Безопасность и VPN : Terminal Access Controller Access Control System (TACACS+)

Настройка маршрутизатора Cisco для двойной идентификации с помощью TACACS+

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ описывает, как настроить маршрутизатор Cisco для набираемой аутентификации с TACACS +, который работает на UNIX. TACACS + не предлагает столько же функций сколько коммерчески доступный Cisco Secure ACS для Windows или Cisco Secure ACS для UNIX.

TACACS+ Software больше не поддерживается компанией Cisco Systems.

В настоящее время можно найти много версий бесплатного ПО TACACS+, для этого достаточно ввести "TACACS+ freeware" в строке поиска любой поисковой системы в Интернете. Компания Cisco не дает специальных рекомендаций по использованию какой-либо конкретной версии бесплатного ПО TACACS+.

Cisco Secure Access Control Server (ACS) можно приобрести по обычным международным каналам распределения и продаж Cisco. Cisco Secure ACS для Windows содержит все обязательные компоненты, необходимые для независимой установки на рабочую станцию Microsoft Windows. Cisco Secure ACS Solution Engine поставляется с предустановленной лицензией на ПО Cisco Secure ACS. Обратитесь к Cisco Secure ACS 4.0 Информационных листка продукта для номеров продукта. Разместить заказ можно на главной странице размещения заказов Cisco Ordering Home Page (только для зарегистрированных пользователей).

Примечание: Для получения пробной 90-дневной версии Cisco Secure ACS для Windows Вам необходима учетная запись CCO с ассоциированный контрактом (только для зарегистрированных пользователей).

Конфигурация маршрутизатора в этом документе была разработана на маршрутизаторе, который выполняет Cisco Выпуск ПО IOS� 11.3.3. Cisco IOS Software Release 12.0.5. T и более поздний групповой TACACS использования + вместо tacacs +. Операторы, такие как tacacs aaa authentication login default + включают, появляются, поскольку групповые TACACS aaa authentication login default + включают.

Можно загрузить TACACS + бесплатное программное обеспечение и Руководство пользователя анонимным ftp к ftp-eng.cisco.com в/pub/tacacs каталоге.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Конфигурации

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Используйте Средство поиска команд Command Lookup Tool (только зарегистрированные клиенты) для обнаружения дополнительных сведений о командах используемыми в этом документе.

Эти конфигурации используются в данном документе:

Конфигурация маршрутизатора
!
aaa new-model
aaa authentication login default tacacs+ enable
aaa authentication ppp default if-needed tacacs+
aaa authorization exec default tacacs+ if-authenticated
aaa authorization commands 1 default tacacs+ if-authenticated 
aaa authorization commands 15 default tacacs+ if-authenticated 
aaa authorization network default tacacs+ 
enable password ww
!
chat-script default "" at&fls0=1&h1&r2&c1&d2&b1e0q2 OK
!
interface Ethernet0
 ip address 10.6.1.200 255.255.255.0
! 

!--- Challenge Handshake Authentication Protocol 
!--- (CHAP/PPP) authentication user.

  interface Async1
  ip unnumbered Ethernet0
  encapsulation ppp
  async mode dedicated
  peer default ip address pool async
  no cdp enable
  ppp authentication chap
 !
 
!--- Password Authentication Protocol (PAP/PPP) authentication user.

  interface Async2
  ip unnumbered Ethernet0
  encapsulation ppp
  async mode dedicated
  peer default ip address pool async
  no cdp enable
  ppp authentication pap
 !
 
!--- Authentication user with autocommand PPP.

  interface Async3
  ip unnumbered Ethernet0
  encapsulation ppp
  async mode interactive
  peer default ip address pool async
  no cdp enable
 !
 ip local pool async 10.6.100.101 10.6.100.103
 tacacs-server host 171.68.118.101
 tacacs-server timeout 10
 tacacs-server key cisco
 !
 line 1
  session-timeout 20
  exec-timeout 120 0
  autoselect during-login
  script startup default
  script reset default
  modem Dialin
  transport input all
  stopbits 1
  rxspeed 115200
  txspeed 115200
  flowcontrol hardware
 !
 line 2
  session-timeout 20
  exec-timeout 120 0
  autoselect during-login
  script startup default
  script reset default
  modem Dialin
  transport input all
  stopbits 1
  rxspeed 115200
  txspeed 115200
  flowcontrol hardware
 !
 line 3
  session-timeout 20
  exec-timeout 120 0
  autoselect during-login
  autoselect ppp
  script startup default
  script reset default
  modem Dialin
  autocommand ppp
  transport input all
  stopbits 1
  rxspeed 115200
  txspeed 115200
  flowcontrol hardware
 !
 end

