Безопасность : Сервер управления безопасного доступа Cisco для Unix

Установка и отладка CiscoSecure 2.x TACACS+

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ предназначен для помощи новому Cisco Secure 2.x пользователь в настройке и отладке TACACS Cisco Secure + конфигурация. Это не полное описание возможностей Cisco Secure.

См. вашу документацию Cisco Secure для большего количества полной информации на программном обеспечении сервера и настройке пользователя. См. Документацию ПО Cisco IOS для соответствующего выпуска для получения дополнительной информации о командах маршрутизатора.

Предварительные условия

Требования

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Cisco Secure ACS 2.x и позже

  • Cisco Выпуск ПО IOS� 11.3.3 и позже

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Установка системы безопасности Cisco Secure

Выполните следующие действия:

  1. Удостоверьтесь, что вы используете инструкции, которые шли с программным обеспечением для установки кода Cisco Secure на сервере UNIX.

  2. Чтобы подтвердить, что продукт останавливается и запускается, введите cd to /etc/rc0.d и как root, выполните ./K80Cisco Secure (для остановки демонов).

    Введите cd to /etc/rc2.d и как root, выполните ./S80Cisco Secure (для начала демонов).

    На запуске необходимо видеть сообщения, такие как:

    Cisco Secure starting Processes: Fast Track Admin, FastTrack Server (Delayed Start), DBServer, AAA Server

    Выполните $BASE/utils/psg, чтобы быть уверенными по крайней мере одно из каждого из выполнений отдельных процессов, например, SQLAnywhere или другого ядра базы данных, процесса сервера базы данных Cisco Secure, Сервера Netscape Web Server, Admin Netscape Web Server, Веб-сервера Acme, процесса AAA Cisco Secure или Автоматического процесса перезапуска.

  3. Чтобы гарантировать, что вы находитесь в правильных каталогах, устанавливаете переменные окружения и пути в вашей среде оболочки. c-shell используется здесь.

    $BASE является каталогом, где Cisco Secure установлен, выбран во время установки. Это содержит такие каталоги как ДОКУМЕНТЫ, DBServer, CSU, и т.д.

    В данном примере принята установка в/opt/CSCOacs, но это может разойтись в вашей системе:

    setenv $BASE   /opt/CSCOacs

    $SQLANY является каталогом, где база данных Cisco Secure по умолчанию установлена, выбрана во время установки. Если база данных по умолчанию, которая идет с продуктом, SQLAnywhere, использовалась, это содержит такие каталоги как база данных, doc, и т.д.

    В данном примере принята установка в/opt/CSCOacs/SYBSsa50, но это может разойтись в вашей системе.

    setenv $SQLANY /opt/CSCOacs/SYBSsa50

    Добавьте пути в своей среде оболочки к:

    $BASE/utils
    $BASE/bin
    $BASE/CSU
    $BASE/ns-home/admserv
    $BASE/Ns-home/bin/httpd
    $SQLANY/bin
  4. CD к $BASE/config

    CSU.cfg является файлом контроля Cisco Secure Server. Сделайте резервную копию этого файла.

    В этом файле LIST config_license_key показывает лицензионный ключ, который вы получили через процесс лицензирования при покупке программного обеспечения; если это - предварительная лицензия с 4 портами, можно не учесть эту линию.

    NAS config_nas_config раздел может содержать сервер доступа к сети по умолчанию (NAS) или маршрутизатор или NAS, который вы вводите во время установки. Для отладки целей в данном примере можно позволить любому NAS связываться с Cisco Secure Server без ключа. Например, удалите название NAS и ключа от линий, которые содержат /* NAS name can go here */" и/*NAS/Cisco Безопасный секретный ключ */. Единственная строфа в той области чтения:

    NAS config_nas_config = {
      {
        "",         /* NAS name can go here */
        "",             /* NAS/Cisco Secure secret key */
        "",                        /* message_catalogue_filename */
        1,                         /* username retries */
        2,                         /* password retries */
        1                          /* trusted NAS for SENDPASS */
      }
    };
    
    AUTHEN config_external_authen_symbols = {

    Когда вы делаете это, вы говорите Cisco Secure, что позволено говорить со всеми NAS без обмена ключами.

