Безопасность и VPN : Terminal Access Controller Access Control System (TACACS+)

Настройка маршрутизатора Cisco для двойной идентификации с помощью TACACS+

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ описывает, как настроить маршрутизатор Cisco для набираемой аутентификации с TACACS +, который работает на UNIX. TACACS + не предлагает столько же функций сколько коммерчески доступный Cisco Secure ACS для Windows или Cisco Secure ACS для UNIX.

TACACS+ Software больше не поддерживается компанией Cisco Systems.

В настоящее время можно найти много версий бесплатного ПО TACACS+, для этого достаточно ввести "TACACS+ freeware" в строке поиска любой поисковой системы в Интернете. Компания Cisco не дает специальных рекомендаций по использованию какой-либо конкретной версии бесплатного ПО TACACS+.

Cisco Secure Access Control Server (ACS) можно приобрести по обычным международным каналам распределения и продаж Cisco. Cisco Secure ACS для Windows содержит все обязательные компоненты, необходимые для независимой установки на рабочую станцию Microsoft Windows. Cisco Secure ACS Solution Engine поставляется с предустановленной лицензией на ПО Cisco Secure ACS. См. Cisco Secure ACS 4.0 Информационных листка продукта для номеров продукта. Разместить заказ можно на главной странице размещения заказов Cisco Ordering Home Page (только для зарегистрированных пользователей).

Примечание: Для получения пробной 90-дневной версии Cisco Secure ACS для Windows Вам необходима учетная запись CCO с ассоциированный контрактом (только для зарегистрированных пользователей).

Конфигурация маршрутизатора в этом документе была разработана на маршрутизаторе, который выполняет Cisco Выпуск ПО IOS� 11.3.3. Cisco IOS Software Release 12.0.5. T и более поздний групповой TACACS использования + вместо tacacs +. Операторы, такие как tacacs aaa authentication login default + включают, появляются, поскольку групповые TACACS aaa authentication login default + включают.

Можно загрузить TACACS + бесплатное программное обеспечение и Руководство пользователя анонимным ftp к ftp-eng.cisco.com в/pub/tacacs каталоге.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Конфигурации

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Используйте Средство поиска команд Command Lookup Tool (только зарегистрированные клиенты) для обнаружения дополнительных сведений о командах используемыми в этом документе.

Эти конфигурации используются в данном документе:

Настройка маршрутизатора
!
aaa new-model
aaa authentication login default tacacs+ enable
aaa authentication ppp default if-needed tacacs+
aaa authorization exec default tacacs+ if-authenticated
aaa authorization commands 1 default tacacs+ if-authenticated 
aaa authorization commands 15 default tacacs+ if-authenticated 
aaa authorization network default tacacs+ 
enable password ww
!
chat-script default "" at&fls0=1&h1&r2&c1&d2&b1e0q2 OK
!
interface Ethernet0
 ip address 10.6.1.200 255.255.255.0
! 

!--- Challenge Handshake Authentication Protocol 
!--- (CHAP/PPP) authentication user.

  interface Async1
  ip unnumbered Ethernet0
  encapsulation ppp
  async mode dedicated
  peer default ip address pool async
  no cdp enable
  ppp authentication chap
 !
 
!--- Password Authentication Protocol (PAP/PPP) authentication user.

  interface Async2
  ip unnumbered Ethernet0
  encapsulation ppp
  async mode dedicated
  peer default ip address pool async
  no cdp enable
  ppp authentication pap
 !
 
!--- Authentication user with autocommand PPP.

  interface Async3
  ip unnumbered Ethernet0
  encapsulation ppp
  async mode interactive
  peer default ip address pool async
  no cdp enable
 !
 ip local pool async 10.6.100.101 10.6.100.103
 tacacs-server host 171.68.118.101
 tacacs-server timeout 10
 tacacs-server key cisco
 !
 line 1
  session-timeout 20
  exec-timeout 120 0
  autoselect during-login
  script startup default
  script reset default
  modem Dialin
  transport input all
  stopbits 1
  rxspeed 115200
  txspeed 115200
  flowcontrol hardware
 !
 line 2
  session-timeout 20
  exec-timeout 120 0
  autoselect during-login
  script startup default
  script reset default
  modem Dialin
  transport input all
  stopbits 1
  rxspeed 115200
  txspeed 115200
  flowcontrol hardware
 !
 line 3
  session-timeout 20
  exec-timeout 120 0
  autoselect during-login
  autoselect ppp
  script startup default
  script reset default
  modem Dialin
  autocommand ppp
  transport input all
  stopbits 1
  rxspeed 115200
  txspeed 115200
  flowcontrol hardware
 !
 end

