Ejemplo de Configuración de los Conjuntos de Autorización de Comandos de ACS Shell en IOS y ASA/PIX/FWSM

Introducción

Este documento describe cómo configurar los conjuntos de la autorización del shell en el Cisco Secure Access Control Server (ACS) para los clientes AAA, tales como Routers del ^{® del} Cisco IOS o Switches y dispositivos del Cisco Security (ASA/PIX/FWSM) con TACACS+ como el protocolo de la autorización.

Nota: ACS expreso no apoya el comando authorization.

prerrequisitos

Requisitos

Este documento asume que las configuraciones básicas están fijadas en los clientes AAA y ACS.

En ACS, elija Interface Configuration > Advanced Options, y asegúrese de que la casilla de verificación de los atributos del Por-usuario TACACS+/RADIUS está controlada.

Componentes Utilizados

La información en este documento se basa en el Cisco Secure Access Control Server (ACS) esos funcionamientos la versión de software 3.3 y más adelante.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Conjuntos del comando authorization

Los conjuntos del comando authorization proporcionan a un mecanismo central para controlar la autorización de cada comando que se publique en cualquier dispositivo de red dado. Esta característica aumenta grandemente la capacidad de conversión a escala y la manejabilidad requeridas para fijar las restricciones de la autorización.

En ACS, los conjuntos de la autorización del comando default incluyen los conjuntos de la autorización del comando shell y la autorización del comando pix fija. Las aplicaciones de administración de dispositivos de Cisco, tales como CiscoWorks Management Center para firewalls, pueden dar instrucciones ACS para utilizar los tipos determinados de la autorización del comando adicional.

Nota: Los conjuntos de la autorización del comando pix requieren que la petición de la autorización del comando tacacs+ identifique el servicio como pixshell. Verifique que este servicio se haya ejecutado en el OS de la versión de pix que sus Firewall utilizan; si no, utilice los conjuntos de la autorización del comando shell para realizar el comando authorization para los dispositivos PIX. Refiera a configurar una autorización del comando shell fijada para un grupo de usuarios para más información.

Nota: A partir del PIX OS de la versión 6.3, el servicio del pixshell no se ha ejecutado.

Nota: Los dispositivos del Cisco Security (ASA/PIX) no permiten actualmente que coloquen al usuario directamente en el modo del permiso durante la clave. El usuario debe ingresar manualmente en el modo de la activación.

Para ofrecer más control de las sesiones de Telnet administrativa dispositivo-recibidas, un dispositivo de red que utiliza TACACS+ puede solicitar el permiso para cada línea de comando antes de que ejecute. Usted puede definir un conjunto de comandos que se permite o se niega para la ejecución de un usuario determinado en un dispositivo dado. ACS ha aumentado más lejos esta capacidad con estas características:

• Conjuntos Nombrados reutilizables del comando authorization — Sin directamente la citación de cualquier usuario o grupo de usuarios, usted puede crear a un conjunto designado de autorizaciones de comando. Usted puede definir varios conjuntos del comando authorization que delineen diversos perfiles del acceso. Por ejemplo:

  • Un conjunto del comando authorization del escritorio de ayuda podía permitir el acceso a los comandos de alto nivel de la ojeada, tales como funcionamiento de la demostración, y niega cualquier comando configuration.

  • Todo el conjunto del comando authorization de los ingenieros de red podía contener una lista limitada de comandos permitidos para cualquier ingeniero de red en la empresa.

  • Una red local dirige el comando authorization que el conjunto podría permitir los comandos all (e incluir los comandos configuration de la dirección IP).

• Granulosidad fina de la configuración — Usted puede crear las asociaciones entre los conjuntos Nombrados y los grupos de dispositivos de red (NDGs) del comando authorization. Así, usted puede definir diversos perfiles del acceso para los usuarios dependiendo de qué dispositivos de red tienen acceso. Usted puede asociar el mismo conjunto Nombrado del comando authorization a más de un NDG y utilizarlo para más de un grupo de usuarios. ACS aplica la integridad de datos. Los conjuntos Nombrados del comando authorization se mantienen la base de datos interna ACS. Usted puede utilizar las características de reserva ACS y del Restore a de reserva y al restore ellos. Usted puede también los conjuntos de la autorización del comando replicate a ACSs secundario junto con otros datos de configuración.

