Router Cisco de la configuración para la autenticación del dial usando el TACACS+

Opciones de descarga

PDF (93.9 KB)
Visualice con Adobe Reader en una variedad de dispositivos
ePub (75.6 KB)
Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (78.2 KB)
Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos

Actualizado:14 de mayo de 2009

ID del documento:13866

Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Contenido

Introducción

prerrequisitos

Requisitos

Componentes Utilizados

Convenciones

Configuraciones

Configuración de Microsoft Windows

Configuración de Microsoft Windows para los usuarios 1 y 2

Instrucciones Paso a Paso

Configuración de Microsoft Windows para usuario 3

Verificación

Troubleshooting

Router

Servidor

Información Relacionada

Introducción

Este documento describe cómo configurar a un router Cisco para la autenticación del dial con el TACACS+ que se ejecuta en UNIX. El TACACS+ no ofrece tantas características como el Cisco Secure ACS for Windows disponible en el comercio o el Cisco Secure ACS para UNIX.

El software TACACS+ proporcionado previamente por Cisco Systems ha sido interrumpido y es soportado no más por Cisco Systems.

Hoy, usted puede encontrar muchas versiones de software libre disponibles TACACS+ cuando usted busca para el “freeware TACACS+” en su motor de búsqueda del Internet favorita. Cisco no recomienda específicamente ninguna implementación determinada del freeware TACACS+.

El Cisco Secure Access Control Server (ACS) está disponible para la compra a través de las ofertas de Cisco y de los canales de distribución regulares por todo el mundo. El Cisco Secure ACS for Windows incluye a todos los componentes necesarios necesarios para una instalación independiente en un puesto de trabajo de Microsoft Windows. El motor de solución del Cisco Secure ACS se envía con una licencia de software instalada previamente del Cisco Secure ACS. Refiera al boletín de productos del Cisco Secure ACS 4.0 para los números de producto. Visite Cisco que pide el Home Page (clientes registrados solamente) para poner una orden.

Nota: Usted necesita una cuenta CCO con un contrato de servicio asociado para conseguir la versión de prueba del 90-día para el Cisco Secure ACS for Windows (clientes registrados solamente).

La configuración del router en este documento fue desarrollada en un router que funciona con el Software Release 11.3.3 de Cisco IOS®. TACACS+ de grupo del uso de los Cisco IOS Software Release 12.0.5.T y Posterior en vez de tacacs+. Las declaraciones tales como permiso del TACACS+ predeterminado de la conexión con el sistema de autenticación aaa aparecen como permiso del grupo predeterminado tacacs+ de la conexión con el sistema de autenticación aaa.

Usted puede descargar la guía del freeware y de usuario TACACS+ por el Anonymous FTP a ftp-eng.cisco.com en el directorio de /pub/tacacs.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Configuraciones

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta de búsqueda de comandos (clientes registrados solamente) para encontrar la información adicional en los comandos usados en este documento.

En este documento, se utilizan estas configuraciones:

Configuración del router
TACACS+ archivo de configuración en el servidor Freeware

Configuración del router
!aaa new-modelaaa authentication login default tacacs+ enableaaa authentication ppp default if-needed tacacs+aaa authorization exec default tacacs+ if-authenticatedaaa authorization commands 1 default tacacs+ if-authenticated aaa authorization commands 15 default tacacs+ if-authenticated aaa authorization network default tacacs+ enable password ww!chat-script default "" at&fls0=1&h1&r2&c1&d2&b1e0q2 OK!interface Ethernet0 ip address 10.6.1.200 255.255.255.0! !--- Challenge Handshake Authentication Protocol !--- (CHAP/PPP) authentication user. interface Async1 ip unnumbered Ethernet0 encapsulation ppp async mode dedicated peer default ip address pool async no cdp enable ppp authentication chap ! !--- Password Authentication Protocol (PAP/PPP) authentication user. interface Async2 ip unnumbered Ethernet0 encapsulation ppp async mode dedicated peer default ip address pool async no cdp enable ppp authentication pap ! !--- Authentication user with autocommand PPP. interface Async3 ip unnumbered Ethernet0 encapsulation ppp async mode interactive peer default ip address pool async no cdp enable ! ip local pool async 10.6.100.101 10.6.100.103 tacacs-server host 171.68.118.101 tacacs-server timeout 10 tacacs-server key cisco ! line 1 session-timeout 20 exec-timeout 120 0 autoselect during-login script startup default script reset default modem Dialin transport input all stopbits 1 rxspeed 115200 txspeed 115200 flowcontrol hardware ! line 2 session-timeout 20 exec-timeout 120 0 autoselect during-login script startup default script reset default modem Dialin transport input all stopbits 1 rxspeed 115200 txspeed 115200 flowcontrol hardware ! line 3 session-timeout 20 exec-timeout 120 0 autoselect during-login autoselect ppp script startup default script reset default modem Dialin autocommand ppp transport input all stopbits 1 rxspeed 115200 txspeed 115200 flowcontrol hardware ! end

