Seguridad : Cisco Secure Access Control System

ACS 5.x: Autenticación de TACACS+ y comando authorization basados en el ejemplo de configuración de la membresía del grupo AD

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento proporciona un ejemplo de configurar autenticación de TACACS+ y del comando authorization basado en la membresía del grupo AD de un usuario con el Cisco Secure Access Control System (ACS) 5.x y posterior. ACS utiliza Microsoft Active Directory (AD) como almacén de identidades externo para guardar recursos como usuarios, equipos, grupos y atributos.

prerrequisitos

Requisitos

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Cisco Secure ACS 5.3

  • Software Release 12.2(44)SE6 del½ del¿Â del Cisco IOSïÂ.

    Nota: Esta configuración se puede hacer en todos los dispositivos Cisco IOS.

  • Dominio 2003 del Microsoft Windows server

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configuración

Configuración ACS 5.x para la autenticación y autorización

Antes de que usted comience la configuración del ACS 5.x para la autenticación y autorización, el ACS se debe haber integrado con éxito con Microsoft AD. Si el ACS no se integra con el dominio deseado AD, refiera a ACS 5.x y posterior: Integración con el ejemplo de configuración del Microsoft Active Directory para más información para realizar la tarea de la integración.

En esta sección, usted asocia dos grupos AD a dos diversos comandos estableces y dos perfiles del shell, uno con de total acceso y el otro con el limitado-acceso en los dispositivos Cisco IOS.

  1. Registro en el ACS GUI usando las credenciales Admin.

  2. Elija a los usuarios y la identidad salva > identidad externa salva > Active Directory y verifica que el ACS se ha unido al dominio deseado y también que el estatus de la Conectividad está mostrado según lo conectado.

    Haga clic en la lengueta de los grupos del directorio.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-01.gif

  3. Tecleo selecto.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-02.gif

  4. Elija a los grupos que necesitan ser asociados a los perfiles y a los comandos estableces del shell en la parte de posterior la configuración. Haga clic en OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-03.gif

  5. Cambios de la salvaguardia del tecleo.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-04.gif

  6. Elija las políticas de acceso > el acceso mantiene > las reglas de selección del servicio e identifica el servicio del acceso, que procesa autenticación de TACACS+. En este ejemplo, es el dispositivo predeterminado Admin.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-05.gif

  7. Elija las políticas de acceso > los servicios del acceso > el dispositivo del valor por defecto Admin > identidad y haga clic selecto al lado de la fuente de la identidad.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-06.gif

  8. Elija AD1 y haga clic la AUTORIZACIÓN.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-07.gif

  9. Cambios de la salvaguardia del tecleo.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-08.gif

  10. Elija las políticas de acceso > los servicios del acceso > el dispositivo del valor por defecto Admin > autorización y haga clic en personalizan.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-09.gif

  11. Copie AD1:ExternalGroups de disponible a la sección seleccionada de las condiciones Customize y después mueva el perfil y a los comandos estableces del shell desde disponible a la sección seleccionada de los resultados Customize. Ahora haga clic la AUTORIZACIÓN.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-10.gif

  12. El tecleo crea para crear una nueva regla.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-11.gif

  13. Tecleo selecto en la condición AD1:ExternalGroups.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-12.gif

  14. Elija al grupo que usted quiere para proporcionar el acceso total en el dispositivo Cisco IOS. Haga clic en OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-13.gif

  15. Tecleo selecto en el campo del perfil del shell.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-14.gif

  16. El tecleo crea para crear un nuevo perfil del shell para los usuarios de total acceso.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-15.gif

  17. Proporcione un nombre y un Description(optional) en la ficha general y haga clic en la lengueta común de las tareas.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-16.gif

  18. Cambie el privilegio predeterminado y el privilegio del máximo a los parásitos atmosféricos con el valor 15. Haga clic en Submit (Enviar).

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-17.gif

  19. Ahora elija el perfil de total acceso creado recientemente del shell (FULL-privilegio en este ejemplo) y haga clic la AUTORIZACIÓN.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-18.gif

  20. Tecleo selecto en el campo de los comandos estableces.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-19.gif

  21. El tecleo crea para crear un comando new fijado para los usuarios de total acceso.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-20.gif

  22. Proporcione un nombre y asegúrese de que la casilla de verificación al lado del comando permit any que no está en la tabla abajo está marcada. Haga clic en Submit (Enviar).

    Nota: Refiera a crear, a duplicación, y a los conjuntos del comando editing para Device Administration (Administración del dispositivo) para más información sobre los comandos estableces.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-21.gif

  23. Haga clic en OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-22.gif

  24. Haga clic en OK. Esto completa la configuración de Rule-1.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-23.gif

  25. El tecleo crea para crear una nueva regla para los usuarios limitados del acceso.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-24.gif

  26. Elija AD1:ExternalGroups y haga clic selecto.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-25.gif

  27. Elija a los grupos del grupo (o) a quienes usted quiere proporcionar el acceso limitado y hacer clic la AUTORIZACIÓN.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-26.gif

  28. Tecleo selecto en el campo del perfil del shell.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-27.gif

  29. El tecleo crea para crear un nuevo perfil del shell para el acceso limitado.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-28.gif

  30. Proporcione un nombre y un Description(optional) en la ficha general y haga clic en la lengueta común de las tareas.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-29.gif

  31. Cambie el privilegio predeterminado y el privilegio del máximo a los parásitos atmosféricos con los valores 1 y 15 respectivamente. Haga clic en Submit (Enviar).

