Configuración del Router Cisco para la Autenticación de Marcado con TACACS+

Opciones de descarga

PDF (142.8 KB)
Visualice con Adobe Reader en una variedad de dispositivos
ePub (90.5 KB)
Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (78.4 KB)
Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos

Actualizado:14 de mayo de 2009

ID del documento:13866

Bias-Free Language

The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Contenido

Introducción

Prerequisites

Requirements

Componentes Utilizados

Convenciones

Configuraciones

Configuración de Microsoft Windows

Configuración de Microsoft Windows para los usuarios 1 y 2

Step-by-Step Instructions

Configuración de Microsoft Windows para usuario 3

Verificación

Troubleshoot

Router

Servidor

Información Relacionada

Introducción

Este documento describe cómo configurar un router Cisco para la autenticación de marcado con el TACACS+ que se ejecuta en UNIX. TACACS+ no ofrece tantas funciones como Cisco Secure ACS para Windows o Cisco Secure ACS para UNIX disponibles comercialmente.

El software TACACS+ proporcionado anteriormente por Cisco Systems se ha interrumpido y ya no es compatible con Cisco Systems.

Actualmente, puede encontrar muchas versiones disponibles de TACACS+ freeware cuando busca "TACACS+ freeware" en su motor de búsqueda favorito de Internet. Cisco no recomienda específicamente ninguna implementación de software libre TACACS+ en particular.

Cisco Secure Access Control Server (ACS) está disponible para su compra a través de los canales de distribución y ventas habituales de Cisco en todo el mundo. Cisco Secure ACS para Windows incluye todos los componentes necesarios para una instalación independiente en una estación de trabajo de Microsoft Windows. Cisco Secure ACS Solution Engine se envía con una licencia de software Cisco Secure ACS preinstalada. Consulte el Boletín de producto Cisco Secure ACS 4.0 para ver los números de producto. Visite la página de inicio de pedidos de Cisco (sólo clientes registrados) para realizar un pedido.

Nota: Necesita una cuenta de CCO con un Contrato de servicio asociado para obtener la versión de prueba de 90 días para Cisco Secure ACS para Windows (sólo clientes registrados).

La configuración del router en este documento se desarrolló en un router que ejecuta Cisco IOS® Software Release 11.3.3. Cisco IOS Software Releases 12.0.5.T y posteriores utilizan group tacacs+ en lugar de tacacs+. Declaraciones como aaa authentication login default tacacs+ enable aparecen como aaa authentication login default group tacacs+ enable.

Puede descargar TACACS+ freeware y la guía del usuario de anónimamente ftp a ftp-eng.cisco.com en el directorio /pub/tacacs.

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Configuraciones

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Use la Command Lookup Tool (sólo clientes registrados) para encontrar información adicional sobre los comandos utilizados en este documento.

En este documento, se utilizan estas configuraciones:

Configuración del router
TACACS+ archivo de configuración en el servidor Freeware

Configuración del router
! aaa new-model aaa authentication login default tacacs+ enable aaa authentication ppp default if-needed tacacs+ aaa authorization exec default tacacs+ if-authenticated aaa authorization commands 1 default tacacs+ if-authenticated aaa authorization commands 15 default tacacs+ if-authenticated aaa authorization network default tacacs+ enable password ww ! chat-script default "" at&fls0=1&h1&r2&c1&d2&b1e0q2 OK ! interface Ethernet0 ip address 10.6.1.200 255.255.255.0 ! !--- Challenge Handshake Authentication Protocol !--- (CHAP/PPP) authentication user. interface Async1 ip unnumbered Ethernet0 encapsulation ppp async mode dedicated peer default ip address pool async no cdp enable ppp authentication chap ! !--- Password Authentication Protocol (PAP/PPP) authentication user. interface Async2 ip unnumbered Ethernet0 encapsulation ppp async mode dedicated peer default ip address pool async no cdp enable ppp authentication pap ! !--- Authentication user with autocommand PPP. interface Async3 ip unnumbered Ethernet0 encapsulation ppp async mode interactive peer default ip address pool async no cdp enable ! ip local pool async 10.6.100.101 10.6.100.103 tacacs-server host 171.68.118.101 tacacs-server timeout 10 tacacs-server key cisco ! line 1 session-timeout 20 exec-timeout 120 0 autoselect during-login script startup default script reset default modem Dialin transport input all stopbits 1 rxspeed 115200 txspeed 115200 flowcontrol hardware ! line 2 session-timeout 20 exec-timeout 120 0 autoselect during-login script startup default script reset default modem Dialin transport input all stopbits 1 rxspeed 115200 txspeed 115200 flowcontrol hardware ! line 3 session-timeout 20 exec-timeout 120 0 autoselect during-login autoselect ppp script startup default script reset default modem Dialin autocommand ppp transport input all stopbits 1 rxspeed 115200 txspeed 115200 flowcontrol hardware ! end