  5. Если вы хотите иметь информацию об отладке, переходят к/var/log/csuslog, у вас должна быть линия в главном разделе CSU.cfg, который говорит серверу сколько отладки делать. 0X7FFFFFFF добавляет всю возможную отладку. Добавьте или модифицируйте эту линию соответственно:

    NUMBER config_logging_configuration = 0x7FFFFFFF;

    Эта дополнительная линия передает информацию об отладке к local0:

    NUMBER config_system_logging_level = 0x80;

    Кроме того, добавьте эту запись для изменения/etc/syslog.conf файла:

    local0.debug /var/log/csuslog

    Затем переработайте syslogd для перечитывания:

    kill -HUP `cat /etc/syslog.pid`

    Переработайте Cisco Secure Server:

    /etc/rc0.d/K80Cisco Secure
    /etc/rc2.d/S80Cisco Secure

    Это должно все еще запуститься.

  6. Можно хотеть использовать браузер для добавления пользователей, групп, и так далее, или служебной программы CSimport. Типовые пользователи в однородном файле в конце этого документа могут легко быть перемещены в базу данных с помощью CSimport. Эти пользователи будут работать для целей тестирования, и можно удалить их, как только вы приводите своих собственных пользователей. После того, как импортированный вы видите импортированных пользователей через GUI.

    Если вы решаете использовать CSimport:

    CD $BASE/utils

    Поместите пользователя и профили группы в конце этого документа в файле такой как где угодно в системе, затем из каталога $BASE/utils, с демонами, работающими, например,/etc/rc2.d/S80Cisco Безопасный, и как пользователь root, выполните CSimport с тестом (-t) опция:

    ./CSimport -t -p <path_to_file> -s <name_of_file>

    Это тестирует синтаксис на пользователей; необходимо получить сообщения, такие как:

    Secure config home directory is: /opt/CSCOacs/config/CSConfig.ini
    hostname = berry and port = 9900 and clientid = 100
    /home/ddunlap/csecure/upgrade.log exists, do you want to write over 'yes' or 'no' ?
    yes
    Sorting profiles...
    Done sorting 21 profiles!
    Running the database import test...

    Вы не должны получать сообщения, такие как:

    Error at line 2: password = "adminusr"
    Couldn't repair and continue parse

    Были ли ошибки, исследуют upgrade.log для проверки проверенных профилей. Как только ошибки исправлены, из каталога $BASE/utils, с демонами, работающими (/etc/rc2.d/S80Cisco Безопасный), и как пользователь root, выполняют CSimport с передачей (-c) опция для перемещения пользователей в базу данных:

    ./CSimport -c -p <path_to_file> -s <name_of_file>

    Снова, не должно быть ошибок на экране или в upgrade.log.

  7. Поддерживаемые обозреватели перечислены в практическом совете Совместимости Cisco Secure. От вашего браузера ПК укажите к Cisco Secure / Поле Solaris http://#.#.#.#/cs, где #.#.#.# является IP Cisco Secure / Сервер Solaris.

    На экране, который появляется для пользователя, вводят суперпользователя и для пароля, вводят changeme. Не изменяйте пароль на этом этапе. Необходимо видеть, что пользователи/группы добавили, используете ли вы CSimport в предыдущем шаге, или можно нажать, обзор блокируют и вручную добавляют пользователей и группы через GUI.

Настройка аутентификации

Примечание: Эта конфигурация маршрутизатора была разработана на маршрутизаторе, который выполняет Cisco IOS Software Release 11.3.3. Cisco IOS Software Release 12.0. 5. T и позже показывает групповой TACACS вместо tacacs.

На этом этапе настройте маршрутизатор.

  1. Уничтожьте Cisco Secure при настройке маршрутизатора.