Файл конфигурации TACACS+ на бесплатном сервере

!--- Handshake with router
!--- AS needs 'tacacs-server key cisco'.

key = "cisco"


!--- User who can Telnet in to configure.

user = admin {
        default service = permit
        login = cleartext "admin"
        }

 
!--- CHAP/PPP authentication line 1 -
!--- password must be cleartext per CHAP specifications.

  user = chapuser {
         chap = cleartext "chapuser"
         service = ppp protocol = ip {
                 default attribute = permit
                 }
         }
 
 
!--- PPP/PAP authentication line 2.

  user = papuser {
         login = file /etc/passwd
         service = ppp protocol = ip {
                 default attribute = permit
                 }
         }

 
!--- Authentication user line 3.

  user = authauto {
         login = file /etc/passwd
         service = ppp protocol = ip {
                 default attribute = permit
                 }
         }

Настройка Microsoft Windows

Настройка Microsoft Windows для пользователей 1 и 2

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Пошаговые инструкции

Выполните следующие действия.

Примечание: Конфигурация ПК может варьироваться немного основанная на версии операционной системы, которую вы используете.

  1. Выберите Start> Programs> Accessories> Dial-Up Networking для открытия окна Dial-Up Networking.

  2. Выберите Make New Connection из Меню Подключения и введите имя для своего соединения.

  3. Введите свою информацию по конкретному модему и нажмите Configure.

  4. На Свойствах General страница выбирает самую высокую скорость вашего модема, но не проверяет Единственное подключение на этой скорости... коробка.

  5. На странице Configure/Connection Properties используйте 8 битов данных, никакой паритет и 1 стоповый бит. Параметрами вызова для использования является Ожидание тонального сигнала готовности к набору номера прежде, чем набрать и Отмена вызов если не связанный после 200 секунд.

  6. На странице Connection нажмите Advanced. В Усовершенствованных Настройках соединения выберите только Стандарт Типа модуляции и Аппаратное управление потоками.

    На странице свойств Configure/Options ничто не должно быть проверено кроме коробки под Контролем состояния.

  7. Нажмите ОК, затем нажмите Next.

  8. Введите номер телефона назначения, нажмите Next снова, и затем нажмите Finish.

  9. Как только значок нового соединения появляется, щелкните правой кнопкой мыши его и выберите Properties> Server Type.

  10. Выберите PPP:WINDOWS 95, WINDOWS NT 3.5, Internet и не отмечайте никаких дополнительных свойств.

  11. Проверьте TCP/IP под Позволенными Сетевыми протоколами.

  12. При Параметрах настройки TCP/IP..., выберите назначенный IP - адрес Server, Назначенные сервером адреса сервера имен и шлюз по умолчанию Использования в удаленной сети и затем нажмите OK.

  13. Когда пользователь дважды нажимает значок, чтобы заставить окно Connect To отобразиться для набора номера, пользователь должен заполнить поля User Name and Password, и затем нажать Connect.

Настройка Microsoft Windows для пользователя 3

Конфигурация для пользователя 3 (проверка подлинности пользователя с PPP autocommand) совпадает с для Пользователей 1 и 2 за этими исключениями:

  • На странице свойств Configure/Options (шаг 6) проверка Переводит окно терминала в рабочее состояние после набора номера.

  • Когда пользователь дважды нажимает значок для открытия окна Connect To для набора номера (Шаг 13), пользователь не заполняет поля User name and Password. Пользователь нажимает Connect. После того, как соединение с маршрутизатором сделано, пользовательские типы в имени пользователя и пароле в черном окне, которое появляется. После аутентификации пользователь нажимает Continue (F7).

Проверка

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

Маршрутизатор

Обратитесь к документу Важная информация о командах отладки, прежде чем использовать команды debug.

  • terminal monitor — отображаются результаты выполнения команды debug и системные сообщения об ошибках для текущего терминала и сеанса.

  • debug ppp negotiation - Показывает пакеты PPP, посланные во время запуска PPP, где обсуждаются опции PPP.

  • пакет debug ppp — Отображает пакеты PPP, которые переданы и получены. (Данная команда отображает низкоуровневые пакетные дампы.).)

  • debug ppp chap о том, передает ли клиент аутентификацию (для Cisco IOS Software Release ранее, чем 11.2).

  • debug aaa authentication — Отображает информацию на/TACACS аутентификации, авторизации и учета (AAA) + аутентификация.

  • debug aaa authorization — отображаются данные авторизации AAA/TACACS+.

Сервер

Примечание: Это принимает TACACS Cisco + Бесплатный серверный код.

tac_plus_executable -C config.file -d 16
  tail -f /var/tmp/tac_plus.log

Дополнительные сведения


Document ID: 13866