Безопасность и VPN : Terminal Access Controller Access Control System (TACACS+)

"Настройка TACACS+, RADIUS и Kerberos на коммутаторах Cisco Catalyst"

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (22 сентября 2010) | Английский (7 октября 2015) | Отзыв


Содержание


Введение

Семейство Catalyst коммутаторов Cisco (Catalyst 4000, Catalyst 5000 и Catalyst 6000, в которых выполняется ПО CatOS), начиная с версии 2.2 поддерживают определенную форму аутентификации. В последующих версиях добавлены усовершенствования. У всех пользователей маршрутизатора совпадают: порт TACACS + TCP 49 (не порт UDP XTACACS 49) и настройки RADIUS или пользователя сервера Kerberos для аутентификации, авторизация и учета (AAA). Этот документ содержит примеры минимального набора команд, необходимых для включения этих функций. Дополнительные параметры доступны в документации коммутатора для рассматриваемой версии.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Общие сведения

Поскольку поздние версии программного обеспечения поддерживают дополнительные варианты, необходимо выполнить команду show version, чтобы определить версию программного обеспечения коммутатора. После определения версии ПО, используемого коммутатором, воспользуйтесь этой таблицей для определения вариантов, доступных на конкретном устройстве, и вариантов, которые нужно настроить.

Всегда оставайтесь в коммутаторе при добавлении аутентификации и авторизации. Проверяйте конфигурацию в другом окне, чтобы избежать случайного блокирования.

Метод (минимум) Cat версия 2.2-5.1 Cat версия 5.1-5.4.1 Cat версия 5.4.1-7.5.1 Cat версии 7.5.1 и более поздней
TACACS + аутентификация OR Шаг A Шаг A Шаг A Шаг A
Проверка подлинности RADIUS OR Н/Д Шаг B Шаг B Шаг B
Проверка подлинности Kerberos OR Н/Д Н/Д Шаг К Шаг К
Аутентификация и авторизация имени локального пользователя Н/Д Н/Д Н/Д Шаг C
Дополнительно (варианты)        
Авторизация TACACS+ Command Н/Д Н/Д Шаг D Шаг D
Авторизация TACACS+ Exec Н/Д Н/Д Шаг Е Шаг Е
Авторизация RADIUS Exec Н/Д Н/Д Шаг F Шаг F
Учет – TACACS+ или RADIUS Н/Д Н/Д Шаг G Шаг G
Авторизация TACACS+ Enable Шаг H Шаг H Шаг H Шаг H
Авторизация RADIUS Enable Н/Д Шаг I Шаг I Шаг I
Авторизация TACACS+ Enable Н/Д Н/Д Шаг J Шаг J

Порядок действий для настройки

Шаг A - аутентификация TACACS+

Для более ранних версий ПО команды не такие сложные как для поздних версий. На коммутаторе могут быть доступны дополнительные варианты в более поздних версиях.

  1. Выполните команду set authentication login local enable, чтобы оставить запасной вариант входа в коммутатор в случае отказа сервера.

  2. Выполните команду set authentication login tacacs enable, чтобы включить аутентификацию TACACS+.

  3. Выполните команду set tacacs server #.#.#.#, чтобы определить сервер.

  4. Выполните команду set tacacs key ваш_ключ, чтобы определить ключ сервера, который является дополнительной возможностью метода TACACS+, поскольку вводит шифрование данных, передаваемых между коммутатором и сервером. В случае использования, он должен быть согласован с сервером.

    Примечание: Операционное программное обеспечение Cisco Catalyst не принимает, что вопросительный знак (?) часть любых ключей или паролей. Вопросительный знак в явной форме используется для получения помощи в синтаксисе команды.

Шаг B – аутентификация RADIUS

Для более ранних версий ПО команды не такие сложные как для поздних версий. На коммутаторе могут быть доступны дополнительные варианты в более поздних версиях.

