Introducción
Este documento describe cómo configurar la integración de Cisco Wide Area Application Services (WAAS) con Cisco Access Control Server (ACS) versión 5.x . Cuando se configura según los pasos de este documento, los usuarios pueden autenticarse en WAAS con credenciales TACACS+ a través de ACS.
Prerequisites
Requirements
No hay requisitos específicos para este documento.
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Cisco Secure ACS versión 5.x
- Cisco WAAS
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.
Configurar
Configurar ACS
- Para definir un cliente AAA en ACS Version 5.x, navegue hasta Recursos de red > Dispositivos de red y Clientes AAA. Configure el cliente AAA con un nombre descriptivo, una sola dirección IP y una clave secreta compartida para TACACS+.

- Para definir un perfil de shell, navegue hasta Elementos de política > Autorización y permisos > Administración de dispositivos > Perfiles de shell. En este ejemplo, se configura un nuevo perfil de shell llamado WAAS_Attribute. Este atributo personalizado se envía a WAAS, lo que le permite inferir qué grupo de usuarios es el grupo de administradores. Configure estos atributos personalizados:
- El Atributo es waas_rbac_groups.
- El requisito es opcional para que no moleste a ningún otro dispositivo.
- Value es el nombre del grupo al que se debe asignar acceso administrativo (Test Group).

- Para definir un conjunto de comandos que permita todos los comandos, navegue hasta Elementos de política > Autorización y permisos > Administración de dispositivos > Conjuntos de comandos.
- Edite el conjunto de comandos Permit_All.
- Si marca la casilla de verificación Permitir cualquier comando que no esté en la tabla siguiente, se otorgan al usuario privilegios completos.

Nota: Dado que este ejemplo utiliza TACACS, el servicio predeterminado seleccionado es default device admin.
- Para que la identidad apunte al origen de identidad correcto, navegue hasta Access Policies > Access Services > Default Device Admin > Identity. Si el usuario existe en la base de datos ACS local, seleccione Internal Users. Si el usuario existe en Active Directory, seleccione el almacén de identidades configurado (AD1 en este ejemplo).

- Para crear una regla de autorización, navegue hasta Access Policies > Access Services > Default Device Admin > Authorization . Cree una nueva política de autorización denominada Autorización WAAS. Esto comprueba las solicitudes de WAAS. En este ejemplo, la IP del dispositivo se utiliza como condición. Sin embargo, esto se puede cambiar en función de los requisitos de implementación. Aplique el perfil de shell y los conjuntos de comandos configurados en los pasos 2 y 3 de esta sección.

Configuración en WAAS
- Para definir un servidor TACACS+, navegue hasta Dispositivos > <Nombre del sistema de Central Manager> > Configurar > Seguridad > AAA > TACACS+. Configure la dirección IP del servidor ACS y la clave previamente compartida.

- Para modificar los métodos de autenticación y autorización, navegue hasta Devices > <Central Manager System Name> > Configure > Security > AAA > Authentication Methods. En esta captura de pantalla, el método de inicio de sesión principal se configura para local con el secundario configurado para TACACS+.

- Navegue hasta Inicio > Admin > AAA > User Groups para agregar el nombre de grupo que coincida con el atributo personalizado Value (consulte el Paso 2 en la sección Configure ACS) en WAAS.

- Asigne este grupo (Test_Group) admin-level rights en la pestaña Inicio > Admin > AAA > User Groups Role Management. El rol admin en Central Manager está preconfigurado.

Verificación
Intente iniciar sesión en WAAS con credenciales TACACS+. Si todo está configurado correctamente, se le concede acceso.
Troubleshoot
Actualmente, no hay información específica de troubleshooting disponible para esta configuración.