese este comando para quitar el requisito que habilita la autenticación se haga a través de Cisco seguro:

    no aaa authentication enable default tacacs+ none

    Ingrese estos comandos para requerir que hagan a los comandos authorization a través de Cisco seguro:

    aaa authorization commands 0 default tacacs+ none
    aaa authorization commands 1 default tacacs+ none
    aaa authorization commands 15 default tacacs+ none
  2. Mientras que el Servidor seguro Cisco se ejecuta, Telnet en el router con userid/la contraseña loneusr/lonepwd. Este usuario debe deber no poder hacer los comandos any con excepción de:

    show version
    ping <anything>
    logout

    Los usuarios anteriores, adminusr/adminusr, operador/operación, desusr/cifran, deben todavía poder hacer los comandos all en virtud de su servicio predeterminado = permiso. Si hay problemas con el proceso, ingrese el enable mode en el router y gire el debugging de la autorización con este comando:

    terminal monitor
    debug aaa authorization

    Mire el servidor y al router donde usted debe ver la interacción segura de Cisco, por ejemplo, se envía qué donde, las respuestas, y las peticiones, y así sucesivamente. Corrija cualquier problema antes de que usted continúe.

  3. El router puede ser configurado para autorizar a las sesiones EXEC con Cisco seguro. El comando none del TACACS+ predeterminado del exec de autorización aaa instituye autorización TACACS+ para las sesiones EXEC.

    Si usted aplica esto, afecta al tiempo de los usuarios/al tiempo, al telnet/al telnet, a todam/todam, a todpm/todpm y a somerouters/somerouters. Después de que usted agregue este comando al router y Telnet al router como el tiempo del usuario/tiempo, una sesión EXEC sigue siendo abierta para un minuto (fije el descanso = 1). La telnet del usuario/telnet ingresa al router pero se envía inmediatamente al otro direccionamiento (fije el autocmd = “telnet el 171.68.118.102"). Es posible que los usuarios todam/todam y todpm/todpm pueden o no son acceder al router, que depende encendido cuándo del día está durante la prueba. Los somerouters del usuario pueden solamente a Telnet en el router koala.rtp.cisco.com de la red 10.31.1.x. Intentos seguros de Cisco para resolver el nombre del router. Si usted utiliza a la dirección IP 10.31.1.5, es válido si no ocurre la resolución, y si usted utiliza la koala del nombre, es válida si la resolución está a través.

Incorporación de contabilidad

La Incorporación de contabilidad es opcional.

  1. Las estadísticas no ocurren a menos que estén configuradas en el router, si el router funciona con la versión de Cisco IOS Software más adelante que el Cisco IOS Software Release 11.0. Usted puede habilitar las estadísticas en el router:

    aaa accounting exec default start-stop tacacs+
    aaa accounting connection default start-stop tacacs+
    aaa accounting network default start-stop tacacs+
    aaa accounting system default start-stop tacacs+

    Nota: las Comando-estadísticas estaban quebradas, en el Id. de bug Cisco CSCdi44140, pero si usted utiliza una imagen en la cual se repare esto, las comando-estadísticas pueden también ser habilitadas.

  2. Agregue el debugging del registro de contabilidad en el router:

    terminal monitor
    debug aaa accounting
  3. El debug en la consola debe mostrar los registros de contabilidad que ingresan el servidor mientras que los usuarios inician sesión.

  4. Para extraer los registros de contabilidad, como raíz:

    CD $BASE/utils/bin
    ./AcctExport <filename> no_truncate

    el no_truncate significa que los datos están conservados en la base de datos.

Incorporación de usuarios de marcación manual

Complete estos pasos:

  1. Aseegurese que las otras funciones del trabajo seguro de Cisco antes de que usted agregue a los usuarios de marcación manual. Si el Servidor seguro Cisco y el módem no trabajaron antes de esta punta, no trabajan después de esta punta.

