Este documento describe cómo configurar a un router Cisco para la autenticación del dial con el TACACS+ que se ejecuta en UNIX. El TACACS+ no ofrece tantas características como el Cisco Secure ACS for Windows disponible en el comercio o el Cisco Secure ACS para UNIX.
El software TACACS+ proporcionado previamente por Cisco Systems ha sido interrumpido y es soportado no más por Cisco Systems.
Hoy, usted puede encontrar muchas versiones de software libre disponibles TACACS+ cuando usted busca para el “freeware TACACS+” en su motor de búsqueda del Internet favorita. Cisco no recomienda específicamente ninguna implementación determinada del freeware TACACS+.
El Cisco Secure Access Control Server (ACS) está disponible para la compra a través de las ofertas de Cisco y de los canales de distribución regulares por todo el mundo. El Cisco Secure ACS for Windows incluye a todos los componentes necesarios necesarios para una instalación independiente en un puesto de trabajo de Microsoft Windows. El motor de solución del Cisco Secure ACS se envía con una licencia de software instalada previamente del Cisco Secure ACS. Refiera al boletín de productos del Cisco Secure ACS 4.0 para los números de producto. Visite Cisco que pide el Home Page (clientes registrados solamente) para poner una orden.
Note: Usted necesita una cuenta CCO con un contrato de servicio asociado para conseguir la versión de prueba del 90-día para el Cisco Secure ACS for Windows (clientes registrados solamente).
La configuración del router en este documento fue desarrollada en un router que funciona con el Software Release 11.3.3 de Cisco IOS®. TACACS+ de grupo del uso de los Cisco IOS Software Release 12.0.5.T y Posterior en vez de tacacs+. Las declaraciones tales como permiso del TACACS+ predeterminado de la conexión con el sistema de autenticación aaa aparecen como permiso del grupo predeterminado tacacs+ de la conexión con el sistema de autenticación aaa.
Usted puede descargar la guía del freeware y de usuario TACACS+ por el Anonymous FTP a ftp-eng.cisco.com en el directorio de /pub/tacacs.
No hay requisitos específicos para este documento.
Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.
Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.
En esta sección encontrará la información para configurar las funciones descritas en este documento.
Note: Utilice la herramienta de búsqueda de comandos (clientes registrados solamente) para encontrar la información adicional en los comandos usados en este documento.
En este documento, se utilizan estas configuraciones:
Configuración del router |
---|
! aaa new-model aaa authentication login default tacacs+ enable aaa authentication ppp default if-needed tacacs+ aaa authorization exec default tacacs+ if-authenticated aaa authorization commands 1 default tacacs+ if-authenticated aaa authorization commands 15 default tacacs+ if-authenticated aaa authorization network default tacacs+ enable password ww ! chat-script default "" at&fls0=1&h1&r2&c1&d2&b1e0q2 OK ! interface Ethernet0 ip address 10.6.1.200 255.255.255.0 ! !--- Challenge Handshake Authentication Protocol !--- (CHAP/PPP) authentication user. interface Async1 ip unnumbered Ethernet0 encapsulation ppp async mode dedicated peer default ip address pool async no cdp enable ppp authentication chap ! !--- Password Authentication Protocol (PAP/PPP) authentication user. interface Async2 ip unnumbered Ethernet0 encapsulation ppp async mode dedicated peer default ip address pool async no cdp enable ppp authentication pap ! !--- Authentication user with autocommand PPP. interface Async3 ip unnumbered Ethernet0 encapsulation ppp async mode interactive peer default ip address pool async no cdp enable ! ip local pool async 10.6.100.101 10.6.100.103 tacacs-server host 171.68.118.101 tacacs-server timeout 10 tacacs-server key cisco ! line 1 session-timeout 20 exec-timeout 120 0 autoselect during-login script startup default script reset default modem Dialin transport input all stopbits 1 rxspeed 115200 txspeed 115200 flowcontrol hardware ! line 2 session-timeout 20 exec-timeout 120 0 autoselect during-login script startup default script reset default modem Dialin transport input all stopbits 1 rxspeed 115200 txspeed 115200 flowcontrol hardware ! line 3 session-timeout 20 exec-timeout 120 0 autoselect during-login autoselect ppp script startup default script reset default modem Dialin autocommand ppp transport input all stopbits 1 rxspeed 115200 txspeed 115200 flowcontrol hardware ! end |
TACACS+ archivo de configuración en el servidor Freeware |
---|
!--- Handshake with router !--- AS needs 'tacacs-server key cisco'. key = "cisco" !--- User who can Telnet in to configure. user = admin { default service = permit login = cleartext "admin" } !--- CHAP/PPP authentication line 1 - !--- password must be cleartext per CHAP specifications. user = chapuser { chap = cleartext "chapuser" service = ppp protocol = ip { default attribute = permit } } !--- PPP/PAP authentication line 2. user = papuser { login = file /etc/passwd service = ppp protocol = ip { default attribute = permit } } !--- Authentication user line 3. user = authauto { login = file /etc/passwd service = ppp protocol = ip { default attribute = permit } } |
En esta sección encontrará la información para configurar las funciones descritas en este documento.