Configuración del router

!aaa new-modelaaa authentication login default tacacs+ enableaaa authentication ppp default if-needed tacacs+aaa authorization exec default tacacs+ if-authenticatedaaa authorization commands 1 default tacacs+ if-authenticated aaa authorization commands 15 default tacacs+ if-authenticated aaa authorization network default tacacs+ enable password ww!chat-script default "" at&fls0=1&h1&r2&c1&d2&b1e0q2 OK!interface Ethernet0 ip address 10.6.1.200 255.255.255.0! !--- Challenge Handshake Authentication Protocol !--- (CHAP/PPP) authentication user. interface Async1 ip unnumbered Ethernet0 encapsulation ppp async mode dedicated peer default ip address pool async no cdp enable ppp authentication chap ! !--- Password Authentication Protocol (PAP/PPP) authentication user. interface Async2 ip unnumbered Ethernet0 encapsulation ppp async mode dedicated peer default ip address pool async no cdp enable ppp authentication pap ! !--- Authentication user with autocommand PPP. interface Async3 ip unnumbered Ethernet0 encapsulation ppp async mode interactive peer default ip address pool async no cdp enable ! ip local pool async 10.6.100.101 10.6.100.103 tacacs-server host 171.68.118.101 tacacs-server timeout 10 tacacs-server key cisco ! line 1 session-timeout 20 exec-timeout 120 0 autoselect during-login script startup default script reset default modem Dialin transport input all stopbits 1 rxspeed 115200 txspeed 115200 flowcontrol hardware ! line 2 session-timeout 20 exec-timeout 120 0 autoselect during-login script startup default script reset default modem Dialin transport input all stopbits 1 rxspeed 115200 txspeed 115200 flowcontrol hardware ! line 3 session-timeout 20 exec-timeout 120 0 autoselect during-login autoselect ppp script startup default script reset default modem Dialin autocommand ppp transport input all stopbits 1 rxspeed 115200 txspeed 115200 flowcontrol hardware ! end

TACACS+ archivo de configuración en el servidor Freeware
!--- Handshake with router !--- AS needs 'tacacs-server key cisco'.key = "cisco"!--- User who can Telnet in to configure.user = admin { default service = permit login = cleartext "admin" } !--- CHAP/PPP authentication line 1 - !--- password must be cleartext per CHAP specifications. user = chapuser { chap = cleartext "chapuser" service = ppp protocol = ip { default attribute = permit } } !--- PPP/PAP authentication line 2. user = papuser { login = file /etc/passwd service = ppp protocol = ip { default attribute = permit } } !--- Authentication user line 3. user = authauto { login = file /etc/passwd service = ppp protocol = ip { default attribute = permit } }

TACACS+ archivo de configuración en el servidor Freeware

!--- Handshake with router !--- AS needs 'tacacs-server key cisco'.key = "cisco"!--- User who can Telnet in to configure.user = admin {        default service = permit        login = cleartext "admin"        } !--- CHAP/PPP authentication line 1 - !--- password must be cleartext per CHAP specifications.  user = chapuser {         chap = cleartext "chapuser"         service = ppp protocol = ip {                 default attribute = permit                 }         }  !--- PPP/PAP authentication line 2.  user = papuser {         login = file /etc/passwd         service = ppp protocol = ip {                 default attribute = permit                 }         } !--- Authentication user line 3.  user = authauto {         login = file /etc/passwd         service = ppp protocol = ip {                 default attribute = permit                 }         }