Para los tipos determinados del comando authorization que utilizan las aplicaciones de administración de dispositivos de Cisco, las ventajas son similares cuando usted utiliza los conjuntos del comando authorization. Usted puede los conjuntos de la autorización del comando apply a los grupos ACS que contienen a los usuarios de la aplicación de administración de dispositivos para aplicar la autorización de los diversos privilegios en una aplicación de administración de dispositivos. Los grupos ACS pueden corresponder a diversos papeles dentro de la aplicación de administración de dispositivos, y usted puede aplicar diversos conjuntos del comando authorization a cada grupo, como aplicable.

ACS tiene tres etapas secuenciales de filtración del comando authorization. Cada petición del comando authorization se evalúa en la orden enumerada:

1. Comando match — ACS determina si el comando se procesa que hace juego un comando enumerado en el conjunto del comando authorization. Si el comando no se corresponde con, la determinación incomparable de los comandos determina al comando authorization: permita o niegue. Si no, si se corresponde con el comando, la evaluación continúa.

2. Coincidencia del argumento — ACS determina si los argumentos del comando presentados hacen juego los argumentos del comando enumerados en el conjunto del comando authorization.

   • Si ningún argumento no se corresponde con, determinan al comando authorization por si la opción incomparable de Args del permiso está activada. Si se permiten los argumentos incomparables, se autoriza el comando y los extremos de la evaluación; si no, el comando no se autoriza y los extremos de la evaluación.

   • Si se corresponden con todos los argumentos, la evaluación continúa.

3. Directiva del argumento — Una vez que ACS determina que los argumentos en los argumentos del comando match en el conjunto del comando authorization, ACS determinan si cada argumento del comando está permitido explícitamente. Si todos los argumentos se permiten explícitamente, ACS concede el comando authorization. Si ninguna argumentos no se permite, ACS niega el comando authorization.

Agregue un conjunto de la autorización del comando shell

Esta sección incluye estos decorados que describan cómo agregar un comando authorization fijado:

• Escenario 1: Privilegio para el acceso de lectura/escritura o el acceso total

• Escenario 2: Privilegio para acceso de sólo lectura

• Escenario 3: Privilegio para el acceso restringido

Nota: Refiera a agregar a una sección de configuración del comando authorization de la guía de usuario para el Cisco Secure Access Control Server 4.1 para más información sobre cómo crear los conjuntos del comando authorization. Refiera a corregir un comando authorization fijado y a suprimir un comando authorization fijado para más información sobre cómo corregir y los conjuntos de la autorización del comando delete.

Escenario 1: Privilegio para el acceso de lectura/escritura o el acceso total

En este los decorados, los usuarios se conceden el acceso de lectura/grabación (o completo).

En el área determinada de la autorización del comando shell de la ventana de los componentes del perfil compartidos, configure estas configuraciones:

1. En el campo de nombre, ingrese ReadWriteAccess como el nombre del conjunto del comando authorization.

2. En el campo Description (Descripción), ingrese una descripción para el conjunto del comando authorization.

3. Haga clic el botón de radio del permiso, y después haga clic someten.

Escenario 2: Privilegio para acceso de sólo lectura

En este los decorados, los usuarios pueden utilizar solamente los comandos show.

En el área determinada de la autorización del comando shell de la ventana de los componentes del perfil compartidos, configure estas configuraciones:

1. En el campo de nombre, ingrese ReadOnlyAccess como el nombre del conjunto del comando authorization.

2. En el campo Description (Descripción), ingrese una descripción para el conjunto del comando authorization.

3. Haga clic el botón de radio de la negación.

4. Ingrese el comando show en el campo sobre el botón de comando Add, y después haga clic el comando Add.

5. Controle la casilla de verificación incomparable de Args del permiso, y el tecleo somete

Escenario 3: Privilegio para el acceso restringido

En este decorado, los usuarios pueden utilizar los comandos selectivos.