Configuración del router

!
aaa new-model
aaa authentication login default tacacs+ enable
aaa authentication ppp default if-needed tacacs+
aaa authorization exec default tacacs+ if-authenticated
aaa authorization commands 1 default tacacs+ if-authenticated 
aaa authorization commands 15 default tacacs+ if-authenticated 
aaa authorization network default tacacs+ 
enable password ww
!
chat-script default "" at&fls0=1&h1&r2&c1&d2&b1e0q2 OK
!
interface Ethernet0
 ip address 10.6.1.200 255.255.255.0
! 

!--- Challenge Handshake Authentication Protocol !--- (CHAP/PPP) authentication user.

  interface Async1
  ip unnumbered Ethernet0
  encapsulation ppp
  async mode dedicated
  peer default ip address pool async
  no cdp enable
  ppp authentication chap
 !
 
!--- Password Authentication Protocol (PAP/PPP) authentication user.

  interface Async2
  ip unnumbered Ethernet0
  encapsulation ppp
  async mode dedicated
  peer default ip address pool async
  no cdp enable
  ppp authentication pap
 !
 
!--- Authentication user with autocommand PPP.

  interface Async3
  ip unnumbered Ethernet0
  encapsulation ppp
  async mode interactive
  peer default ip address pool async
  no cdp enable
 !
 ip local pool async 10.6.100.101 10.6.100.103
 tacacs-server host 171.68.118.101
 tacacs-server timeout 10
 tacacs-server key cisco
 !
 line 1
  session-timeout 20
  exec-timeout 120 0
  autoselect during-login
  script startup default
  script reset default
  modem Dialin
  transport input all
  stopbits 1
  rxspeed 115200
  txspeed 115200
  flowcontrol hardware
 !
 line 2
  session-timeout 20
  exec-timeout 120 0
  autoselect during-login
  script startup default
  script reset default
  modem Dialin
  transport input all
  stopbits 1
  rxspeed 115200
  txspeed 115200
  flowcontrol hardware
 !
 line 3
  session-timeout 20
  exec-timeout 120 0
  autoselect during-login
  autoselect ppp
  script startup default
  script reset default
  modem Dialin
  autocommand ppp
  transport input all
  stopbits 1
  rxspeed 115200
  txspeed 115200
  flowcontrol hardware
 !
 end

TACACS+ archivo de configuración en el servidor Freeware
!--- Handshake with router !--- AS needs 'tacacs-server key cisco'. key = "cisco" !--- User who can Telnet in to configure. user = admin { default service = permit login = cleartext "admin" } !--- CHAP/PPP authentication line 1 - !--- password must be cleartext per CHAP specifications. user = chapuser { chap = cleartext "chapuser" service = ppp protocol = ip { default attribute = permit } } !--- PPP/PAP authentication line 2. user = papuser { login = file /etc/passwd service = ppp protocol = ip { default attribute = permit } } !--- Authentication user line 3. user = authauto { login = file /etc/passwd service = ppp protocol = ip { default attribute = permit } }

TACACS+ archivo de configuración en el servidor Freeware


!--- Handshake with router !--- AS needs 'tacacs-server key cisco'.

key = "cisco"


!--- User who can Telnet in to configure.

user = admin {
        default service = permit
        login = cleartext "admin"
        }

 
!--- CHAP/PPP authentication line 1 - !--- password must be cleartext per CHAP specifications.

