Безопасность и VPN : Terminal Access Controller Access Control System (TACACS+)

Формируйте Cisco маршрутизатор с TACACS + идентификация

6 сентября 2014 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (22 сентября 2010) | Английский (12 августа 2014) | Отзыв


Содержание


Введение

Этот документ описывает, как формировать маршрутизатор Cisco для идентификации с TACACS +, который бежит на UNIX. TACACS + не предлагает столько же особенностей, сколько коммерчески доступная Cisco Обеспечивает ACS для Windows, или Cisco Обеспечивают UNIX ACS.

Программное обеспечение TACACS +, ранее предоставленное Cisco Системы, было прекращено и больше не поддерживается Cisco Системы.

Сегодня, можно найти много доступных TACACS + версии бесплатного программного обеспечения при поиске "TACACS + бесплатное программное обеспечение" на любимой интернет-поисковой системе. Cisco определенно не рекомендует особого TACACS + внедрение бесплатного программного обеспечения.

Cisco Безопасный Сервер управления доступом (ACS) доступна для покупки посредством регулярных продаж Cisco и каналов распределения во всем мире. Cisco Безопасный ACS для Windows включает все необходимые компоненты, необходимые для независимой установки на автоматизированном рабочем месте Microsoft Windows. Cisco Безопасный Двигатель Решения ACS отправлен с предварительно установленной Cisco, Обеспечивает лицензию на программное обеспечение ACS. Посетите Cisco, Приказывая, чтобы Домашняя страница (только зарегистрированные клиенты) разместила заказ.

Примечание: Вы нуждаетесь в счете CCO со связанным Контрактом на Обслуживание для получения, 90-дневная пробная версия для Cisco Обеспечивают ACS для Windows.

Конфигурация маршрутизатора в этом документе была развита на маршрутизаторе, который управляет Cisco IOS® Software Release 11.3.3. Выпуск 12.0.5. T программного обеспечения Cisco IOS и более поздняя группа использования tacacs + вместо tacacs +, таким образом, заявления, такие как неплатеж логина идентификации aaa tacacs + позволяют, появляются, поскольку aaa группа логина идентификации по умолчанию tacacs + позволяют.

Обратитесь к документации программного обеспечения Cisco IOS для более полной информации о командах маршрутизатора.

Предпосылки

Требования

Нет никаких определенных требований для этого документа.

Используемые компоненты

Информация в этом документе основана на Выпуске 11.3.3 программного обеспечения Cisco IOS и Выпуске 12.0.5. T программного обеспечения Cisco IOS и позже.

Информация в этом документе была создана из устройств в определенной окружающей среде лаборатории. Все устройства, используемые в этом документе, начали с очищенного (неплатеж) конфигурацию. Если ваша сеть жива, удостоверьтесь, что вы понимаете потенциальное воздействие любой команды.

Соглашения

Направьте в Cisco Технические Соглашения Подсказок для получения дополнительной информации о соглашениях документа.

Идентификация

Закончите эти шаги:

  1. Удостоверьтесь, что вы собрали TACACS + (TAC +) кодекс по серверу UNIX.

    Конфигурации сервера здесь предполагают использование Cisco TAC + кодекс сервера. Конфигурации маршрутизатора должны работать, является ли кодекс сервера кодексом сервера Cisco. TAC + нужно управлять как корень; su для укоренения при необходимости.

  2. Скопируйте test_file в конце этого документа, поместите его в TAC + сервер и назовите его test_file.

    Проверьте, чтобы быть уверенными, что tac_plus_executable демон начинает с test_file. В этой команде-P проверки выбора на собирают ошибки, но не начинает демона:

    tac_plus_executable -P -C test_file

    Вы могли бы видеть, что содержание test_file прокрутило окно вниз, но вы не должны видеть сообщения, такие как cannot find file, cleartext expected--found cleartext или unexpected }. Если существуют ошибки, проверьте пути к test_file, перепроверьте свою печать и перетест, прежде чем вы продолжите.

  3. Начните формировать TAC + на маршрутизаторе.

    Войдите позволяют способ, и тип формируют терминал перед набором команд. Этот синтаксис команды гарантирует, что вы не заперты из маршрутизатора первоначально, обеспечивание tac_plus_executable не бежит:

    
    !--- Turn on TAC+.
    
       aaa new-model
       enable password whatever
       
    !--- These are lists of authentication methods.
       !--- "linmethod", "vtymethod", "conmethod", and 
       !--- so on are names of lists, and the methods 
       !--- listed on the same lines are the methods 
       !--- in the order to be tried. As used here, if 
       !--- authentication fails due to the 
       !--- tac_plus_executable not being started, the 
       !--- enable password is accepted because
       !--- it is in each list. 
         
