Seguridad : Cisco Secure Access Control Server para Windows

Autorización del comando shell en el router del enebro con el ejemplo de la configuración de ACS

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento proporciona una configuración de muestra en los conjuntos de la autorización del comando shell en el Cisco Secure Access Control Server (ACS) para el router del enebro, los terceros proveedores, con el TACACS+.

Refiera a los parámetros de RADIUS del enebro de la configuración para un usuario para configurar y permitir a los atributos de RADIUS del enebro para aplicarse como autorización para el Usuario usuario actual.

prerrequisitos

Requisitos

Este documento asume que las configuraciones básicas están fijadas en los clientes AAA y el ACS.

  1. En el ACS, elija Interface Configuration > Advanced Options.

  2. Asegúrese de que por usuario la casilla de verificación de los atributos TACACS+/RADIUS esté marcada.

Componentes Utilizados

La información en este documento se basa en el Cisco Secure Access Control Server (ACS) esos funcionamientos la versión de software 4.1.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configurar

Configuraciones TACACS+

Los conjuntos del comando authorization proporcionan un mecanismo central para controlar la autorización de cada comando que se publique en cualquier dispositivo de red dado. Esta característica aumenta grandemente el scalability y la manejabilidad requeridos para fijar las restricciones de la autorización.

Los conjuntos del comando authorization del enebro requieren que el pedido de autorización del comando tacacs+ identifique el servicio como junos-EXEC.

Para configurar y permitir a los atributos del enebro para aplicarse como autorización para el Usuario usuario actual, complete estos pasos:

  1. Agregue al Routers del enebro bajo entrada de los clientes AAA de la Configuración de la red > Add con TACACS+ (CISCO IOS) como el protocolo de autenticación y con el IP Address correcto donde él fuente sus peticiones y la clave secreta compartida que corresponde con.

    acs-juniper-01.gif

  2. Elija Interface Configuration > Tacacs+ (CISCO IOS). Bajo nuevos servicios, habilite el junos-EXEC mantiene por el usuario, por el grupo o ambos. Se recomienda para hacer esto por el usuario si usted quiere permitir diversos valores en a por la base del usuario (X, Y, Z, XY).

    acs-juniper-02.gif

  3. Vaya al grupo/configuración de usuario y encuentre este servicio creado recientemente bajo configuraciones TACACS+. Marque la opción para el junos-EXEC y la opción para los atributos personalizados. Ingrese los valores de este servicio para cada usuario por esta imagen:

    acs-juniper-03.gif

    For X user account you will need to enter the following attributes:
    
    local-user-name = sales 
    allow-commands = "configure" 
    deny-commands = "shutdown" 
    
    For Y user account you will need to enter:
    
    local-user-name = sales 
    allow-commands = "(request system) | (show rip neighbor)" 
    deny-commands = "<^clear" 
    
    For Z user acccount:
    
    local-user-name = engineering 
    allow-commands = "monitor | help | show | ping | traceroute" 
    deny-commands = "configure" 
    
    Finally, for XY user account:
    
    local-user-name = engineering 
    allow-commands = "show bgp neighbor" 
    deny-commands = "telnet | ssh"

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 110895