ASA 8.3: Autenticación TACACS con ACS 5.X

Opciones de descarga

  • PDF     (374.5 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (394.4 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (753.1 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:28 de abril de 2011
ID del documento:112967

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento proporciona la información sobre cómo configurar el dispositivo de seguridad para autenticar a los usuarios para el acceso a la red.

prerrequisitos

Requisitos

Este documento asume que el dispositivo de seguridad adaptante (ASA) está completamente - operativo y configurado para permitir que el Cisco Adaptive Security Device Manager (ASDM) o el CLI realice los cambios de configuración.

Nota: Refiera a permitir el acceso HTTPS para el ASDM para más información sobre cómo permitir que el dispositivo sea configurado remotamente por el ASDM.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Versión de software adaptante 8.3 del dispositivo de seguridad de Cisco y posterior

  • Versión 6.3 y posterior del Cisco Adaptive Security Device Manager

  • Cisco Secure Access Control Server 5.x

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

acs-aaa-tacacs-01.gif

Nota: Los esquemas de direccionamiento IP usados en esta configuración no son legalmente enrutables en Internet. Son las direcciones RFC1918 que fueron utilizadas en un entorno de laboratorio.

Configure el ASA para la autenticación del servidor ACS que usa el CLI

Realice estas configuraciones para el ASA para autenticar del servidor ACS:


!--- configuring the ASA for TACACS server

ASA(config)# aaa-server cisco protocol tacacs+
ASA(config-aaa-server-group)# exit

!--- Define the host and the interface the ACS server is on.

ASA(config)# aaa-server cisco (DMZ) host 192.168.165.29
ASA(config-aaa-server-host)# key cisco

!--- Configuring the ASA for HTTP and SSH access using ACS and fallback method as LOCAL authentication.

ASA(config)#aaa authentication ssh console cisco LOCAL
ASA(config)#aaa authentication http console cisco LOCAL

Nota: Cree a un usuario local en el ASA usando el comando del privilegio 15 de la palabra clave Cisco del nombre de usuario cisco de acceder el ASDM con la autenticación local cuando el ACS no está disponible.

Configure el ASA para la autenticación del servidor ACS que usa el ASDM

Procedimiento del ASDM

Complete estos pasos para configurar el ASA para la autenticación del servidor ACS:

  1. Elija la configuración > la Administración de dispositivos > a los grupos de servidores Users/AAA >AAA > Add para crear a un Grupo de servidores AAA.

    acs-aaa-tacacs-02.gif

  2. Proporcione a los detalles del Grupo de servidores AAA en la ventana de Grupo de servidores AAA del agregar como se muestra. El protocolo usado es TACACS+ y el grupo de servidores creado es Cisco.

    acs-aaa-tacacs-03.gif

    Haga clic en OK.

  3. Elija la configuración > la Administración de dispositivos > a los grupos de servidores Users/AAA >AAA y el tecleo agrega bajo los servidores en el grupo seleccionado para agregar al servidor de AAA.

    acs-aaa-tacacs-04.gif

  4. Proporcione a los detalles del servidor de AAA en la ventana del servidor de AAA del agregar como se muestra. El grupo de servidores usado es Cisco.

    acs-aaa-tacacs-05.gif

    El Haga Click en OK, entonces hace clic se aplica.

    Usted verá el Grupo de servidores AAA y al servidor de AAA configurados en el ASA.

  5. Haga clic en Apply (Aplicar).

    acs-aaa-tacacs-06.gif

  6. Elija la configuración > la Administración de dispositivos > el acceso > la autenticación Users/AAA >AAA y haga clic las casillas de verificación al lado de HTTP/ASDM y de SSH. Entonces, elija Cisco como el grupo de servidores y el tecleo se aplica.

    acs-aaa-tacacs-07.gif

Configuración ACS como servidor TACACS

Complete este procedimiento para configurar el ACS como servidor TACACS:

  1. Elija los recursos de red > los dispositivos de red y los clientes AAA y el tecleo crean para agregar el ASA al servidor ACS.

    acs-aaa-tacacs-08.gif

  2. Proporcione la Información requerida sobre el cliente (ASA es el cliente aquí) y el tecleo somete. Este enablesthe ASA a conseguir agregó al servidor ACS. Los detalles incluyen la dirección IP del ASA y de los detalles del servidor TACACS.

    acs-aaa-tacacs-09.gif

    Usted verá al cliente Cisco que es agregado al servidor ACS.

    acs-aaa-tacacs-10.gif

  3. Elija a los usuarios y la identidad salva > los almacenes internos de la identidad > Users y el tecleo crea para crear a un usuario nuevo.

    acs-aaa-tacacs-11.gif

  4. Proporcione la información del nombre, de la contraseña, y de contraseña habilitada. La contraseña habilitada es opcional. Cuando usted acaba, el tecleo somete.

    acs-aaa-tacacs-12.gif

    Usted verá al usuario Cisco que es agregado al servidor ACS.

    acs-aaa-tacacs-13.gif

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

Utilice el comando password cisco más thetest del nombre de usuario cisco de 192.168.165.29 del host de Cisco de la autenticación del AAA-servidor de marcar si la configuración trabaja correctamente. Esta imagen muestra que la autenticación es acertada y al servidor ACS ha autenticado al usuario que conectaba con el ASA.

acs-aaa-tacacs-14.gif

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Troubleshooting

Error: AAA que marca el servidor x.x.x.x TACACS+ en los tacacs del Grupo de servidores AAA según lo FALLADO

Este mensaje significa que Cisco ASA perdió la Conectividad con el servidor x.x.x.x. Aseegurese le tener una Conectividad válida en el TCP 49 al servidor x.x.x.x del ASA. Usted puede también aumentar el descanso en el ASA para el servidor TACACS+ a partir del 5 al número deseado de segundos en caso de que haya una latencia de red. El ASA no enviaría un pedido de autenticación al servidor defectuoso x.x.x.x. Sin embargo, utilizará el servidor siguiente en los tacacs del Grupo de servidores AAA.

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
28-Apr-2011
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos