Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

ASA 8.3: Аутентификация TACACS с помощью ACS 5. X

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ предоставляет сведения о том, как настроить устройство безопасности для аутентификации пользователей для доступа к сети.

Предварительные условия

Требования

Этот документ предполагает, что Устройство адаптивной защиты (ASA) полностью в рабочем состоянии и настроено, чтобы позволить Cisco Adaptive Security Device Manager (ASDM) или CLI изменять конфигурацию.

Примечание: Обратитесь к документу Разрешение HTTPS-доступа для ASDM для получения дополнительной информации о том, как позволить устройству быть удаленно настроенным ASDM.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Версия программного обеспечения 8.3 Устройства адаптивной защиты Cisco и позже

  • Версия 6.3 Cisco Adaptive Security Device Manager и позже

  • Сервер Cisco Secure Access Control Server 5. x

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Схема сети

В этом документе использованы параметры данной сети:

/image/gif/paws/112967/acs-aaa-tacacs-01.gif

Примечание: Схемы IP-адресации, которые использованы в данной конфигурации, не поддерживаются официальной маршрутизацией в Интернете. Это адреса RFC 1918, которые использовались в лабораторной среде.

Настройте ASA для Аутентификации от Сервера ACS с помощью CLI

Выполните эти конфигурации для ASA для аутентификации от сервера ACS:


!--- configuring the ASA for TACACS server

ASA(config)# aaa-server cisco protocol tacacs+
ASA(config-aaa-server-group)# exit

!--- Define the host and the interface the ACS server is on.

ASA(config)# aaa-server cisco (DMZ) host 192.168.165.29
ASA(config-aaa-server-host)# key cisco

!--- Configuring the ASA for HTTP and SSH access using ACS and 
fallback method as LOCAL authentication.

ASA(config)#aaa authentication ssh console cisco LOCAL
ASA(config)#aaa authentication http console cisco LOCAL

Примечание: Создайте локального пользователя на ASA с помощью привилегии пароля cisco имени пользователя cisco 15 команд для доступа к ASDM с локальной проверкой подлинности, когда ACS не будет доступен.

Настройте ASA для Аутентификации от Сервера ACS с помощью ASDM

Порядок действий в диспетчере ASDM

Выполните эти шаги для настройки ASA для аутентификации от сервера ACS:

  1. Выберите Configuration>> Users Device Management / AAA>, Группы AAA-серверов> Добавляют для создания Группы AAA-серверов.

    acs-aaa-tacacs-02.gif

  2. Предоставьте подробную информацию Группы AAA-серверов в окне Add AAA Server Group как показано. Используемый протокол является TACACS +, и созданная группа серверов является Cisco.

    acs-aaa-tacacs-03.gif

    Нажмите кнопку ОК.

  3. Выберите Configuration>> Users Device Management / AAA> Группы AAA-серверов и нажмите Add под Серверами в Selected Group для добавления AAA-сервера.

    acs-aaa-tacacs-04.gif

  4. Предоставьте подробную информацию AAA-сервера в окне Add AAA Server как показано. Используемая группа серверов является Cisco.

    acs-aaa-tacacs-05.gif

    Нажмите OK, затем нажмите Apply.

    Вы будете видеть Группу AAA-серверов и AAA-сервер, настроенный на ASA.

  5. Нажмите кнопку Apply.

    acs-aaa-tacacs-06.gif

  6. Выберите Configuration>> Users Device Management / AAA> Доступ AAA> Аутентификация и нажмите флажки, следующие за HTTP/ASDM и SSH. Затем выберите Cisco в качестве группы серверов и нажмите Apply.

    acs-aaa-tacacs-07.gif

Настройте ACS как СЕРВЕР TACACS

Завершите эту процедуру для настройки ACS как Сервера tacacs:

  1. Выберите Network Resources> Network Devices и AAA Clients и нажмите Create для добавления ASA к серверу ACS.

    acs-aaa-tacacs-08.gif

  2. Предоставьте необходимую информацию о клиенте (ASA является клиентом здесь), и нажмите Submit. Этот enablesthe ASA, который будет добавлен к серверу ACS. Подробные данные включают IP-адрес ASA и подробных данных Сервера tacacs.

    acs-aaa-tacacs-09.gif

    Вы будете видеть, что клиентский Cisco добавлен к серверу ACS.

    acs-aaa-tacacs-10.gif

  3. Выберите Users и хранилища Identity> Внутренний Идентификационный> Users Хранилищ и нажмите Create для создания нового пользователя.

    acs-aaa-tacacs-11.gif

  4. Предоставьте Название, Пароль и информацию о Enable password. Enable Password является дополнительным. По завершении нажмите кнопку Submit (Отправить).

    acs-aaa-tacacs-12.gif

    Вы будете видеть, что пользовательский Cisco добавлен к серверу ACS.

    acs-aaa-tacacs-13.gif

Проверка.

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Используйте thetest хост Cisco аутентификации aaa-server 192.168.165.29 команд пароля cisco имени пользователя cisco, чтобы проверить, работает ли конфигурация должным образом. Этот образ показывает, что аутентификация успешна, и пользователь, соединяющийся с ASA, был заверен сервером ACS.

acs-aaa-tacacs-14.gif

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Устранение неполадок

Ошибка: TACACS маркировки AAA + сервер x. x . x . x в групповом TACACS aaa-server, как ПОДВЕДЕНО

Это сообщение означает, что Cisco ASA потерял подключение с x. x . x . X-сервер. Удостоверьтесь, что у вас есть допустимое подключение на TCP 49 к серверу x. x . x . x от ASA. Можно также увеличить таймаут на ASA для TACACS + сервер от 5 до необходимого номера секунд в случае, если существует задержка сети. ASA не передал бы запрос аутентификации к Серверу с ошибкой x. x . x . x . Однако это будет использовать следующий сервер в групповом TACACS aaa-server.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 112967