  2. Agregue este comando a la configuración del router:

    aaa authentication ppp default if-needed tacacs+
    aaa authentication login default tacacs+ enable
    aaa authorization network default tacacs+
    chat-script default "" at&fls0=1&h1&r2&c1&d2&b1e0q2 OK

    Las configuraciones de la interfaz diferencian, que depende de cómo se hace la autenticación, pero las líneas dial in se utilizan en este ejemplo, con estas configuraciones:

    interface Ethernet 0
    ip address 10.6.1.200 255.255.255.0
    
    !
    !--- CHAP/PPP authentication user:
    
    interface Async1
    ip unnumbered Ethernet0
    encapsulation ppp
    async mode dedicated
    peer default ip address pool async
    no cdp enable
    ppp authentication chap
    
    !
    !--- PAP/PPP authentication user:
    
    interface Async2
    ip unnumbered Ethernet0
    encapsulation ppp
    async mode dedicated
    peer default ip address pool async
    no cdp enable
    ppp authentication pap
    
    !
    !--- login authentication user with autocommand PPP:
    
    interface Async3
    ip unnumbered Ethernet0
    encapsulation ppp
    async mode interactive
    peer default ip address pool async
    no cdp enable
    
    ip local pool async 10.6.100.101 10.6.100.103
    
    line 1
    session-timeout 20
    exec-timeout 120 0
    autoselect during-login
    script startup default
    script reset default
    modem Dialin
    transport input all
    stopbits 1
    rxspeed 115200
    txspeed 115200
    flowcontrol hardware
    
    !
    
    line 2
    session-timeout 20
    exec-timeout 120 0
    autoselect during-login
    script startup default
    script reset default
    modem Dialin
    transport input all
    stopbits 1
    rxspeed 115200
    txspeed 115200
    flowcontrol hardware
    
    !
    
    line 3
    session-timeout 20
    exec-timeout 120 0
    autoselect during-login
    autoselect ppp
    script startup default
    script reset default
    modem Dialin
    autocommand ppp
    transport input all
    stopbits 1
    rxspeed 115200
    txspeed 115200
    flowcontrol hardware
    
    !
    
    access-list 101 deny icmp any any
  3. Del archivo de usuario de Cisco asegure:

    • chapuser — CHAP/PPP — diales del usuario adentro en la línea 1; el direccionamiento es asignado por el async y el ip local pool async 10.6.100.101 10.6.100.103 del peer default ip address pool en el router

    • chapaddr — CHAP/PPP — diales del usuario adentro en la línea 1; el direccionamiento 10.29.1.99 es asignado por el servidor

    • chapacl — CHAP/PPP — diales del usuario adentro en la línea 1; el direccionamiento 10.29.1.100 es asignado por el servidor y la lista de acceso de entrada 101 es aplicada (que se debe definir en el router)

    • papuser — PAP/PPP — diales del usuario adentro en la línea 2; el direccionamiento es asignado por el async y el ip local pool async 10.6.100.101 10.6.100.103 del peer default ip address pool en el router

    • papaddr — PAP/PPP — diales del usuario adentro en la línea 2; el direccionamiento 10.29.1.98 es asignado por el servidor

    • papacl — PAP/PPP — diales del usuario adentro en la línea 2; el direccionamiento 10.29.1.100 es asignado por el servidor y la lista de acceso de entrada 101 es aplicada, que se debe definir en el router

    • loginauto — el usuario marca adentro en la línea 3; la autenticación de inicio de sesión con el autocommand en la línea fuerza al usuario a la conexión PPP y asigna el direccionamiento del pool

  4. La Configuración de Microsoft Windows para todos los usuarios exceptúa el loginauto del usuario

    1. Elija el Start (Inicio) > Programs (Programas) > Accesories (Accesorios) > Dial-Up Networking (Interconexión de redes de marcado manual).

    2. Elija las conexiones > el Make New Connection. Teclee un nombre para su conexión.

    3. Ingrese su información específica del módem. En la configuración > el general, elija la velocidad más alta de su módem, pero no marque el cuadro debajo de esto.

    4. En la configuración > la conexión, utilice 8 bits de datos, ninguna paridad, y 1 bit de detención. Las preferencias de la llamada son espera para el tono de discado antes de marcar y cancelan la llamada si no conectada después de 200 segundos.

    5. En avanzado, elija el estándar solamente del control de flujo de hardware y del tipo de modulación.

    6. En la configuración > las opciones, nada se debe marcar excepto bajo control de estado. Haga clic en OK.

    7. En la próxima ventana, ingrese el número de teléfono del destino, después haga clic después, y después haga clic el final.

    8. Una vez que aparece el icono de la nueva conexión, hagalo clic con el botón derecho del ratón y elija las propiedades, y después haga clic el tipo de servidor.

    9. Elija el PPP: El WINDOWS 95, WINDOWS NT 3.5, Internet y no marca ninguna opciones avanzada.

    10. En los Network Protocol permitidos, marque por lo menos el TCP/IP.

    11. Bajo configuraciones TCP/IP, elija el IP Address asignado del servidor, el default gateway de los Server Assigned Name Server Address, y del uso en la red remota. Haga clic en OK.