  1. Выполните команду set authentication login local enable, чтобы оставить запасной вариант входа в коммутатор в случае отказа сервера.

  2. Выполните команду set authentication login radius enable, чтобы включить аутентификацию RADIUS.

  3. Определите сервер. На остальном оборудовании Cisco портами RADIUS по умолчанию являются 1645/1646 (аутентификация/учет).

    На устройстве семейства Catalyst по умолчанию порт 1812/1813. При использовании Cisco Secure или сервера, взаимодействующего с другим оборудованием Cisco, используйте порт 1645/1646. Выполните команду set radius server #.#.#.# auth-port 1645 acct-port 1646 primary, чтобы определить сервер, а для Cisco IOS аналогичная команда radius-server source-ports 1645-1646.

  4. Определите ключ сервера.

    Это является обязательным, поскольку это заставляет пароль коммутатор  сервер быть зашифрованным как в Проверке подлинности RADIUS / RFC/Authorization 2865 leavingcisco.com и RADIUS Accounting RFC 2866 leavingcisco.com. В случае использования, он должен быть согласован с сервером. Выполните команду set radius key ваш_ключ.

Шаг С — аутентификация и авторизация имени локального пользователя

Начиная с CatOS версии 7.5.1 возможна аутентификация локального пользователя. Например, аутентификацию и авторизацию можно реализовать, используя пароль и имя пользователя, хранящиеся в Catalyst вместо аутентификации по локальному паролю.

Для аутентификации локального пользователя имеются только два уровня разрешений: 0 и 15. Уровень 0 — это непривилегированный уровень exec. Уровень 15 — это привилегированный уровень enable.

Если добавить эти команды в данном примере, пользователь poweruser перейдет в режим enable при подключении через Telnet или консоль к коммутатору, а пользователь nonenable перейдет в режим exec при подключении через Telnet или консоль к коммутатору.

set localuser user poweruser password powerpass privilege 15
set localuser user nonenable password nonenable

Примечание: Если пользователь невключает, знает enable password набора, тот пользователь может продолжить к режиму включения.

После настройки пароли хранятся в зашифрованном виде.

Аутентификацию имени локального пользователя можно использовать в сочетании с удаленным TACACS+ exec, учетом command или удаленным учетом RADIUS exec. Ее также можно использовать в сочетании с удаленной авторизацией TACACS+ exec или command, но это не имеет смысла, поскольку имя пользователя должно храниться как на сервере TACACS+, так и локально в коммутаторе.

Шаг D - авторизация TACACS+ Command

В этом примере коммутатор получает указание требовать авторизацию только для команд конфигурации с TACACS+. В случае отказа сервера TACACS+, аутентификация отсутствует. Это относится как к порту консоли, так и к сеансу Telnet. Введите следующую команду:

set authorization commands enable config tacacs none both

В этом примере сервер TACACS+ настраивается для разрешения при настройке следующих параметров:

command=set
arguments (permit)=port 2/12

Команда set port enable 2/12 отправляется серверу TACACS+ для проверки.

Примечание: С включенной авторизацией для выполнения команд, в отличие от этого в маршрутизаторе, где включают, не считается командой, коммутатор передает команду enable к серверу, когда предпринято разрешение. Убедитесь, что настройки сервера также разрешают команду enable.

Шаг Е — авторизация TACACS+ Exec

В этом примере коммутатор получает указание требовать авторизацию только для сеанса exec с TACACS+. В случае отказа сервера TACACS+, авторизация отсутствует. Это относится как к порту консоли, так и к сеансу Telnet. Выполните команду set authorization exec enable tacacs+ none both

Помимо запроса аутентификации коммутатор отправляет отдельный запрос авторизации серверу TACACS+. Если профиль пользователя настроен для режима shell/exec на сервере TACACS+, то он может получить доступ к коммутатору.

