Безопасность : Сервер безопасного контроля доступа Cisco для Windows

Авторизация для выполнения команд оболочки на маршрутизаторе Juniper с примером конфигурации AсS

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ предоставляет пример конфигурации на наборах Авторизации для выполнения команд Оболочки в сервере Cisco Secure Access Control Server (ACS) для Маршрутизатора Juniper, стороннего поставщика, с TACACS +.

Обратитесь к Установке Параметров RADIUS Juniper для Пользователя, чтобы настроить и позволить атрибутам RADIUS Juniper примениться как авторизация для текущего пользователя.

Предварительные условия

Требования

Этот документ предполагает, что в клиентах AAA и в ACS заданы базовые конфигурации.

  1. В ACS выберите Interface Configuration> Advanced Options.

  2. Гарантируйте, что проверен TACACS Для каждого пользователя +/RADIUS флажок Attributes.

Используемые компоненты

Сведения в этом документе основываются на сервере Cisco Secure Access Control Server (ACS), который выполняет версию программного обеспечения 4.1.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Настройка

TACACS + конфигурации

Наборы авторизации для выполнения команд обеспечивают централизованное управление авторизацией каждой команды, выполняемой на любом отдельно взятом сетевом устройстве. Эта функция значительно улучшает масштабируемость и управляемость, необходимые для при установлении ограничений авторизации.

Наборы Авторизации для выполнения команд Juniper требуют, чтобы TACACS + запрос авторизации для выполнения команд определили сервис как exec Junos.

Чтобы настроить и позволить атрибутам Juniper примениться как авторизация для текущего пользователя, выполните эти шаги:

  1. Добавьте, что маршрутизаторы Juniper при клиентах AAA Network Configuration>> Добавляют Запись с TACACS + (CISCO IOS) как протокол аутентификации и с корректным IP-адресом, где они получают свои запросы и соответствующий разделяемый секретный ключ.

    acs-juniper-01.gif

  2. Выберите Interface Configuration> TACACS + (CISCO IOS). Под New Services включите сервисы exec Junos или на пользователя на группу или на обоих. Если вы хотите позволить другие значения на на пользовательское основание (X, Y, Z, XY), рекомендуется сделать это на пользователя.

    acs-juniper-02.gif

  3. Перейдите к группе/настройке пользователя и найдите этот недавно созданный сервис под TACACS + параметры настройки. Проверьте опцию для exec Junos и опцию для Настраиваемых атрибутов. Введите значения этого сервиса для каждого пользователя на этот образ:

    acs-juniper-03.gif

    For X user account you will need to enter the following attributes:
    
    local-user-name = sales 
    allow-commands = "configure" 
    deny-commands = "shutdown" 
    
    For Y user account you will need to enter:
    
    local-user-name = sales 
    allow-commands = "(request system) | (show rip neighbor)" 
    deny-commands = "<^clear" 
    
    For Z user acccount:
    
    local-user-name = engineering 
    allow-commands = "monitor | help | show | ping | traceroute" 
    deny-commands = "configure" 
    
    Finally, for XY user account:
    
    local-user-name = engineering 
    allow-commands = "show bgp neighbor" 
    deny-commands = "telnet | ssh"

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 110895