ACS 5.x: Ejemplo de Configuración de Autenticación y Autorización de Comando TACACS+ Basada en la Suscripción al Grupo AD

Opciones de descarga

PDF (590.8 KB)
Visualice con Adobe Reader en una variedad de dispositivos
ePub (794.6 KB)
Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (2.2 MB)
Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos

Actualizado:29 de junio de 2012

ID del documento:113590

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Contenido

Introducción

prerrequisitos

Requisitos

Componentes Utilizados

Convenciones

Configuración

Configuración ACS 5.x para la autenticación y autorización

Configure el dispositivo Cisco IOS para la autenticación y autorización

Verificación

Información Relacionada

Introducción

Este documento proporciona un ejemplo de configurar autenticación de TACACS+ y del comando authorization basado en la membresía del grupo AD de un usuario con el Cisco Secure Access Control System (ACS) 5.x y posterior. ACS utiliza Microsoft Active Directory (AD) como almacén de identidades externo para guardar recursos como usuarios, equipos, grupos y atributos.

prerrequisitos

Requisitos

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

El ACS 5.x se integra completamente al dominio deseado AD. Si el ACS no se integra con el dominio deseado AD, refiera a ACS 5.x y posterior: Integración con el ejemplo de configuración del Microsoft Active Directory para más información para realizar la tarea de la integración.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

Cisco Secure ACS 5.3
Versión 12.2(44)SE6 del Cisco IOS ® Software.

Nota: Esta configuración se puede hacer en todos los dispositivos Cisco IOS.
Dominio 2003 del Microsoft Windows server

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configuración

Configuración ACS 5.x para la autenticación y autorización

Antes de que usted comience la configuración del ACS 5.x para la autenticación y autorización, el ACS se debe haber integrado con éxito con Microsoft AD. Si el ACS no se integra con el dominio deseado AD, refiera a ACS 5.x y posterior: Integración con el ejemplo de configuración del Microsoft Active Directory para más información para realizar la tarea de la integración.

En esta sección, usted asocia dos grupos AD a dos diversos comandos estableces y dos perfiles del shell, uno con de total acceso y el otro con el limitado-acceso en los dispositivos Cisco IOS.

Registro en el ACS GUI usando las credenciales Admin.
Elija a los usuarios y la identidad salva > identidad externa salva > Active Directory y verifica que el ACS se ha unido al dominio deseado y también que el estatus de la Conectividad está mostrado según lo conectado.

Haga clic en la lengueta de los grupos del directorio.
Haga clic selecto.
Elija a los grupos que necesitan ser asociados a los perfiles y a los comandos estableces del shell en la parte de posterior la configuración. Haga clic en OK.
Cambios de la salvaguardia del tecleo.
Elija las políticas de acceso > el acceso mantiene > las reglas de selección del servicio e identifica el servicio del acceso, que procesa autenticación de TACACS+. En este ejemplo, es el dispositivo predeterminado Admin.
Elija las políticas de acceso > los servicios del acceso > el dispositivo del valor por defecto Admin > identidad y haga clic selecto al lado de la fuente de la identidad.
Elija AD1 y haga clic la AUTORIZACIÓN.
Haga clic los cambios de la salvaguardia.
Elija las políticas de acceso > los servicios del acceso > el dispositivo del valor por defecto Admin > autorización y haga clic en personalizan.
Copie AD1:ExternalGroups de disponible a la sección seleccionada de las condiciones Customize y después mueva el perfil y a los comandos estableces del shell desde disponible a la sección seleccionada de los resultados Customize. Ahora haga clic la AUTORIZACIÓN.
El tecleo crea para crear una nueva regla.
Tecleo selecto en la condición AD1:ExternalGroups.
Elija al grupo que usted quiere para proporcionar el acceso total en el dispositivo Cisco IOS. Haga clic en OK.
Tecleo selecto en el campo del perfil del shell.
El tecleo crea para crear un nuevo perfil del shell para los usuarios de total acceso.
Proporcione un nombre y un Description(optional) en la ficha general y haga clic en la lengueta común de las tareas.
Cambie el privilegio predeterminado y el privilegio del máximo a los parásitos atmosféricos con el valor 15. Haga clic en Submit (Enviar).
Ahora elija el perfil de total acceso creado recientemente del shell (FULL-privilegio en este ejemplo) y haga clic la AUTORIZACIÓN.
Haga clic selecto en el campo de los comandos estableces.
El tecleo crea para crear un comando new fijado para los usuarios de total acceso.
Proporcione un nombre y asegúrese de que la casilla de verificación al lado del comando permit any que no está en la tabla abajo está marcada. Haga clic en Submit (Enviar).