Это предотвращает вход в коммутатор пользователей, для которых не настроена служба shell/exec на сервере, например РРР пользователей. Появится следующее сообщение: Exec mode authorization failed (Не удалось выполнить авторизацию режима Exec). Помимо разрешения или запрещения режима exec для пользователей, возможен принудительный перевод в режим enable, когда вход выполняется с уровнем разрешений 15, назначенным на сервере. На нем должно выполняться ПО с исправленной ошибкой с идентификатором Cisco CSCdr51314 (только длязарегистрированных пользователей).

Шаг F — авторизация RADIUS Exec

Отсутствует команда включения авторизации RADIUS exec. Другой способ состоит в том, чтобы задать для Service-Type (атрибут 6 RADIUS) значение Administrative (значение 6) на сервере RADIUS для включения пользователя в режиме enable на этом сервере. Если атрибуту Service-Type задано любое другое значение, отличное от 6-Administrative, например 1-login, 7-shell или 2-framed, пользователю предлагается начать работу в командной строке коммутатора с приглашением exec, а не enable.

Добавьте эти команды в коммутатор для аутентификации и авторизации:

aaa authorization exec TEST group radius
 line vty 0 4
 authorization exec TEST 
 login authentication TEST 

Шаг G — Учет – TACACS+ или RADIUS

Чтобы включить учет TACACS+ для пользователей в случае:

  1. Если доступна командная строка коммутатора, выполните команду set accounting exec enable start-stop tacacs+.

  2. В случае завершения сеанса Telnet с коммутатором выполните команду set accounting exec enable start-stop tacacs+.

  3. В случае перезагрузки коммутатора выполните команду set accounting exec enable start-stop tacacs+.

  4. В случае выполнения команд выполните команду set accounting commands enable all start-stop tacacs+.

  5. Для напоминания серверу, например, об обновлении записей раз в минуту, чтобы отображать состояние входа пользователя, выполните команду set accounting update periodic 1.

Чтобы включить учет RADIUS для пользователей в случае:

  1. Если доступна командная строка коммутатора, выполните команду set accounting exec enable start-stop radius.

  2. В случае завершения сеанса Telnet с коммутатором выполните команду set accounting connect enable start-stop radius.

  3. В случае перезагрузки коммутатора выполните команду set accounting system enable start-stop radius.

  4. Для напоминания серверу, например, об обновлении записей раз в минуту, чтобы отображать состояние входа пользователя, выполните команду set accounting update periodic 1.

Записи TACACS+ Freeware

Ниже приведен пример вывода, иллюстрирующий отображение записей на сервере:

Fri Mar 24 13:22:41 2000 10.31.1.151 pinecone telnet85
171.68.118.100 stop task_id=5 start_time=953936729 timezone=UTC
service=shell disc-cause=2 elapsed_time=236
Fri Mar 24 13:22:50 2000 10.31.1.151 pinecone telnet85
171.68.118.100 stop task_id=15 start_time=953936975 timezone=UTC
service=shell priv-lvl=0 cmd=enable
Fri Mar 24 13:22:54 2000 10.31.1.151 pinecone telnet85
171.68.118.100 stop task_id=16 start_time=953936979 timezone=UTC
service=shell priv-lvl=15 cmd=write terminal
Fri Mar 24 13:22:59 2000 10.31.1.151 pinecone telnet85
171.68.118.100 stop task_id=17 start_time=953936984 timezone=UTC
service=shell priv-lvl=15 cmd=show version
Fri Mar 24 13:23:19 2000 10.31.1.151 pinecone telnet85
171.68.118.100 update task_id=14 start_time=953936974 timezone=UTC
service=shell

Вывод записей RADIUS на UNIX

Ниже приведен пример вывода, иллюстрирующий отображение записей на сервере:

Client-Id = 10.31.1.151
NAS-Port-Type = 0
User-Name = "login"
Acct-Status-Type = Start
Acct-Authentic = RADIUS
User-Service-Type = 7
Acct-Session-Id = "0000002b"
Acct-Delay-Time = 0