    /etc/rc0.d/K80Cisco Secure to stop the daemons.
  2. На маршрутизаторе начните настраивать TACACS +. Войдите в привилегированный режим и введите conf t перед набором команд. Этот синтаксис гарантирует, что вы не блокированы из маршрутизатора, первоначально предоставляющего Cisco Secure, не работает. Введите ps -ef | grep Secure для проверки, чтобы удостовериться, что Cisco Secure не работает, и kill-9 процесс, если это:

    
    !--- Turn on TACACS+
    
    aaa new-model
    enable password whatever
    
    !--- These are lists of authentication methods,
    !--- that is, vtymethod and conmethod are
    !--- names of lists, and the methods listed on the 
    !--- same lines are the methods in the order to be 
    !--- tried. As used here, if authentication
    !--- fails due to Cisco Secure not being started, 
    !--- the enable password is accepted 
    !--- because it is in each list.
    
    aaa authentication login vtymethod tacacs+ enable
    aaa authentication login conmethod tacacs+ enable
    
    !--- Point the router to the server, that is, 
    !--- #.#.#.# is the server IP address.
    
    tacacs-server host #.#.#.#
    line con 0
        password whatever
        
    !--- No time-out to prevent being locked out 
        !--- during debugging.
    
        exec-timeout 0 0
        login authentication conmethod
    line vty 0 4
        password whatever
        
    !--- No time-out to prevent being locked out 
        !--- during debugging.
    
        exec-timeout 0 0
        login authentication vtymethod
  3. Прежде чем продолжать убедитесь в наличии доступа к маршрутизатору через порт консоли и по протоколу Telnet. Поскольку Cisco Secure не работает, enable password должен быть принят.

    caution Внимание: Поддержите сеанс порта консоли активным и останьтесь в режиме включения; этот сеанс связи не должен прерываться по тайм-ауту. Вы начинаете ограничивать доступ к маршрутизатору на этом этапе, и необходимо быть в состоянии изменить конфигурацию, не запирая себя.

    Выполните эти команды для наблюдения взаимодействия сервера - маршрутизатора в маршрутизаторе:

    terminal monitor
    debug aaa authentication
  4. Как root, запустите Cisco Secure на сервере:

    /etc/rc2.d/S80Cisco Secure

    Это запускает процессы, но вы хотите включить больше отладки, чем настроено в Безопасном S80Cisco, таким образом:

    ps -ef | grep Cisco Secure
    kill -9 <pid_of CS_process>
    
    CD $BASE/CSU
    ./Cisco Secure -cx -f $BASE/config/CSU.cfg to start the Cisco Secure process with debugging

    С опцией -x выполнениями Cisco Secure на переднем плане, таким образом, может наблюдаться маршрутизатор к взаимодействию сервера. Вы не должны видеть сообщения об ошибках. Процесс Cisco Secure должен запуститься и "зависнуть" там из-за-x опции.

  5. Из другого окна проверьте, чтобы быть уверенными, что запустился Cisco Secure. Введите ps -ef и ищите Процесс Cisco Secure.

  6. Telnet (VTY) пользователи придется теперь аутентифицироваться через Cisco Secure. С отладкой на маршрутизаторе, Telnet в маршрутизатор от другой части сети. Маршрутизатор должен произвести приглашение имени пользователя и пароля. Должна существовать возможность обратиться к маршрутизатору с этим user-id/комбинациями пароля:

    adminusr/adminusr
    operator/oper
    desusr/encrypt

    Наблюдайте сервер и маршрутизатор, где необходимо видеть взаимодействие, т.е. что передается где, ответы и запросы, и т.д. Прежде чем продолжать устраните все неполадки.

  7. Если вы также хотите для своих пользователей аутентифицироваться через Cisco Secure для вхождения в режим включения, удостоверьтесь, что сеанс порта консоли все еще активен, и добавьте эту команду к маршрутизатору:

    
    !--- For enable mode, list 'default' looks to Cisco Secure
    !--- then enable password if Cisco Secure is not running.
    
    aaa authentication enable default tacacs+ enable
  8. Вам придется теперь включить через Cisco Secure. С отладкой на маршрутизаторе, Telnet в маршрутизатор от другой части сети. Когда маршрутизатор просит имя пользователя/пароль отвечать operator/oper.

    Когда пользовательский оператор пытается войти в привилегированный режим (уровень привилегий 15), пароль "Cisco" требуется. Другие пользователи не будут в состоянии войти в привилегированный режим без оператора privilege level (или демон Cisco Secure вниз).

    Наблюдайте сервер и маршрутизатор, где необходимо видеть взаимодействие Cisco Secure, например, что передается где, ответы и запросы, и так далее. Исправьте любые проблемы перед продолжением.