  user = chapuser {
         chap = cleartext "chapuser"
         service = ppp protocol = ip {
                 default attribute = permit
                 }
         }
 
 
!--- PPP/PAP authentication line 2.

  user = papuser {
         login = file /etc/passwd
         service = ppp protocol = ip {
                 default attribute = permit
                 }
         }

 
!--- Authentication user line 3.

  user = authauto {
         login = file /etc/passwd
         service = ppp protocol = ip {
                 default attribute = permit
                 }
         }

Seleccione Inicio > Programas > Accesorios > Dial-Up Networking para abrir la ventana Dial-Up Networking.
Elija Make New Connection en el menú Connections, e ingrese un nombre para su conexión.
Ingrese la información específica del módem y haga clic en Configurar.
En la página Propiedades generales, seleccione la velocidad más alta del módem, pero no marque Sólo conectar a esta velocidad... para abrir el Navegador.
En la página Configurar/Propiedades de conexión, utilice 8 bits de datos, sin paridad y 1 bit de parada. Las preferencias de llamada a utilizar son Esperar el tono de marcado antes de marcar y Cancelar la llamada si no está conectada después de 200 segundos.
En la página Connection (Conexión), haga clic en Advanced. En Advanced Connection Settings, seleccione solamente Hardware Flow Control y Modulation Type Standard.

En la página de propiedades Configurar/Opciones, no se debe activar nada, excepto la casilla de control de estado.
Haga clic en Aceptar y después haga clic en Siguiente.
Introduzca el número de teléfono del destino, haga clic en Siguiente de nuevo y, a continuación, haga clic en Finalizar.
Una vez que aparezca el nuevo icono de conexión, haga clic con el botón derecho y elija Properties > Server Type.
Elija PPP:WINDOWS 95, WINDOWS NT 3.5, Internet y no marque ninguna opción avanzada.
Verifique TCP/IP en Allowed Network Protocols.
Bajo TCP/IP Settings..., elija Server assigned IP address, Server assigned name server address, y Use default gateway on remote network y luego haga clic en OK.
Cuando el usuario hace doble clic en el icono para que aparezca la ventana Conectar a para marcar, el usuario debe rellenar los campos Nombre de usuario y Contraseña y, a continuación, hacer clic en Conectar.

Configuración de Microsoft Windows para usuario 3

La configuración para el usuario 3 (usuario de autenticación con PPP de autocomando) es la misma que para los usuarios 1 y 2 con estas excepciones:

En la página de propiedades Configurar/Opciones (paso 6), marque Ventana de inicio después de marcar.
Cuando el usuario hace doble clic en el icono para abrir la ventana Conectar a para marcar (Paso 13), el usuario no rellena los campos Nombre de usuario y Contraseña. El usuario hace clic en Connect. Una vez realizada la conexión al router, el usuario escribe el nombre de usuario y la contraseña en la ventana negra que aparece. Después de la autenticación, el usuario presiona Continue (F7).

terminal monitor: muestra el resultado del comando debug y los mensajes de error del sistema para el terminal y la sesión actuales.
debug ppp negotiation: muestra los paquetes PPP enviados durante el inicio PPP, donde se negocian las opciones PPP.
debug ppp packet—Muestra los paquetes PPP que se envían y reciben. (Este comando muestra el vaciado de paquetes de bajo nivel).
debug ppp chap: muestra información sobre si un cliente pasa la autenticación (para las versiones de software del IOS de Cisco anteriores a 11.2) .
debug aaa authentication: muestra información sobre autenticación, autorización y contabilidad (AAA)/autenticación TACACS+.
debug aaa authorization—Muestra información sobre la autorización AAA/TACACS+.

Servidor

Nota: Esto supone el código del servidor TACACS+ Freeware de Cisco.

tac_plus_executable -C config.file -d 16
  tail -f /var/tmp/tac_plus.log

Información Relacionada

Historial de revisiones

Revisión	Fecha de publicación	Comentarios
1.0	14-May-2009	Versión inicial

¿Resultó útil este documento?

Comentarios

Contacte a Cisco

Abrir un caso de soporte
(Requiere un Cisco Service Contract)