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-30.gif

  32. Haga clic en OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-31.gif

  33. Tecleo selecto en el campo de los comandos estableces.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-32.gif

  34. El tecleo crea para crear un comando new fijado para el grupo de acceso limitado.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-33.gif

  35. Proporcione un nombre y asegúrese de que el checkbox al lado del comando permit any que no está en la tabla abajo no está seleccionado. El tecleo agrega después de teclear la demostración en el espacio proporcionado en el comando section y elige el permiso en la sección de Grant para solamente permitir los comandos show para los usuarios en el grupo de acceso limitado.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-34.gif

  36. Agregue semejantemente cualquier otro comando de ser permitido para los usuarios en el grupo de acceso limitado con el uso Add. Haga clic en Submit (Enviar).

    Nota: Refiera a crear, a duplicación, y a los conjuntos del comando editing para Device Administration (Administración del dispositivo) para más información sobre los comandos estableces.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-35.gif

  37. Haga clic en OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-36.gif

  38. Haga clic en OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-37.gif

  39. Cambios de la salvaguardia del tecleo.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-38.gif

  40. El tecleo crea para agregar el dispositivo Cisco IOS como cliente AAA en el ACS.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-39.gif

  41. Proporcione un nombre, la dirección IP, el secreto compartido para el TACACS+ y el tecleo someten.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-40.gif

Configure el dispositivo Cisco IOS para la autenticación y autorización

Complete estos pasos para configurar el dispositivo Cisco IOS y el ACS para la autenticación y autorización.

  1. Cree a un usuario local con el privilegio completo para el retraso con el comando username como se muestra aquí:

    username admin privilege 15 password 0 cisco123!
  2. Proporcione la dirección IP del ACS para habilitar el AAA y agregar ACS 5.x como servidor TACACS.

    aaa new-model
    tacacs-server host 192.168.26.51 key cisco123

    Nota: La clave debe hacer juego con el secreto compartido proporcionado en el ACS para este dispositivo Cisco IOS.

  3. Pruebe el accesibilidad del servidor TACACS con el comando aaa de la prueba como se muestra.

    test aaa group tacacs+ user1 xxxxx legacy
    Attempting authentication test to server-group tacacs+ using tacacs+
    User was successfully authenticated.

    La salida del comando anterior muestra que el servidor TACACS es accesible y han autenticado al usuario con éxito.

    Nota: El user1 y el xxx de la contraseña pertenecen al AD. Si la prueba falla por favor asegúrese de que el secreto compartido proporcionado en el paso anterior esté correcto.

  4. Configure el login y habilite las autenticaciones y después utilice el ejecutivo y las autorizaciones de comando como se muestra aquí:

    aaa authentication login default group tacacs+ local
    aaa authentication enable default group tacacs+ enable
    aaa authorization exec default group tacacs+ local
    aaa authorization commands 0 default group tacacs+ local
    aaa authorization commands 1 default group tacacs+ local
    aaa authorization commands 15 default group tacacs+ local
    aaa authorization config-commands

    Nota: Las palabras claves del Local y del permiso se utilizan para el retraso al usuario local del Cisco IOS y habilitan el secreto respectivamente si el servidor TACACS es inalcanzable.

Verificación

Para verificar la autenticación y autorización inicie sesión al dispositivo Cisco IOS con Telnet.

  1. Telnet al dispositivo Cisco IOS como user1 que pertenece al grupo de total acceso en el AD. El grupo de Admins de la red es el grupo en el AD que es perfil asociado del shell del FULL-privilegio y comando set de total acceso en el ACS. Intente funcionar con el comando any de asegurarse de que usted tiene acceso total.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-41.gif

  2. Telnet al dispositivo Cisco IOS como user2 que pertenece al grupo del limitado-acceso en el AD. (El grupo del equipo del mantenimiento de red es el grupo en el AD que es comando set asociado del perfil y del Demostración-acceso del shell del Limitado-privilegio en el ACS). Si usted intenta funcionar con el comando any con excepción de los que está mencionados en el comando set del Demostración-acceso, usted debe conseguir un error fallado comando authorization, que muestra que el user2 ha limitado el acceso.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-42.gif

  3. Inicie sesión al ACS GUI y ponga en marcha la supervisión y señala el Visualizador. Elija el protocolo AAA > TACACS+Authorization para verificar las actividades realizadas por el user1 y user2.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113590-acs5-tacas-config-43.gif


Información Relacionada


Document ID: 113590