       !     
       aaa authentication login linmethod tacacs+ enable
       aaa authentication login vtymethod tacacs+ enable
       aaa authentication login conmethod tacacs+ enable
       !
       
    !--- Point the router to the server, where #.#.#.# 
       !--- is the server IP address.
    
       !             
       tacacs-server host #.#.#.#
       line con 0
            password whatever              
            
    !--- No time-out to prevent being locked out 
            !--- during debugging. 
                
            exec-timeout 0 0
            login authentication conmethod
       line 1 8
            login authentication linmethod
            modem InOut
            transport input all
            rxspeed 38400
            txspeed 38400
            flowcontrol hardware
       line vty 0 4
            password whatever
            
    !--- No time-out to prevent being locked out 
            !--- during debugging. 
      
            exec-timeout 0 0
            login authentication vtymethod
  4. Тест, чтобы быть уверенными можно все еще получить доступ к маршрутизатору с TELNET и через порт пульта, прежде чем вы продолжите. Поскольку tac_plus_executable не бежит, позволить пароль должен быть принят.

    Примечание: Сохраняйте сессию порта пульта активной и останьтесь в, позволяют способ. Эта сессия не должна время. Доступ к маршрутизатору ограничен в этом пункте, и необходимо быть в состоянии внести изменения конфигурации, не запирая себя.

    Выпустите эти команды для наблюдения взаимодействия сервера к маршрутизатору в маршрутизаторе:

    terminal monitor
      debug aaa authentication
  5. Как корень, начните TAC + на сервере:

    tac_plus_executable -C test_file -d 16
  6. Проверьте, чтобы быть уверенными, что начался TAC +:

    ps -aux | grep tac_plus_executable

    или

    ps -ef | grep tac_plus_executable

    Если TAC + не начинается, это обычно - проблема с синтаксисом в test_file. Возвратитесь к шагу 1 для исправления этого.

  7. Напечатайте хвост-f/var/tmp/tac_plus.log для наблюдения взаимодействия маршрутизатора к серверу в сервере.

    Примечание: выбор -d 16 в шаге 5 посылает продукцию всех сделок к/var/tmp/tac_plus.log.

  8. TELNET (VTY) пользователи придется теперь подтвердить подлинность через TAC +.

    С отладкой, идущей на маршрутизатор и сервер (шаги 4 и 7), TELNET в маршрутизатор от другой части сети.

    Маршрутизатор производит имя пользователя и быстрый пароль, на который вы отвечаете:

    'authenuser'   (username from test_file)
    'admin'   (password from test_file)

    Пользовательский authenuser находится в группе admin, который имеет пароль admin.

    Наблюдайте сервер и маршрутизатор, где вы видите TAC + взаимодействие – что посылают где, ответы, запросы, и так далее. Исправьте любые проблемы, прежде чем вы продолжите.

  9. Если вы также хотите, чтобы ваши пользователи подтвердили подлинность через TAC +, для вхождения, позволяют способ, удостоверьтесь, что сессия порта пульта все еще активна, и добавьте эту команду к маршрутизатору:

    
    !--- For enable mode, list 'default' looks to TAC+ 
      !--- then enable password if TAC+ does not run.
    
      aaa authentication enable default tacacs+ enable

    Пользователи теперь должны позволить через TAC +.

  10. С отладкой, идущей на маршрутизатор и сервер (шаги 4 и 7), TELNET в маршрутизатор от другой части сети. Маршрутизатор производит имя пользователя и быстрый пароль, на который вы отвечаете:

    'authenuser'   (username from test_file)
    'admin'   (password from test_file)

    Когда вы входите, позволяют способ, маршрутизатор просит пароль, на который вы отвечаете:

    'cisco'  ($enable$ password from test_file)

    Наблюдайте сервер и маршрутизатор, где необходимо видеть TAC + взаимодействие – что посылают где, ответы, запросы, и так далее. Исправьте любые проблемы, прежде чем вы продолжите.