  9. Переведите Процесс Cisco Secure в нерабочее состояние на сервере, в то время как все еще связано с консольным портом, чтобы быть уверенными, что ваши пользователи могут все еще обратиться к маршрутизатору, если Cisco Secure не работает:

    'ps -ef' and look for Cisco Secure process 
    kill -9 pid_of_Cisco Secure

    Повторите действия предыдущего шага для установления сеанса Telnet и режима enable. Маршрутизатор должен понять, что Процесс Cisco Secure не отвечает и позволяет пользователям входить и включать с enable password по умолчанию.

  10. Переведите Cisco Secure Server в рабочее состояние снова и установите сеанс Telnet к маршрутизатору, который должен аутентифицироваться через Cisco Secure с идентификатором пользователя/паролем operator/oper для проверки для аутентификации пользователей консольного порта через Cisco Secure. Останьтесь с установленным сеансом Telnet в маршрутизатор и в режиме включения, пока вы не уверены, что можно войти к маршрутизатору через консольный порт, например, выйти исходного соединения к маршрутизатору через консольный порт, затем воссоединиться с консольным портом. Проверка подлинности порта консоли для входа в систему с использованием предыдущий идентификатор пользователя / комбинации пароля должна теперь быть через Cisco Secure. Например, идентификатор пользователя/пароль operator/oper тогда пароль cisco должен использоваться для включения.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Добавление авторизации

Добавление авторизации необязательно.

По умолчанию на маршрутизаторе имеются три уровня команд:

  • Уровень привилегий 0 содержит: disable, enable, exit, help и logout

  • Уровень привилегий 1 — обычный уровень на Telnet и приглашении говорит router>

  • Уровень привилегий 15 — включает уровень и вызывает, говорит router#

Так как доступные команды зависят от набора функций Cisco IOS, Cisco IOS Software Release, модели маршрутизатора, и т.д, нет никакого полного списка всех команд на уровнях 1 и 15. Например, show ipx route не присутствовать в IP только набор функций, сделка nat show ip не находится в Cisco IOS Software Release 10.2. X кодов, потому что NAT не был представлен в то время, и show environment, не присутствуют в моделях маршрутизатора без источника питания и контроля температуры.

Команды, доступные в конкретном маршрутизаторе на определенном уровне, могут быть найдены ввести a? в приглашении в маршрутизаторе, когда в том уровне привилегий.

Авторизация порта консоли не была добавлена как функция, пока не был внедрен CSCdi82030. Авторизация порта консоли прочь по умолчанию для уменьшения вероятности того, чтобы случайно быть блокированным из маршрутизатора. Если пользователь имеет физический доступ к маршрутизатору через консоль, то авторизация для порта консоли не очень эффективна. Но, авторизация порта консоли может быть включена при команде line con 0 в Образе Cisco IOS, в котором CSCdi82030 был внедрен с команда authorization exec default|WORD.

Выполните следующие действия:

  1. Маршрутизатор может быть настроен для авторизации команд через Cisco Secure вообще или некоторые уровни. Эта конфигурация маршрутизатора позволяет всем пользователям иметь настроенную на сервере аутентификацию каждой команды. Можно авторизовать все команды через Cisco Secure, но если сервер не работает, никакая авторизация не необходима, следовательно none.

    С Cisco Secure Server вниз, введите эти команды:

    Введите эту команду для удаления требования, которые включают аутентификации быть сделанными через Cisco Secure:

    no aaa authentication enable default tacacs+ none

    Введите эти команды, чтобы потребовать, чтобы авторизация команд была сделана через Cisco Secure:

    aaa authorization commands 0 default tacacs+ none
    aaa authorization commands 1 default tacacs+ none
    aaa authorization commands 15 default tacacs+ none
  2. В то время как Cisco Secure Server выполняется, Telnet в маршрутизатор с идентификатором пользователя/паролем loneusr/lonepwd. Этот пользователь должен быть не быть в состоянии сделать любые команды кроме:

    show version
    ping <anything>
    logout

    Предыдущие пользователи, adminusr/adminusr, operator/oper, desusr/encrypt, должны все еще быть в состоянии сделать все команды на основании своего default service = permit. Если существуют проблемы с процессом, входят в привилегированный режим на маршрутизаторе и включают отладку авторизации с этой командой:

    terminal monitor
    debug aaa authorization

    Наблюдайте сервер и маршрутизатор, где необходимо видеть взаимодействие Cisco Secure, например, что передается где, ответы и запросы, и т.д. Прежде чем продолжать устраните все неполадки.