    12. Cuando usted hace doble clic el icono para sacar a colación la conexión con la ventana para marcar, usted debe completar los campos del Nombre de usuario y de contraseña, y después hace clic la conexión.

  5. Microsoft Windows 95 puesto para el loginauto del usuario

    1. La configuración para el usuario loginauto, usuario de autenticación con el autocommand PPP, es lo mismo que para otros usuarios excepto en la configuración > la ventana de opciones. El control trae para arriba la ventana de terminal después de marcar.

    2. Cuando usted hace doble clic el icono para sacar a colación la conexión con la ventana para marcar, usted no completa los campos del Nombre de usuario y de contraseña. El tecleo conecta y después de que la conexión al router se haga, teclea adentro el nombre de usuario y contraseña en la ventana negra que aparece.

    3. Después de la autenticación, tecleo Continue(F7).

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

Servidor

$BASE/config/CSU.cfg seguro de ./Cisco - CX - f $BASE/CSU

Router

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug. Para más información sobre los comandos específicos, vea por favor la referencia del comando Debug del Cisco IOS.

  • monitor terminal — Visualice el resultado del comando de debug y los mensajes de error del sistema para el terminal actual y la sesión.

  • debug ppp negotiation: muestra los paquetes PPP transmitidos durante el inicio PPP, donde se negocian las opciones PPP.

  • haga el debug del paquete ppp — Visualice los paquetes PPP se envían y se reciben que. Este comando indica el vaciado de paquetes de bajo nivel.

  • PPP chap del debug — Mostrar información en el tráfico e intercambios en una red interna que implementa el protocolo challenge authentication (GRIETA).

  • autenticación aaa del debug — Vea se están utilizando qué métodos de autenticación y cuáles son los resultados de estos métodos.

  • debug aaa authorization — Vea se están utilizando qué métodos de autorización y cuáles son los resultados de estos métodos.

Archivo seguro de usuarios de Cisco

group = admin {
        password = clear "adminpwd"
        service = shell {
                default cmd = permit
                default attribute = permit
        }
}
 
group = oper {
        password = clear "oper"
        privilege = clear "cisco" 15
        service = shell {
                default cmd = permit
                default attribute = permit
        }
}

user = adminusr {
        password = clear "adminusr"
        default service = permit
        }

user = desusr {
        password = des "QjnXYd1kd7ePk"
        default service = permit
        }

user = operator {
        member = oper 
        default service = permit
        }

user = time {
        default service = permit
        password = clear "time"
        service = shell  {
                set timeout = 1
                default cmd = permit
                default attribute = permit
        }
}

user = todam {
        password = clear "todam"
        service = shell  {
                default cmd = permit
                default attribute = permit
                time = Any 0600 - 1200
        }
        }

user = todpm {
        password = clear "todpm"
        service = shell  {
                default cmd = permit
                default attribute = permit
                time = Any 1200 - 2359
        }
        }

user = telnet {
        password = clear "telnet"
        service = shell  {
                set autocmd = "telnet 171.68.118.102"
                        }
        }

user = limit_lifetime {
        password = clear "cisco" from
        "2 may 2001" until
        "4 may 2001"
        }
 
user = loneusr {
        password = clear "lonepwd"
        service = shell  {
                cmd = show {
                permit "ver"
                }
                cmd = ping {
                permit "."
                }
                cmd = logout {
                permit "."
                }
        }
}
 
user = chapuser {
        default service = permit
        password = chap "chapuser"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                }
        }
}

user = chapaddr {
        password = chap "chapaddr"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                        set addr = 10.29.1.99
                }
        }
}

user = chapacl {
        default service = permit
        password = chap "chapacl"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                        set inacl = 101
                        set addr = 10.29.1.100
                }
        }
}

user = papuser {
        default service = permit
        password = pap "papuser"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                }
        }
}

user = papaddr {
        default service = permit
        password = pap "papaddr"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                        set addr = 10.29.1.98
                }
        }
}

user = papacl {
        default service = permit
        password = chap "papacl"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                        set inacl = 101
                        set addr = 10.29.1.100
                }
        }
}

user = loginauto {
        default service = permit
        password = clear "loginauto"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                        }
        }
 }

user = somerouters {
   password = clear "somerouters"
   allow koala ".*" "10\.31\.1\.*"
   allow koala.rtp.cisco.com ".*" "10\.31\.1\.*"
   allow 10.31.1.5 ".*" "10\.31\.1\.*"
   refuse ".*" ".*" ".*"
   service=shell {
   default cmd=permit
   default attribute=permit
   }
   }

Información Relacionada


Document ID: 13850