Seleccione el Start (Inicio) > Programs (Programas) > Accesories (Accesorios) > Dial-Up Networking (Interconexión de redes de marcado manual) para abrir la ventana del dial-up networking.
Elija el Make New Connection del menú de conexiones, y ingrese un nombre para su conexión.
Ingrese su información específica del módem y haga clic la configuración.
En la página general de las propiedades seleccione la velocidad más alta de su módem, pero no marque el único conectan en este cuadro de la velocidad….
En la configuración/las propiedades de conexión pagine, utilice 8 bits de datos, ninguna paridad, y 1 bit de detención. Las preferencias de la llamada a utilizar son espera para el tono de discado antes de marcar y para cancelar la llamada si no conectada después de 200 segundos.
En la página de la conexión, tecleo avanzado. En las configuraciones de la conexión avanzadas, seleccione el estándar solamente del control de flujo de hardware y del tipo de modulación.

En la página de las propiedades de la configuración/de las opciones, nada se debe marcar excepto el cuadro bajo control de estado.
El Haga Click en OK y entonces hace clic después.
Ingrese el número de teléfono del destino, haga clic después otra vez, y después haga clic el final.
Una vez que aparece el icono de la nueva conexión, hagalo clic con el botón derecho del ratón y elija el Properties (Propiedades) > Server Type (Tipo de servidor).
Elija el PPP: El WINDOWS 95, WINDOWS NT 3.5, Internet y no marca ninguna opciones avanzada.
Control TCP/IP bajo Network Protocol permitidos.
Bajo configuraciones TCP/IP…, elija el IP Address asignado del servidor, el default gateway de los Server Assigned Name Server Address, y del uso en la red remota y después haga clic la AUTORIZACIÓN.
Cuando el usuario hace doble clic el icono para hacer la conexión con la visualización de la ventana para marcar, el usuario debe completar los campos del Nombre de usuario y de contraseña, y después hace clic conecta.

Configuración de Microsoft Windows para usuario 3

La Configuración para el usuario 3 (usuario de autenticación con el autocommand PPP) es lo mismo que para los usuarios 1 y 2 con estas excepciones:

En página de las propiedades de la configuración/de las opciones (el paso 6), control trae para arriba la ventana de terminal después de marcar.
Cuando el usuario hace doble clic el icono para abrir la conexión con la ventana para marcar (paso 13), el usuario no completa los campos del Nombre de usuario y de contraseña. Los tecleos del usuario conectan. Después de que la conexión al router se haga, el usuario teclea adentro el nombre de usuario y contraseña en la ventana negra que aparece. Después de la autenticación, las prensas del usuario continúan (F7).

¿monitor terminal? Visualizaciones resultado del comando de debug y mensajes de error del sistema para el terminal actual y la sesión.
¿negociación ppp del debug? Visualiza los paquetes PPP enviados durante el inicio de PPP, donde se negocian las opciones PPP.
¿paquete ppp del debug? Visualiza los paquetes PPP se envían y se reciben que. (Este comando muestra el vaciado de paquetes de bajo nivel).
¿PPP chap del debug? Visualiza la información sobre si un cliente pasa la autenticación (para las versiones de Cisco IOS Software anterior de 11.2).
¿autenticación aaa del debug? Visualiza la información sobre la autenticación del Authentication, Authorization, and Accounting (AAA) /TACACS+.
¿debug aaa authorization? Visualiza la información sobre la autorización AAA/TACACS+.

Servidor

Nota: Esto asume el código freeware del servidor TACACS+ de Cisco.

tac_plus_executable -C config.file -d 16  tail -f /var/tmp/tac_plus.log

Información Relacionada

Con la colaboración de ingenieros de Cisco

¿Resultó útil este documento?

Comentarios

Déjenos ayudarlo

Abrir un caso de soporte
(Requiere un Cisco Service Contract)