  3. Маршрутизатор может быть настроен для авторизации сеансов exec через Cisco Secure. Стандартный TACACS exec aaa authorization + ни один команда устанавливает TACACS + авторизация для сеансов exec.

    При применении этого это влияет на пользовательское время/время, telnet/telnet, todam/todam, todpm/todpm и somerouters/somerouters. После добавления этой команды к маршрутизатору и Telnet к маршрутизатору как пользовательское время/время сеанс exec остается открытым в течение одной минуты (таймаут набора = 1). User telnet / telnet вводит маршрутизатор, но сразу передан другому адресу (автоcmd набора = "telnet 171.68.118.102"). Возможно, что пользователи todam/todam и todpm/todpm или не в состоянии обратиться к маршрутизатору, который зависит от того, во сколько изо дня это во время тестирования. Пользователь somerouters только в состоянии к Telnet в маршрутизатор koala.rtp.cisco.com от сети 10.31.1. x . Cisco Secure пытается решить название маршрутизатора. При использовании IP-адреса 10.31.1.5 это допустимо, если разрешение не имеет место, и если вы используете коалу названия, это допустимо, если разрешение через.

Добавление автоматического учета

Добавление учета необязательно.

  1. Если маршрутизатор выполняет Cisco IOS Software Release позже, чем программное обеспечение Cisco IOS версии 11.0, учет не имеет место, пока не настроено в маршрутизаторе. Можно позволить считать на маршрутизаторе:

    aaa accounting exec default start-stop tacacs+
    aaa accounting connection default start-stop tacacs+
    aaa accounting network default start-stop tacacs+
    aaa accounting system default start-stop tacacs+

    Примечание: Учет команды был сломан в идентификаторе ошибки Cisco CSCdi44140, но если вы используете образ, в котором это исправлено, учет команды может также быть включен.

  2. Добавьте отладку учетной записи на маршрутизаторе:

    terminal monitor
    debug aaa accounting
  3. Отладка на консоли должна записи show accounting, вводящие сервер, поскольку пользователи входят.

  4. Для получения учетных записей как root:

    CD $BASE/utils/bin
    ./AcctExport <filename> no_truncate

    no_truncate означает, что данные сохранены в базе данных.

Добавление пользователей вызова по номеру

Выполните следующие действия:

  1. Удостоверьтесь, что другие функции Cisco Secure работают перед добавлением пользователей с удаленным доступом. Если Cisco Secure Server и модем не работали перед этой точкой они не работают после этой точки.

  2. Добавьте эту команду к конфигурации маршрутизатора:

    aaa authentication ppp default if-needed tacacs+
    aaa authentication login default tacacs+ enable
    aaa authorization network default tacacs+
    chat-script default "" at&fls0=1&h1&r2&c1&d2&b1e0q2 OK

    Конфигурации интерфейса отличаются, который зависит от того, как аутентификация сделана, но линии наборного (телефонного) доступа используются в данном примере с этими конфигурациями:

    interface Ethernet 0
    ip address 10.6.1.200 255.255.255.0
    
    !
    !--- CHAP/PPP authentication user:
    
    interface Async1
    ip unnumbered Ethernet0
    encapsulation ppp
    async mode dedicated
    peer default ip address pool async
    no cdp enable
    ppp authentication chap
    
    !
    !--- PAP/PPP authentication user:
    
    interface Async2
    ip unnumbered Ethernet0
    encapsulation ppp
    async mode dedicated
    peer default ip address pool async
    no cdp enable
    ppp authentication pap
    
    !
    !--- login authentication user with autocommand PPP:
    
    interface Async3
    ip unnumbered Ethernet0
    encapsulation ppp
    async mode interactive
    peer default ip address pool async
    no cdp enable
    
    ip local pool async 10.6.100.101 10.6.100.103
    
    line 1
    session-timeout 20
    exec-timeout 120 0
    autoselect during-login
    script startup default
    script reset default
    modem Dialin
    transport input all
    stopbits 1
    rxspeed 115200
    txspeed 115200
    flowcontrol hardware
    