Complete estos pasos.
Note: La Configuración de la PC puede variar basado levemente en la versión del sistema operativo que usted utiliza.
Seleccione el Start (Inicio) > Programs (Programas) > Accesories (Accesorios) > Dial-Up Networking (Interconexión de redes de marcado manual) para abrir la ventana del dial-up networking.
Elija el Make New Connection del menú de conexiones, y ingrese un nombre para su conexión.
Ingrese su información específica del módem y haga clic la configuración.
En la página general de las propiedades seleccione la velocidad más alta de su módem, pero no marque el único conectan en este cuadro de la velocidad….
En la configuración/las propiedades de conexión pagine, utilice 8 bits de datos, ninguna paridad, y 1 bit de detención. Las preferencias de la llamada a utilizar son espera para el tono de discado antes de marcar y para cancelar la llamada si no conectada después de 200 segundos.
En la página de la conexión, tecleo avanzado. En las configuraciones de la conexión avanzadas, seleccione el estándar solamente del control de flujo de hardware y del tipo de modulación.
En la página de las propiedades de la configuración/de las opciones, nada se debe marcar excepto el cuadro bajo control de estado.
El Haga Click en OK y entonces hace clic después.
Ingrese el número de teléfono del destino, haga clic después otra vez, y después haga clic el final.
Una vez que aparece el icono de la nueva conexión, hagalo clic con el botón derecho del ratón y elija el Properties (Propiedades) > Server Type (Tipo de servidor).
Elija el PPP: El WINDOWS 95, WINDOWS NT 3.5, Internet y no marca ninguna opciones avanzada.
Control TCP/IP bajo Network Protocol permitidos.
Bajo configuraciones TCP/IP…, elija el IP Address asignado del servidor, el default gateway de los Server Assigned Name Server Address, y del uso en la red remota y después haga clic la AUTORIZACIÓN.
Cuando el usuario hace doble clic el icono para hacer la conexión con la visualización de la ventana para marcar, el usuario debe completar los campos del Nombre de usuario y de contraseña, y después hace clic conecta.
La Configuración para el usuario 3 (usuario de autenticación con el autocommand PPP) es lo mismo que para los usuarios 1 y 2 con estas excepciones:
En página de las propiedades de la configuración/de las opciones (el paso 6), control trae para arriba la ventana de terminal después de marcar.
Cuando el usuario hace doble clic el icono para abrir la conexión con la ventana para marcar (paso 13), el usuario no completa los campos del Nombre de usuario y de contraseña. Los tecleos del usuario conectan. Después de que la conexión al router se haga, el usuario teclea adentro el nombre de usuario y contraseña en la ventana negra que aparece. Después de la autenticación, las prensas del usuario continúan (F7).
Actualmente, no hay un procedimiento de verificación disponible para esta configuración.
Consulte información importante en los comandos debug antes de ejecutar los comandos debug.
monitor terminal — Visualizaciones resultado del comando de debug y mensajes de error del sistema para el terminal actual y la sesión.
negociación ppp del debug — Visualiza los paquetes PPP enviados durante el inicio de PPP, donde se negocian las opciones PPP.
paquete ppp del debug — Visualiza los paquetes PPP se envían y se reciben que. (Este comando muestra el vaciado de paquetes de bajo nivel).
PPP chap del debug — Visualiza la información sobre si un cliente pasa la autenticación (para las versiones de Cisco IOS Software anterior de 11.2).
autenticación aaa del debug — Visualiza la información sobre la autenticación del Authentication, Authorization, and Accounting (AAA) /TACACS+.
debug aaa authorization — Visualiza la información sobre la autorización AAA/TACACS+.
Note: Esto asume el código freeware del servidor TACACS+ de Cisco.
tac_plus_executable -C config.file -d 16 tail -f /var/tmp/tac_plus.log