Seguridad y VPN : Protocolos de autenticación

Cómo asignar niveles de privilegio con TACACS+ y RADIUS

20 Mayo 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (26 Febrero 2008) | Comentarios

Contenidos

Introducción
Requisitos previos
     Requisitos
     Componentes utilizados
     Convenciones
Ejemplo:
     Configuraciones - Router
     Configuraciones - Servidor
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

En este documento se explica cómo cambiar el nivel de privilegio de ciertos comandos y se proporciona un ejemplo con partes de ejemplos de configuraciones para un router y servidores TACACS+ y RADIUS.

Requisitos previos

Requisitos

Quienes lean este documento deben poseer conocimientos sobre niveles de privilegios en un router.

De forma predeterminada, un router dispone de tres niveles de privilegios.

  • nivel de privilegio 1 = sin privilegios (el símbolo del sistema es router>), el nivel predeterminado para iniciar sesión

  • nivel de privilegio 15 = con privilegios (el símbolo del sistema es router#), el nivel después de entrar en modo de habilitación

  • nivel de privilegio 0 = utilizado en pocas ocasiones, aunque incluye 5 comandos: disable, enable, exit, help y logout

Los niveles del 2 al 14 no se usan en una configuración predeterminada, aunque los comandos que normalmente tienen un nivel 15 pueden desplazarse hacia abajo a uno de esos niveles, y los comandos que normalmente están en el nivel 1 puede desplazarse hacia arriba a uno de esos niveles. Evidentemente, este modelo de seguridad implica un cierto grado de administración en el router.

Para determinar el nivel de privilegio como usuario conectado, escriba el comando show privilege. Para determinar qué comandos están disponibles en un nivel de privilegio determinado para la versión del software Cisco IOS® que está utilizando, escriba un ? en la línea de comandos cuando se encuentre registrado con ese nivel de privilegio.

Nota: En vez de asignar niveles de privilegio, puede ejecutar una autorización de comandos si el servidor de autenticación es compatible con TACACS+. El protocolo RADIUS no soporta la autorización de comandos.

Componentes utilizados

La información de este documento se basa en la versión 11.2 o posteriores del software Cisco IOS.

La información que se presenta en este documento se originó a partir de dispositivos dentro de un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando antes de ejecutarlo.

Convenciones

Si desea más información sobre convenciones de documentos, consulte las Convenciones sobre consejos técnicos de Cisco.

Ejemplo:

En este ejemplo, los comandos snmp-server se desplazan hacia abajo desde el nivel de privilegio 15 (valor predeterminado) al nivel de privilegio 7. El comando ping se mueve hacia arriba desde el nivel de privilegio 1 hasta el nivel de privilegio 7. Cuando el usuario seven se autentica, el servidor asigna a dicho usuario el nivel 7 y un comando show privilege muestra "Current privilege level is 7" (El nivel de privilegio actual es de 7). El usuario puede ejecutar ping y configurar snmp-server en modo de configuración. No se dispone de otros comandos de configuración.

Configuraciones - Router

Router - 11.2

aaa new-model
aaa authentication login default tacacs+|radius local
aaa authorization exec tacacs+|radius local
username backup privilege 7 password 0 backup
tacacs-server host 171.68.118.101
tacacs-server key cisco
radius-server host 171.68.118.101
radius-server key cisco
privilege configure level 7 snmp-server host
privilege configure level 7 snmp-server enable
privilege configure level 7 snmp-server
privilege exec level 7 ping
privilege exec level 7 configure terminal
privilege exec level 7 configure

Router - 11.3.3.T y posterior (hasta 12.0.5.T)

aaa new-model
aaa authentication login default tacacs+|radius local
aaa authorization exec default tacacs+|radius local

username backup privilege 7 password 0 backup
tacacs-server host 171.68.118.101
tacacs-server key cisco
radius-server host 171.68.118.101
radius-server key cisco
privilege configure level 7 snmp-server host
privilege configure level 7 snmp-server enable
privilege configure level 7 snmp-server
privilege exec level 7 ping
privilege exec level 7 configure terminal
privilege exec level 7 configure

Router: 12.0.5.T y posteriores

aaa new-model
aaa authentication login default group tacacs+|radius local
aaa authorization exec default group tacacs+|radius local
username backup privilege 7 password 0 backup
tacacs-server host 171.68.118.101
tacacs-server key cisco
radius-server host 171.68.118.101
radius-server key cisco
privilege configure level 7 snmp-server host
privilege configure level 7 snmp-server enable
privilege configure level 7 snmp-server
privilege exec level 7 ping
privilege exec level 7 configure terminal
privilege exec level 7 configure

Configuraciones - Servidor

Cisco Secure NT TACACS+

Siga estos pasos para configurar el servidor.

  1. Complete el nombre de usuario y la contraseña.

  2. En Group Settings (Configuraciones de grupo), asegúrese de que shell/exec esté activado y de que se haya introducido 7 en la casilla de nivel de privilegio.

TACACS+ - Sección en servidor Freeware

Stanza in TACACS+ freeware:
user = seven {
login = cleartext seven
service = exec {
priv-lvl = 7
}
}

Cisco Secure UNIX TACACS+

user = seven {
password = clear "seven"
service = shell {
set priv-lvl = 7
}
}

Cisco Secure NT RADIUS

Siga estos pasos para configurar el servidor.

  1. Introduzca el nombre de usuario y la contraseña.

  2. En Group Settings (Configuraciones de grupo) para IETF, Service-type (attribute 6) (Tipo de servicio (atributo 6))= Nas-Prompt (Mensaje de Nas)

  3. En el área CiscoRADIUS, active AV-Pair (par AV) y en la casilla rectangular inferior, introduzca shell:priv-lvl=7.

Cisco Secure UNIX RADIUS

user = seven{
radius=Cisco {
check_items= {
2="seven"
} 
reply_attributes= {
6=7
9,1="shell:priv-lvl=7"
} 
} 
}

Éste es el archivo de usuario correspondiente al nombre de usuario "seven".

Nota: El servidor debe soportar los pares AV de Cisco.

  • seven Password (Contraseña de siete) = passwdxyz

  • Service-Type (Tipo de servicio) = Shell-User (Usuario de shell)

  • cisco-avpair =shell:priv-lvl=7


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 13860