Файл конфигурации TACACS+ на бесплатном сервере

!--- Handshake with router
!--- AS needs 'tacacs-server key cisco'.

key = "cisco"


!--- User who can Telnet in to configure.

user = admin {
        default service = permit
        login = cleartext "admin"
        }

 
!--- CHAP/PPP authentication line 1 -
!--- password must be cleartext per CHAP specifications.

  user = chapuser {
         chap = cleartext "chapuser"
         service = ppp protocol = ip {
                 default attribute = permit
                 }
         }
 
 
!--- PPP/PAP authentication line 2.

  user = papuser {
         login = file /etc/passwd
         service = ppp protocol = ip {
                 default attribute = permit
                 }
         }

 
!--- Authentication user line 3.

  user = authauto {
         login = file /etc/passwd
         service = ppp protocol = ip {
                 default attribute = permit
                 }
         }

Настройка Microsoft Windows

Настройка Microsoft Windows для пользователей 1 и 2

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Пошаговые инструкции

Выполните следующие действия.

Примечание: Конфигурация ПК может варьироваться немного основанная на версии операционной системы, которую вы используете.

  1. Выберите Start> Programs> Accessories> Dial-Up Networking для открытия окна Dial-Up Networking.

  2. Выберите Make New Connection из Меню Подключения и введите имя для соединения.

  3. Введите информацию по конкретному модему и нажмите Configure.

  4. На Свойствах General страница выбирает самую высокую скорость модема, но не проверяет Единственное подключение на этой скорости... коробка.

  5. На странице Configure/Connection Properties используйте 8 битов данных, никакой паритет и 1 стоповый бит. Параметрами вызова для использования является Ожидание тонального сигнала готовности к набору номера прежде, чем набрать и Отмена вызов если не связанный после 200 секунд.

  6. На странице Connection нажмите Advanced. В Усовершенствованных Настройках соединения выберите только стандарт Типа модуляции и Аппаратное управление потоками.

    На странице свойств Configure/Options ничто не должно быть проверено кроме коробки под Контролем состояния.

  7. Нажмите ОК, затем нажмите Next.

  8. Введите номер телефона назначения, нажмите Next снова, и затем нажмите Finish.

  9. Как только значок нового соединения появляется, щелкните правой кнопкой мыши по нему и выберите Properties> Server Type.

  10. Выберите PPP:WINDOWS 95, WINDOWS NT 3.5, Internet и не отмечайте никаких дополнительных свойств.

  11. Проверьте TCP/IP под Позволенными Сетевыми протоколами.

  12. При Параметрах настройки TCP/IP..., выберите назначенный IP - адрес Server, Назначенные сервером адреса сервера имен и шлюз по умолчанию Использования в удаленной сети и затем нажмите OK.

  13. Когда пользователь дважды нажимает значок, чтобы заставить окно Connect To отобразиться для вызова номера, пользователь должен заполнить поля User Name and Password, и затем нажать Connect.

Настройка Microsoft Windows для пользователя 3

Конфигурация для пользователя 3 (проверка подлинности пользователя с PPP autocommand) совпадает с для Пользователей 1 и 2 с этими исключениями:

  • На странице свойств Configure/Options (шаг 6) проверка Переводит окно терминала в рабочее состояние после вызова номера.

  • Когда пользователь дважды нажимает значок для открытия окна Connect To для вызова номера (Шаг 13), пользователь не заполняет поля User name and Password. Пользователь нажимает Connect. После того, как соединение с маршрутизатором сделано, пользовательские типы в имени пользователя и пароле в черном окне, которое появляется. После аутентификации пользователь нажимает Continue (F7).

Проверка.

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

Маршрутизатор

Обратитесь к документу Важная информация о командах отладки, прежде чем использовать команды debug.

  • terminal monitor — отображаются результаты выполнения команды debug и системные сообщения об ошибках для текущего терминала и сеанса.

  • debug ppp negotiation - Показывает пакеты PPP, посланные во время запуска PPP, где обсуждаются опции PPP.

  • пакет debug ppp — Отображает пакеты PPP, которые переданы и получены. Эта команда показывает дампы пакетов нижнего уровня.)

  • debug ppp chap о том, передает ли клиент аутентификацию (для Cisco IOS Software Release ранее, чем 11.2).

  • debug aaa authentication — Отображает информацию на/TACACS аутентификации, авторизации и учета (AAA) + аутентификация.

  • debug aaa authorization — отображаются данные авторизации AAA/TACACS+.

Сервер

Примечание: Это принимает TACACS Cisco + Бесплатный серверный код.

tac_plus_executable -C config.file -d 16
  tail -f /var/tmp/tac_plus.log

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 13866