Nota: Refiera a crear, a duplicación, y a los conjuntos del comando editing para Device Administration (Administración del dispositivo) para más información sobre los comandos estableces.
Haga clic en OK.
Haga clic en OK. Esto completa la configuración de Rule-1.
El tecleo crea para crear una nueva regla para los usuarios limitados del acceso.
Elija AD1:ExternalGroups y haga clic selecto.
Elija a los grupos del grupo (o) a quienes usted quiere proporcionar el acceso limitado y hacer clic la AUTORIZACIÓN.
Haga clic selecto en el campo del perfil del shell.
El tecleo crea para crear un nuevo perfil del shell para el acceso limitado.
Proporcione un nombre y un Description(optional) en la ficha general y haga clic en la lengueta común de las tareas.
Cambie el privilegio predeterminado y el privilegio del máximo a los parásitos atmosféricos con los valores 1 y 15 respectivamente. Haga clic en Submit (Enviar).
Haga clic en OK.
Tecleo selecto en el campo de los comandos estableces.
El tecleo crea para crear un comando new fijado para el grupo de acceso limitado.
Proporcione un nombre y asegúrese de que el checkbox al lado del comando permit any que no está en la tabla abajo no está seleccionado. El tecleo agrega después de teclear la demostración en el espacio proporcionado en el comando section y elige el permiso en la sección de Grant para solamente permitir los comandos show para los usuarios en el grupo de acceso limitado.
Agregue semejantemente cualquier otro comando de ser permitido para los usuarios en el grupo de acceso limitado con el uso Add. Haga clic en Submit (Enviar).

Nota: Refiera a crear, a duplicación, y a los conjuntos del comando editing para Device Administration (Administración del dispositivo) para más información sobre los comandos estableces.
Haga clic en OK.
Haga clic en OK.
Cambios de la salvaguardia del tecleo.
El tecleo crea para agregar el dispositivo Cisco IOS como cliente AAA en el ACS.
Proporcione un nombre, la dirección IP, el secreto compartido para el TACACS+ y el tecleo someten.

Configure el dispositivo Cisco IOS para la autenticación y autorización

Complete estos pasos para configurar el dispositivo Cisco IOS y el ACS para la autenticación y autorización.

Cree a un usuario local con el privilegio completo para el retraso con el comando username como se muestra aquí:
```
username admin privilege 15 password 0 cisco123!
```
Proporcione la dirección IP del ACS para habilitar el AAA y agregar ACS 5.x como servidor TACACS.
```
aaa new-model
tacacs-server host 192.168.26.51 key cisco123
```
Nota: La clave debe hacer juego con el secreto compartido proporcionado en el ACS para este dispositivo Cisco IOS.
Pruebe el accesibilidad del servidor TACACS con el comando aaa de la prueba como se muestra.
```
test aaa group tacacs+ user1 xxxxx legacy
Attempting authentication test to server-group tacacs+ using tacacs+
User was successfully authenticated.
```
La salida del comando anterior muestra que el servidor TACACS es accesible y han autenticado al usuario con éxito.

Nota: El user1 y el xxx de la contraseña pertenecen al AD. Si la prueba falla por favor asegúrese de que el secreto compartido proporcionado en el paso anterior esté correcto.

Configure el login y habilite las autenticaciones y después utilice el ejecutivo y las autorizaciones de comando como se muestra aquí:

aaa authentication login default group tacacs+ local
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ local
aaa authorization commands 0 default group tacacs+ local
aaa authorization commands 1 default group tacacs+ local
aaa authorization commands 15 default group tacacs+ local
aaa authorization config-commands

Nota: Las palabras claves del Local y del permiso se utilizan para el retraso al usuario local del Cisco IOS y habilitan el secreto respectivamente si el servidor TACACS es inalcanzable.

Verificación

Para verificar la autenticación y autorización inicie sesión al dispositivo Cisco IOS con Telnet.

Telnet al dispositivo Cisco IOS como user1 que pertenece al grupo de total acceso en el AD. El grupo de Admins de la red es el grupo en el AD que es perfil asociado del shell del FULL-privilegio y comando set de total acceso en el ACS. Intente funcionar con el comando any de asegurarse de que usted tiene acceso total.
Telnet al dispositivo Cisco IOS como user2 que pertenece al grupo del limitado-acceso en el AD. (El grupo del equipo del mantenimiento de red es el grupo en el AD que es comando set asociado del perfil y del Demostración-acceso del shell del Limitado-privilegio en el ACS). Si usted intenta funcionar con el comando any con excepción de los que está mencionados en el comando set del Demostración-acceso, usted debe conseguir un error fallado comando authorization, que muestra que el user2 ha limitado el acceso.
Inicie sesión al ACS GUI y ponga en marcha la supervisión y señala el Visualizador. Elija el protocolo AAA > TACACS+Authorization para verificar las actividades realizadas por el user1 y user2.