Seguridad y VPN : Terminal Access Controller Access Control System (TACACS+)

Router Cisco de la configuración para la autenticación del dial usando el TACACS+

25 Agosto 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (23 Abril 2015) | Comentarios


Contenido


Introducción

Este documento describe cómo configurar a un router Cisco para la autenticación del dial con el TACACS+ que se ejecuta en UNIX. El TACACS+ no ofrece tantas características como el Cisco Secure ACS for Windows disponible en el comercio o el Cisco Secure ACS para UNIX.

El software TACACS+ proporcionado previamente por Cisco Systems ha sido interrumpido y es soportado no más por Cisco Systems.

Hoy, usted puede encontrar muchas versiones de software libre disponibles TACACS+ cuando usted busca para el “freeware TACACS+” en su motor de búsqueda de los Internet favorita. Cisco no recomienda específicamente ninguna implementación determinada del freeware TACACS+.

El Cisco Secure Access Control Server (ACS) está disponible para la compra a través de las ofertas de Cisco y de los canales de distribución regulares por todo el mundo. El Cisco Secure ACS for Windows incluye todos los componentes necesarios necesarios para las instalaciones independientes en un puesto de trabajo de Microsoft Windows. El motor de solución del Cisco Secure ACS se envía con una licencia de software instalada previamente del Cisco Secure ACS. Refiera al boletín de productos del Cisco Secure ACS 4.0 para los números de producto. Visite Cisco que pide el Home Page (clientes registrados solamente) para poner una orden.

Nota: Usted necesita una cuenta CCO con un contrato de servicio asociado de conseguir la versión de prueba del 90-día para el Cisco Secure ACS for Windows (clientes registrados solamente).

La configuración del router en este documento fue desarrollada en un router que funciona con el Software Release 11.3.3 de Cisco IOS�. TACACS+ de grupo del uso de los Cisco IOS Software Release 12.0.5.T y Posterior en vez de tacacs+. Las declaraciones tales como permiso del TACACS+ predeterminado de la conexión con el sistema de autenticación aaa aparecen como permiso del grupo predeterminado tacacs+ de la conexión con el sistema de autenticación aaa.

Usted puede descargar la guía del freeware y de usuario TACACS+ por el Anonymous FTP a ftp-eng.cisco.com en el directorio de /pub/tacacs.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Configuraciones

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta de búsqueda de comandos (clientes registrados solamente) para encontrar la información adicional en los comandos usados en este documento.

En este documento, se utilizan estas configuraciones:

Configuración del router
!
aaa new-model
aaa authentication login default tacacs+ enable
aaa authentication ppp default if-needed tacacs+
aaa authorization exec default tacacs+ if-authenticated
aaa authorization commands 1 default tacacs+ if-authenticated 
aaa authorization commands 15 default tacacs+ if-authenticated 
aaa authorization network default tacacs+ 
enable password ww
!
chat-script default "" at&fls0=1&h1&r2&c1&d2&b1e0q2 OK
!
interface Ethernet0
 ip address 10.6.1.200 255.255.255.0
! 

!--- Challenge Handshake Authentication Protocol 
!--- (CHAP/PPP) authentication user.

  interface Async1
  ip unnumbered Ethernet0
  encapsulation ppp
  async mode dedicated
  peer default ip address pool async
  no cdp enable
  ppp authentication chap
 !
 
!--- Password Authentication Protocol (PAP/PPP) authentication user.

  interface Async2
  ip unnumbered Ethernet0
  encapsulation ppp
  async mode dedicated
  peer default ip address pool async
  no cdp enable
  ppp authentication pap
 !
 
!--- Authentication user with autocommand PPP.

  interface Async3
  ip unnumbered Ethernet0
  encapsulation ppp
  async mode interactive
  peer default ip address pool async
  no cdp enable
 !
 ip local pool async 10.6.100.101 10.6.100.103
 tacacs-server host 171.68.118.101
 tacacs-server timeout 10
 tacacs-server key cisco
 !
 line 1
  session-timeout 20
  exec-timeout 120 0
  autoselect during-login
  script startup default
  script reset default
  modem Dialin
  transport input all
  stopbits 1
  rxspeed 115200
  txspeed 115200
  flowcontrol hardware
 !
 line 2
  session-timeout 20
  exec-timeout 120 0
  autoselect during-login
  script startup default
  script reset default
  modem Dialin
  transport input all
  stopbits 1
  rxspeed 115200
  txspeed 115200
  flowcontrol hardware
 !
 line 3
  session-timeout 20
  exec-timeout 120 0
  autoselect during-login
  autoselect ppp
  script startup default
  script reset default
  modem Dialin
  autocommand ppp
  transport input all
  stopbits 1
  rxspeed 115200
  txspeed 115200
  flowcontrol hardware
 !
 end

TACACS+ archivo de configuración en el servidor Freeware

!--- Handshake with router
!--- AS needs 'tacacs-server key cisco'.