En el área determinada de la autorización del comando shell de la ventana de los componentes del perfil compartidos, configure estas configuraciones:

1. En el campo de nombre, ingrese Restrict_access como el nombre del conjunto del comando authorization.

2. Haga clic el botón de radio de la negación.

3. Ingrese los comandos que usted quiere permitir en los clientes AAA.

   1. En el campo situado sobre el botón de comando Add, ingrese el comando show, y haga clic el comando Add.

      

   2. Ingrese el comando configure, y haga clic el comando Add.

   3. Seleccione el comando configure, y ingrese la terminal del permiso en el campo a la derecha.

      

   4. Ingrese el comando interface, y haga clic el comando Add.

   5. Seleccione el comando interface, y ingrese los Ethernetes del permiso en el campo a la derecha.

      

   6. Ingrese el comando ethernet, y haga clic el comando Add.

   7. Seleccione el comando interface, y ingrese el descanso del permiso, permita el ancho de banda, y permita la descripción en el campo a la derecha.

      

   8. Ingrese el comando bandwidth, y haga clic el comando Add.

      

   9. Ingrese el comando timeout, y haga clic el comando Add.

      

   10. Ingrese el comando description, y haga clic el comando Add.

       

4. Haga clic en Submit (Enviar).

Asocie la autorización del comando shell fijada al grupo de usuarios

Refiera a configurar una autorización del comando shell fijada para una sección del grupo de usuarios de la guía de usuario para el Cisco Secure Access Control Server 4.1 para más información sobre cómo configurar a los grupos determinados de la Configuración para el usuario de la autorización del comando shell.

Asocie la autorización del comando shell fijada (acceso de lectura/grabación) al grupo de usuarios (el grupo Admin)

1. En la ventana ACS, haga clic la configuración de grupo, y elija al grupo Admin de la lista desplegable del grupo.

   

2. El tecleo corrige las configuraciones.

3. Del salto a la lista desplegable, elija las opciones del permiso.

4. En el área de las opciones del permiso, haga clic el privilegio máximo para cualquier botón de radio del cliente AAA, y elija el nivel 15 de la lista desplegable.

   

5. Del salto a la lista desplegable, elija TACACS+.

6. En el área de las configuraciones TACACS+, controle la casilla de verificación del shell (exec), controle la casilla de verificación del nivel de privilegio, y ingrese 15 en el campo del nivel de privilegio.

   

7. En el área determinada de la autorización del comando shell, haga clic la asignación una autorización del comando shell fijada para cualquier botón de radio del dispositivo de red, y elija ReadWriteAccess de la lista desplegable.

   

8. El tecleo somete

Asocie la autorización del comando shell fijada (acceso inalterable) al grupo de usuarios (el grupo inalterable)

1. En la ventana ACS, haga clic la configuración de grupo, y elija al grupo inalterable de la lista desplegable del grupo.

   

2. El tecleo corrige las configuraciones.

3. Del salto a la lista desplegable, elija las opciones del permiso.

4. En el área de las opciones del permiso, haga clic el privilegio máximo para cualquier botón de radio del cliente AAA, y elija el nivel 1 de la lista desplegable.

   

5. En el área de las configuraciones TACACS+, controle la casilla de verificación del shell (exec), controle la casilla de verificación del nivel de privilegio, y ingrese 1 en el campo del nivel de privilegio.

   

6. En el área determinada de la autorización del comando shell, haga clic la asignación una autorización del comando shell fijada para cualquier botón de radio del dispositivo de red, y elija ReadOnlyAccess de la lista desplegable.