    !
    
    line 2
    session-timeout 20
    exec-timeout 120 0
    autoselect during-login
    script startup default
    script reset default
    modem Dialin
    transport input all
    stopbits 1
    rxspeed 115200
    txspeed 115200
    flowcontrol hardware
    
    !
    
    line 3
    session-timeout 20
    exec-timeout 120 0
    autoselect during-login
    autoselect ppp
    script startup default
    script reset default
    modem Dialin
    autocommand ppp
    transport input all
    stopbits 1
    rxspeed 115200
    txspeed 115200
    flowcontrol hardware
    
    !
    
    access-list 101 deny icmp any any
  3. От файла пользователя Cisco Secure:

    • chapuser — CHAP/PPP — пользователь набирает в на линии 1; адрес назначен асинксом стандартного пула IP-адресов однорангового соединения и асинксом ip local pool 10.6.100.101 10.6.100.103 на маршрутизаторе

    • chapaddr — CHAP/PPP — пользователь набирает в на линии 1; адрес 10.29.1.99 назначен сервером

    • chapacl — CHAP/PPP — пользователь набирает в на линии 1; адрес 10.29.1.100 назначен сервером, и список доступа на вход 101 применен (который должен быть определен на маршрутизаторе),

    • papuser — PAP/PPP — пользователь набирает в на линии 2; адрес назначен асинксом стандартного пула IP-адресов однорангового соединения и асинксом ip local pool 10.6.100.101 10.6.100.103 на маршрутизаторе

    • papaddr — PAP/PPP — пользователь набирает в на линии 2; адрес 10.29.1.98 назначен сервером

    • papacl — PAP/PPP — пользователь набирает в на линии 2; адрес 10.29.1.100 назначен сервером, и список доступа на вход 101 применен, который должен быть определен на маршрутизаторе

    • loginauto — пользователь набирает в на линии 3; login authentication с autocommand на линии вынуждает пользователя к PPP - подключению и назначает адрес от пула

  4. Настройка Microsoft Windows для всех пользователей кроме пользовательского loginauto

    1. Выберите Start> Programs> Accessories> Dial-Up Networking.

    2. Выберите Connections> Make New Connection. Введите имя для своего соединения.

    3. Введите свою информацию по конкретному модему. В Настраивают> Общий, выбирают самую высокую скорость вашего модема, но не устанавливают флажок ниже этого.

    4. В Настраивают> Соединение, используют 8 битов данных, никакой паритет и 1 стоповый бит. Параметрами вызова является Ожидание тонального сигнала готовности к набору номера прежде, чем набрать и Отмена вызов если не связанный после 200 секунд.

    5. В Усовершенствованном выберите только Стандарт Типа модуляции и Аппаратное управление потоками.

    6. В Настраивают> Опции, ничто не должно быть проверено кроме под контролем состояния. Нажмите кнопку OK.

    7. На Следующем окне введите номер телефона назначения, затем нажмите Next, и затем нажмите Finish.

    8. Как только значок нового соединения появляется, щелкните правой кнопкой мыши его и выберите Properties, и затем нажмите Server Type.

    9. Выберите PPP:WINDOWS 95, WINDOWS NT 3.5, Internet и не отмечайте никаких дополнительных свойств.

    10. В Позволенных сетевых протоколах проверьте, по крайней мере, TCP/IP.

    11. При параметрах настройки TCP/IP выберите назначенный IP - адрес Server, Назначенные сервером адреса сервера имен и шлюз по умолчанию Использования в удаленной сети. Нажмите кнопку OK.

    12. При двойном нажатии (клавиши) значка для внедрения окна Connect To для набора номера, необходимо заполнить поля User name and Password, и затем нажимать Connect.

  5. Настройка Microsoft Windows 95 для Пользовательского loginauto

    1. Настройка для автоматической регистрации пользователя, проверка подлинности пользователя с PPP autocommand, совпадает с для других пользователей за исключением Настраивания> Окно свойств. Проверка Переводит окно терминала в рабочее состояние после набора номера.

