Безопасность и VPN : Протоколы аутентификации

Как назначать уровни привилегий при использовании TACACS+ и RADIUS

21 мая 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (26 февраля 2008) | Отзыв

Содержание

Введение
Предварительные условия
      Требования
      Используемые компоненты
      Условные обозначения
Пример
      Конфигурации: маршрутизатор
      Конфигурации: сервер
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

В данном документе описывается порядок изменения уровня привилегий для различных команд, а также приведены примеры конфигурации для маршрутизатора и сервера TACACS+ и RADIUS.

Предварительные условия

Требования

Использование данного документа требует наличия знаний об уровнях привилегий маршрутизатора.

По умолчанию в маршрутизаторе установлено три уровня привилегий:

  • уровень привилегий 1 = непривилегированный (в качестве командной строки используется router>), уровень по умолчанию для регистрации

  • уровень привилегий 15 = привилегированный (в качестве командной строки используется router#), уровень после входа в режим enable

  • уровень привилегий 0 = используется редко, но включает 5 команд: disable, enable, exit, help и logout

Уровни 2-14 не используются в конфигурации по умолчанию, но команды, которые обычно относятся к уровню 15, могут быть перенесены на один из этих уровней, также как и команды с уровня 1. Очевидно, данная модель безопасности предусматривает применение определенных функций управления маршрутизатором.

Чтобы определить уровень привилегий, являясь зарегистрированным пользователем, введите команду show privilege. Чтобы определить, какие команды доступны на конкретном уровне привилегий для используемой версии программного обеспечения Cisco IOS®, введите в командной строке команду ? на этом уровне привилегий.

Примечание: если сервер авторизации поддерживает TACACS+, то вместо назначения уровней привилегий можно проводить авторизацию команд. Протокол RADIUS не поддерживают авторизацию команд.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются программного обеспечения Cisco IOS версии 11.2 и более поздних.

Сведения, представленные в данном документе, были получены на тестовом оборудовании в специально созданных лабораторных условиях. При написании данного документа использовались только данные, полученные от устройств с конфигурацией по умолчанию. При работе с реально функционирующей сетью необходимо полностью осознавать возможные последствия выполнения команд до их применения.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в разделе Технические советы Cisco. Условные обозначения.

Пример

В данном примере команды snmp-server переносятся с уровня привилегий 15 (по умолчанию) на уровень привилегий 7. Команда ping переносится с уровня привилегий 1 на уровень привилегий 7. После проверки пользователя seven сервер назначает ему уровень привилегий 7, а команда show privilege показывает "Current privilege level is 7". В режиме настройки пользователь может выдавать команды ping и snmp-server configuration. Другие команды настройки недоступны.

Конфигурации: маршрутизатор

Маршрутизатор - 11.2

aaa new-model
aaa authentication login default tacacs+|radius local
aaa authorization exec tacacs+|radius local
username backup privilege 7 password 0 backup
tacacs-server host 171.68.118.101
tacacs-server key cisco
radius-server host 171.68.118.101
radius-server key cisco
privilege configure level 7 snmp-server host
privilege configure level 7 snmp-server enable
privilege configure level 7 snmp-server
privilege exec level 7 ping
privilege exec level 7 configure terminal
privilege exec level 7 configure

Маршрутизатор выпуска 11.3.3.T и более поздних (до 12.0.5.T)

aaa new-model
aaa authentication login default tacacs+|radius local
aaa authorization exec default tacacs+|radius local
username backup privilege 7 password 0 backup
tacacs-server host 171.68.118.101
tacacs-server key cisco
radius-server host 171.68.118.101
radius-server key cisco
privilege configure level 7 snmp-server host
privilege configure level 7 snmp-server enable
privilege configure level 7 snmp-server
privilege exec level 7 ping
privilege exec level 7 configure terminal
privilege exec level 7 configure

Маршрутизатор выпуска 12.0.5.T и более поздних

aaa new-model
aaa authentication login default group tacacs+|radius local
aaa authorization exec default group tacacs+|radius local
username backup privilege 7 password 0 backup
tacacs-server host 171.68.118.101
tacacs-server key cisco
radius-server host 171.68.118.101
radius-server key cisco
privilege configure level 7 snmp-server host
privilege configure level 7 snmp-server enable
privilege configure level 7 snmp-server
privilege exec level 7 ping
privilege exec level 7 configure terminal
privilege exec level 7 configure

Конфигурации: сервер

Cisco Secure NT TACACS+

Чтобы настроить сервер, выполните данные шаги.

  1. Введите имя пользователя и пароль.

  2. Убедитесь в том, что в разделе Group Settings установлен флажок shell/exec и в текстовом поле уровня привилегий введено число 7.

TACACS+ - Stanza в свободно распространяемом сервере

Stanza in TACACS+ freeware:
user = seven {
login = cleartext seven
service = exec {
priv-lvl = 7
}
}

Cisco Secure UNIX TACACS+

user = seven {
password = clear "seven"
service = shell {
set priv-lvl = 7
}
}

Cisco Secure NT RADIUS

Чтобы настроить сервер, выполните данные шаги.

  1. Введите имя пользователя и пароль.

  2. В групповых настройках для IETF, тип сервиса (атрибут 6) = Nas-Prompt

  3. В области CiscoRADIUS проверьте AV-Pair и введите в прямоугольное поле ниже: shell:priv-lvl=7.

Cisco Secure UNIX RADIUS

user = seven{
radius=Cisco {
check_items= {
2="seven"
} 
reply_attributes= {
6=7
9,1="shell:priv-lvl=7"
} 
} 
}

Это пользовательский файл для имени пользователя "seven".

Примечание: сервер должен поддерживать Cisco av-pairs.

  • seven Password = passwdxyz

  • Service-Type = Shell-User

  • cisco-avpair =shell:priv-lvl=7


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 13860