   

7. El tecleo somete

Asocie la autorización del comando shell fijada (Restrict_access) al usuario

Refiera a configurar una autorización del comando shell fijada para una sección del usuario de la guía de usuario para el Cisco Secure Access Control Server 4.1 para más información sobre cómo configurar la Configuración para el usuario determinada de la autorización del comando shell.

Nota: Las configuraciones del nivel de usuario reemplazan las configuraciones del grupo-nivel en ACS, que significa si el usuario hace la autorización del comando shell fijar en las configuraciones del nivel de usuario, después reemplaza las configuraciones del grupo-nivel.

1. La configuración de usuario del tecleo > agrega/corrige para crear a un usuario nuevo nombrado Admin_user para ser grupo Admin de la parte de.

   

2. Del grupo a quien asignan el usuario la lista desplegable, elija al grupo Admin.

   

3. En el área determinada de la autorización del comando shell, haga clic la asignación una autorización del comando shell fijada para cualquier botón de radio del dispositivo de red, y elija Restrict_access de la lista desplegable.

   Nota: En este decorado, este usuario es grupo Admin de la parte de. El conjunto de la autorización del shell de Restrict_access es aplicable; el conjunto de lectura/grabación de la autorización del shell del acceso es no corresponde.

   

   Nota: En la sección TACACS+ (Cisco) del área de la configuración de la interfaz, asegúrese de que la opción del shell (exec) esté seleccionada en la columna del usuario.

Configuración del router IOS

Además de su configuración de la precolocación, estos comandos se requieren en un router o el conmutador IOS para ejecutar el comando authorization a través de un servidor ACS:

aaa new-model
aaa authorization config-commands
aaa authorization commands 0 default  group tacacs+ local
aaa authorization commands 1 default  group tacacs+ local
aaa authorization commands 15 default group tacacs+ local
tacacs-server host 10.1.1.1
tacacs-server key cisco123

Configuración ASA/PIX/FWSM

Además de su configuración de la precolocación, estos comandos se requieren en ASA/PIX/FWSM para ejecutar el comando authorization a través de un servidor ACS:

aaa-server authserver protocol tacacs+
aaa-server authserver host 10.1.1.1
aaa authorization command authserver

Nota: No es posible utilizar el protocolo RADIUS para restringir el acceso del usuario a ASDM para los propósitos inalterables. Puesto que los paquetes RADIUS contienen la autenticación y la autorización al mismo tiempo, todos los usuarios que se autentican en el servidor de RADIUS tienen un nivel de privilegio de 15. Usted puede alcanzar esto con TACACS con la puesta en práctica de los conjuntos del comando authorization.

Nota: ASA/PIX/FWSM tardan un tiempo prolongado para ejecutar cada comando pulsado incluso si ACS es inasequible realizar el comando authorization. Si ACS es inasequible y el ASA tiene el comando authorization configurado, el ASA todavía pedirá el comando authorization para cada comando.

Troubleshooting

Error: comando authorization fallado

Problema

Después de que usted se abra una sesión al Firewall a través del registro TACACS, los comandos no trabajan. Cuando usted ingresa un comando, se recibe este error: comando authorization fallado.

Solución

Complete estos pasos para resolver este problema:

1. Asegúrese que el Nombre de usuario correcto esté utilizado y que todos los privilegios requeridos están asignados al usuario.

2. Si el Nombre de usuario y los privilegios están correctos, verifique que el ASA tenga Conectividad con el ACS y que el ACS es activo.

Nota: Este error puede también ocurrir si la autorización del comando configurado del administrador equivocadamente para el local, así como TACACS, los usuarios. En este caso, realice una recuperación de contraseña para resolver el problema.

Información Relacionada

• Cisco PIX Firewall Software
• Referencias de Comandos de Secure PIX firewall
• Avisos de campos de productos de seguridad (incluido PIX)
• Pedidos los comentarios (RFC)
• Página segura del soporte de servidor del control de acceso del control de Cisco
• Soporte Técnico y Documentación - Cisco Systems

Historial de revisiones