  11. Снизьте TAC + процесс на сервере, в то время как все еще связано с портом пульта, чтобы быть уверенными, что ваши пользователи могут все еще получить доступ к маршрутизатору, если снижается TAC +:

    ps -aux | grep tac_plus_executable

    или

    ps -ef | grep tac_plus_executable)
      kill -9 pid_of_tac_plus_executable

    Повторите TELNET и позвольте предыдущего шага. Маршрутизатор тогда понимает, что TAC + процесс не отвечает и позволяет пользователям загружаться и позволять с паролями по умолчанию.

  12. Проверьте на идентификацию ваших пользователей порта пульта через TAC +. Чтобы сделать это, поднимите TAC + сервер снова (шаги 5 и 6) и установите сессию TELNET к маршрутизатору (который должен подтвердить подлинность через TAC +).

    Останьтесь связанными через TELNET в маршрутизатор в, позволяют способ, пока вы не уверены, что можно загрузиться в маршрутизатор через порт пульта.

    Зарегистрируйтесь из своей оригинальной связи с маршрутизатором через порт пульта, затем повторно соединитесь с портом пульта. Идентификация порта пульта, чтобы загрузиться и позволить использовать идентификаторы пользователей и пароли (показанный в шаге 10) должна теперь быть через TAC +.

  13. В то время как вы остаетесь связанными или через сессию TELNET или через порт пульта и с отладкой, идущей на маршрутизатор и сервер (шаги 4 и 7), устанавливаете связь модема с линией 1.

    Пользователи линии теперь должны загрузиться и позволить через TAC +.

    Маршрутизатор производит имя пользователя и быстрый пароль, на который вы отвечаете:

    'authenuser'   (username from test_file)
    'admin'   (password from test_file)

    Когда вы входите, позволяют способ, маршрутизатор просит пароль.

    Ответ:

    'cisco'   ($enable$ password from test_file)

    Наблюдайте сервер и маршрутизатор, где вы видите TAC + взаимодействие – что посылают где, ответы, запросы, и т.д. Исправьте любые проблемы, прежде чем вы продолжите.

    Пользователи теперь должны позволить через TAC +.

Добавьте разрешение

Добавление разрешения является дополнительным.

По умолчанию на маршрутизаторе существует три уровня команды:

  • уровень 0 привилегии, который включает, отключает, позволяет, выходит, помогает, и выход из системы

  • уровень 1 привилегии - нормальный уровень на TELNET - быстрый говорит router>

  • уровень 15 привилегии - позволяет уровень - быстрый, говорит router#

Так как доступные команды зависят от набора признаков IOS, версии Cisco IOS, модели маршрутизатора, и так далее, нет всестороннего списка всех команд на уровнях 1 и 15. Например, покажите, что ipx маршрут не присутствует в IP только набор признаков, покажите, что IP туземная сделка не находится в Выпуске 10.2.x программного обеспечения Cisco IOS, потому что NAT не был введен в то время, и выставочная окружающая среда не присутствует в моделях маршрутизатора без электроснабжения и температурного контроля. Команды, доступные в особом маршрутизаторе на особом уровне, могут быть найдены при входе в a? в быстром в маршрутизаторе, когда на том уровне привилегии.

Разрешение порта пульта не было добавлено как особенность, пока не была осуществлена ошибка ID CSCdi82030 Cisco (только зарегистрированные клиенты). Разрешение порта пульта прочь по умолчанию для уменьшения вероятности, что вы становитесь случайно запертыми из маршрутизатора. Если у пользователя есть физический доступ к маршрутизатору через пульт, разрешение порта пульта не является чрезвычайно эффективным. Однако разрешение порта пульта может быть включено под линией con 0 по изображению, что ошибка ID CSCdi82030 Cisco (только зарегистрированные клиенты) была осуществлена в с командой:

authorization exec default|WORD
  1. Маршрутизатор может формироваться для поручения команд через TAC + вообще или некоторые уровни.

    Эта конфигурация маршрутизатора позволяет всем пользователям иметь разрешение за команду, настроенное на сервере. Здесь мы разрешаем все команды через TAC +, но если сервер снижается, никакое разрешение не необходимо.

    aaa authorization commands 1 default tacacs+ none
      aaa authorization commands 15 default tacacs+ none
  2. В то время как TAC + пробеги сервера, TELNET в маршрутизатор с userid authenuser.

    Поскольку authenuser имеет обслуживание по умолчанию = разрешение в test_file, этот пользователь должен быть в состоянии выполнить все функции.

    В то время как в маршрутизаторе, войдите, позволяют способ и включают отладку разрешения:

    terminal monitor
      debug aaa authorization
  3. TELNET в маршрутизатор с userid authoruser и оператором пароля.