key = "cisco"


!--- User who can Telnet in to configure.

user = admin {
        default service = permit
        login = cleartext "admin"
        }

 
!--- CHAP/PPP authentication line 1 -
!--- password must be cleartext per CHAP specifications.

  user = chapuser {
         chap = cleartext "chapuser"
         service = ppp protocol = ip {
                 default attribute = permit
                 }
         }
 
 
!--- PPP/PAP authentication line 2.

  user = papuser {
         login = file /etc/passwd
         service = ppp protocol = ip {
                 default attribute = permit
                 }
         }

 
!--- Authentication user line 3.

  user = authauto {
         login = file /etc/passwd
         service = ppp protocol = ip {
                 default attribute = permit
                 }
         }

Configuración de Microsoft Windows

Configuración de Microsoft Windows para los usuarios 1 y 2

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Instrucciones Paso a Paso

Complete estos pasos.

Nota: La Configuración del PC puede variar basado levemente en la versión del sistema operativo que usted utiliza.

  1. Seleccione el Start (Inicio) > Programs (Programas) > Accesories (Accesorios) > Dial-Up Networking (Interconexión de redes de marcado manual) para abrir la ventana del dial-up networking.

  2. Elija el Make New Connection del menú de conexiones, y ingrese un nombre para su conexión.

  3. Ingrese su información específica del módem y haga clic la configuración.

  4. En la página general de las propiedades seleccione la velocidad más alta de su módem, pero no marque el único conectan en este cuadro de la velocidad….

  5. En la configuración/las propiedades de conexión pagine, utilice 8 bits de datos, ninguna paridad, y 1 bit de detención. Las preferencias de la llamada a utilizar son espera para el tono de discado antes de marcar y para cancelar la llamada si no conectada después de 200 segundos.

  6. En la página de la conexión, tecleo avanzado. En las configuraciones de la conexión avanzadas, seleccione el estándar solamente del control de flujo de hardware y del tipo de modulación.

    En la página de las propiedades de la configuración/de las opciones, nada se debe marcar excepto el cuadro bajo control de estado.

  7. El Haga Click en OK y entonces hace clic después.

  8. Ingrese el número de teléfono del destino, haga clic después otra vez, y después haga clic el final.

  9. Una vez que aparece el icono de la nueva conexión, hagalo clic con el botón derecho del ratón y elija el Properties (Propiedades) > Server Type (Tipo de servidor).

  10. Elija el PPP: El WINDOWS 95, WINDOWS NT 3.5, Internet y no marca ninguna opciones avanzada.

  11. Control TCP/IP bajo Network Protocol permitidos.

  12. Bajo configuraciones TCP/IP…, elija el IP Address asignado del servidor, el default gateway de los Server Assigned Name Server Address, y del uso en la red remota y después haga clic la AUTORIZACIÓN.

  13. Cuando el usuario hace doble clic el icono para hacer la conexión con la visualización de la ventana para marcar, el usuario debe completar los campos del Nombre de usuario y de contraseña, y después hace clic conecta.

Configuración de Microsoft Windows para usuario 3

La Configuración para el usuario 3 (usuario de autenticación con el autocommand PPP) es lo mismo que para los usuarios 1 y 2 con estas excepciones:

  • En página de las propiedades de la configuración/de las opciones (el paso 6), control trae para arriba la ventana de terminal después de marcar.

  • Cuando el usuario hace doble clic el icono para abrir la conexión con la ventana para marcar (paso 13), el usuario no completa los campos del Nombre de usuario y de contraseña. Los tecleos del usuario conectan. Después de que la conexión al router se haga, el usuario teclea adentro el nombre de usuario y contraseña en la ventana negra que aparece. Después de la autenticación, las prensas del usuario continúan (F7).

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshooting

Router

Consulte información importante en los comandos debug antes de ejecutar los comandos debug.

  • monitor terminalResultado del comando de debug y mensajes de error del sistema de las visualizaciones para el terminal actual y la sesión.

  • negociación ppp del debug — Visualiza los paquetes PPP enviados durante el inicio de PPP, donde se negocia la opción PPP.

  • paquete ppp del debug — Visualiza los paquetes PPP se envían y se reciben que. (Este comando muestra el vaciado de paquetes de bajo nivel).

  • PPP chap del debug — Visualiza la información sobre si un cliente pasa la autenticación (para las versiones de Cisco IOS Software anterior de 11.2).

  • autenticación aaa del debug — Visualiza la información sobre la autenticación del Authentication, Authorization, and Accounting (AAA) /TACACS+.

  • debug aaa authorization — Visualiza la información sobre la autorización AAA/TACACS+.

Servidor

Nota:  Esto asume el código freeware del servidor TACACS+ de Cisco.

tac_plus_executable -C config.file -d 16
  tail -f /var/tmp/tac_plus.log

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 13866