Client-Id = 10.31.1.151
NAS-Port-Type = 0
User-Name = "login"
Calling-Station-Id = "171.68.118.100"
Acct-Status-Type = Start
User-Service-Type = Login-User
Acct-Session-Id = "0000002c"
Login-Service = Telnet
Login-Host = 171.68.118.100
Acct-Delay-Time = 0

Client-Id = 10.31.1.151
NAS-Port-Type = 0
User-Name = "login"
Calling-Station-Id = "171.68.118.100"
Acct-Status-Type = Stop
User-Service-Type = Login-User
Acct-Session-Id = "0000002c"
Login-Service = Telnet
Login-Host = 171.68.118.100
Acct-Session-Time = 9
Acct-Delay-Time = 0

Client-Id = 10.31.1.151
NAS-Port-Type = 0
User-Name = "login"
Acct-Status-Type = Stop
Acct-Authentic = RADIUS
User-Service-Type = 7
Acct-Session-Id = "0000002b"
Received unknown attribute 49
Acct-Session-Time = 30
Acct-Delay-Time = 0

Шаг H — аутентификация TACACS+ Enable

Выполните следующие действия:

  1. Выполните команду set authentication enable local enable, чтобы оставить запасной вариант входа в коммутатор в случае отказа сервера.

  2. Выполните команду set authentication enable tacacs enable, чтобы указать коммутатору отправить запросы режима enable серверу.

Шаг I – аутентификация RADIUS Enable

Добавьте эти команды, чтобы коммутатор отправил имя пользователя $enab15$ серверу RADIUS. Не все серверы RADIUS поддерживают этот тип имени пользователя. Другой способ см. в описании шага E, например, если задать атрибут service-type [атрибуту 6 RADIUS значение Administrative] произойдет включение отдельных пользователей в режиме enable.

  1. Выполните команду set authentication enable local enable, чтобы оставить запасной вариант входа в коммутатор в случае отказа сервера.

  2. Выполните команду set authentication enable radius enable, чтобы указать коммутатору отправить запросы режима enable серверу, если сервер RADIUS поддерживает имя пользователя $enab15$.

Шаг J — авторизация TACACS+ Enable

В результате добавления этой команды коммутатор отправляет запрос режима enable серверу при попытке пользователя войти в этот режим. Необходимо, чтобы на сервере была разрешена команда enable. В этом примере в случае отказа сервера обработка этой ситуации завершается ничем:

set author enable enable tacacs+ none both

Шаг K – аутентификация Kerberos

Дополнительные сведения о настройке Kerberos для коммутатора см. в Контроль и управление доступом к коммутатору с помощью аутентификации, авторизации и учета.

Восстановление пароля

Сведения о процедурах восстановления паролей см. в Процедуры восстановления пароля.

На этой странице приводится указатель процедур восстановления пароля для продуктов Cisco.

команды ip permit для дополнительной безопасности

Чтобы повысить безопасность, Catalyst можно настроить для контроля доступа по протоколу Telnet посредством команд ip permit:

set ip permit enable telnet

set ip permit маска диапазона|узел

В результате только указанные узлы или диапазон узлов получают доступ по протоколу Telnet к коммутатору.

Отладка на Catalyst

Просмотрите журналы на сервере, чтобы определить причину ошибки прежде чем включать отладку Catalyst. Это облегчает отладку и уменьшает риски для коммутатора. В коммутаторах более ранних версий debug выполнялась в инженерном режиме. При использовании ПО более поздних версий необязательно переходить в инженерный режим для выполнения команд debug:

set trace tacacs|radius|kerberos 4

Примечание: Команда set trace tacacs|radius|kerberos 0 возвращает Catalyst к режиму без отслеживаний.

Дополнительные сведения о многоуровневых коммутаторах локальной сети см. на странице поддержки коммутаторов.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 13847