    2. При двойном нажатии (клавиши) значка для внедрения окна Connect To для набора номера, вы не заполняете поля User name and Password. Нажмите Connect и после того, как соединение с маршрутизатором сделано, введите в имени пользователя и пароле в черном окне, которое появляется.

    3. После аутентификации нажмите Continue (F7).

Проверка

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

Сервер

./Cisco Secure -cx -f $BASE/CSU $BASE/config/CSU.cfg

Маршрутизатор

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Примечание: Обратитесь к документу Важная информация о командах отладки, прежде чем использовать команды debug. Для получения дополнительной информации об определенных командах, посмотрите Ссылку Команды отладки Cisco IOS.

  • terminal monitorРезультаты выполнения команды debug Показа и сообщения о системной ошибке для текущего терминала и сеанса.

  • debug ppp negotiation – Показывает PPP-пакеты, переданные при запусках PPP с согласованием параметров PPP.

  • пакет debug ppp — пакеты PPP Показа, которые переданы и получены. (Данная команда отображает низкоуровневые пакетные дампы.).

  • debug ppp chap на трафике и обменах в объединении нескольких локальных сетей, внедряющем Протокол аутентификации проблемы (CHAP).

  • debug aaa authentication — Видит, какие методы проверки подлинности используются и каковы результаты этих методов.

  • debug aaa authorization — Видит, какие методы авторизации используются и каковы результаты этих методов.

Файл Cisco Secure Users

group = admin {
        password = clear "adminpwd"
        service = shell {
                default cmd = permit
                default attribute = permit
        }
}
 
group = oper {
        password = clear "oper"
        privilege = clear "cisco" 15
        service = shell {
                default cmd = permit
                default attribute = permit
        }
}

user = adminusr {
        password = clear "adminusr"
        default service = permit
        }

user = desusr {
        password = des "QjnXYd1kd7ePk"
        default service = permit
        }

user = operator {
        member = oper 
        default service = permit
        }

user = time {
        default service = permit
        password = clear "time"
        service = shell  {
                set timeout = 1
                default cmd = permit
                default attribute = permit
        }
}

user = todam {
        password = clear "todam"
        service = shell  {
                default cmd = permit
                default attribute = permit
                time = Any 0600 - 1200
        }
        }

user = todpm {
        password = clear "todpm"
        service = shell  {
                default cmd = permit
                default attribute = permit
                time = Any 1200 - 2359
        }
        }

user = telnet {
        password = clear "telnet"
        service = shell  {
                set autocmd = "telnet 171.68.118.102"
                        }
        }

user = limit_lifetime {
        password = clear "cisco" from
        "2 may 2001" until
        "4 may 2001"
        }
 
user = loneusr {
        password = clear "lonepwd"
        service = shell  {
                cmd = show {
                permit "ver"
                }
                cmd = ping {
                permit "."
                }
                cmd = logout {
                permit "."
                }
        }
}
 
user = chapuser {
        default service = permit
        password = chap "chapuser"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                }
        }
}

user = chapaddr {
        password = chap "chapaddr"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                        set addr = 10.29.1.99
                }
        }
}

user = chapacl {
        default service = permit
        password = chap "chapacl"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                        set inacl = 101
                        set addr = 10.29.1.100
                }
        }
}

user = papuser {
        default service = permit
        password = pap "papuser"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                }
        }
}

user = papaddr {
        default service = permit
        password = pap "papaddr"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                        set addr = 10.29.1.98
                }
        }
}

user = papacl {
        default service = permit
        password = chap "papacl"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                        set inacl = 101
                        set addr = 10.29.1.100
                }
        }
}

user = loginauto {
        default service = permit
        password = clear "loginauto"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                        }
        }
 }

user = somerouters {
   password = clear "somerouters"
   allow koala ".*" "10\.31\.1\.*"
   allow koala.rtp.cisco.com ".*" "10\.31\.1\.*"
   allow 10.31.1.5 ".*" "10\.31\.1\.*"
   refuse ".*" ".*" ".*"
   service=shell {
   default cmd=permit
   default attribute=permit
   }
   }

Дополнительные сведения


Document ID: 13850