    Этот пользователь не в состоянии сделать две выставочных команды traceroute и выход из системы (см. test_file).

    Наблюдайте сервер и маршрутизатор, где необходимо видеть TAC + взаимодействие (что посылают где, ответы, запросы, и так далее). Исправьте любые проблемы, прежде чем вы продолжите.

  4. Если вы хотите формировать пользователя для автокоманды, устранить прокомментированный пользовательский переходный процесс в test_file и поместить действительное место назначения IP-адреса вместо #.#.#.#.

    Остановите и начните TAC + сервер.

    На маршрутизаторе:

    aaa authorization exec default tacacs+

    TELNET к маршрутизатору с userid переходным процессом и переходным процессом пароля. TELNET #.#.#.# выполняет, и пользовательский переходный процесс посылают в другое местоположение.

Добавьте бухгалтерский учет

Добавление бухгалтерского учета является дополнительным.

Ссылка на бухгалтерский файл находится в test_file – бухгалтерский файл =/var/log/tac.log. Но бухгалтерский учет не имеет место, если не формируется в маршрутизаторе (обеспечил, маршрутизатор управляет версией программного обеспечения Cisco IOS позже, чем 11.0).

  1. Позвольте считать в маршрутизаторе:

    aaa accounting exec default start-stop tacacs+
      aaa accounting connection default start-stop tacacs+
      aaa accounting network default start-stop tacacs+
      aaa accounting system default start-stop tacacs+

    Примечание: бухгалтерский учет AAA не делает бухгалтерского учета за команду в некоторых версиях. Работа должна использовать разрешение за команду и зарегистрировать возникновение в бухгалтерском файле. (Обратитесь к ошибке ID CSCdi44140 Cisco.), При использовании изображение, по которому это фиксировало, используется [Выпуски программного обеспечения Cisco IOS 11.2 (1.3) F, 11.2 (1.2), 11.1 (6.3), 11.1 (6.3) AA01, 11.1 (6.3) CA с 24 сентября 1997], можно также позволить бухгалтерский учет команды.

  2. В то время как TAC + пробеги на сервере, войдите в эту команду в сервер для наблюдения записей, которые входят в бухгалтерский файл:

    tail -f /var/log/tac.log

    Тогда регистрация в и из маршрутизатора, TELNET из маршрутизатора, и т.д. Если необходимо, на маршрутизаторе войдите:

    terminal monitor
      debug aaa accounting

Испытательный файл

- - - - - - - (cut here) - - - - - - -

# Set up accounting file if enabling accounting on NAS
accounting file = /var/log/tac.log

# Enable password setup for everyone:
user = $enable$ {
        login = cleartext "cisco"
        }

# Group listings must be first:
group = admin {
# Users in group 'admin' have cleartext password
        login = cleartext "admin"
        expires = "Dec 31 1999"
}

group = operators {
# Users in group 'operators' have cleartext password
        login = cleartext "operator"
        expires = "Dec 31 1999"
}

group = transients {
# Users in group 'transient' have cleartext password
        login = cleartext "transient"
        expires = "Dec 31 1999"
}

# This user is a member of group 'admin' & uses that group's password to log in.
#  The $enable$ password is used to enter enable mode.  The user can perform all commands.
 user = authenuser {
        default service = permit
        member = admin
        }

# This user is limitted in allowed commands when aaa authorization is enabled:
 user = telnet {
        login = cleartext "telnet"
        cmd = telnet {
        permit .*
        }
        cmd = logout {
        permit .*
        }
        }

# user = transient {
#       member = transients
#       service = exec {
        # When transient logs on to the NAS, he's immediately
        # zipped to another site
#       autocmd = "telnet #.#.#.#"
#       }
#       }

# This user is a member of group 'operators' 
# & uses that group's password to log in 
 user = authenuser {
        member = operators
# Since this user does not have 'default service = permit' when command 
# authorization through TACACS+ is on at the router, this user's commands
# are limited to:
        cmd = show { 
        permit ver
        permit ip
        }
        cmd = traceroute {
        permit .*
        }
        cmd = logout {
        permit .*
        }
}
- - - - (end cut here) - - - -

Примечание: Если ваш сервер TACACS не достижим, это сообщение об ошибке произведено: %AAAA-3-DROPACCTSNDFAIL: accounting record dropped,send to server failed: system-start. Проверьте, что TACACS + сервер готов к эксплуатации.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Соответствующая информация


Document ID: 13865