Acceso del usuario de ACS Limited con el RADIUS en el ejemplo de configuración del nexo
Contenido
Introducción
Este documento describe cómo proporcionar el acceso restringido a los usuarios del nexo de modo que puedan ingresar solamente los comandos limitados con el Cisco Secure Access Control Server (ACS) como servidor de RADIUS. Por ejemplo, usted puede ser que quiera que un usuario pudiera iniciar sesión a un privilegiado o a un modo de configuración y sea permitido solamente ingresar los comandos interface. Para alcanzar esto, usted debe crear un rol personalizado para el usuario en el servidor de RADIUS se utiliza que.
Prerrequisitos
Requisitos
El servidor de RADIUS (ACS en este ejemplo) y el nexo deben poder entrarse en contacto y realizar las autenticaciones.
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- ACS versión 5.x
- 7000 Switch del nexo
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.
Configurar
Configuración de los rol personalizado en el nexo
Para crear un papel que proporcione solamente el acceso de lectura/grabación para el comando interface, ingrese:
switch(config)# role name Limited-Access
switch(config-role)# rule 1 permit read-write feature interface
Las reglas de acceso adicionales del permiso se definen con este sintaxis:
switch(config-role)# rule 1 permit read-write feature snmp
switch(config-role)# rule 2 permit read-write feature snmp
TargetParamsEntry
switch(config-role)# rule 3 permit read-write feature snmp
TargetAddrEntry
Configure el nexo para la autenticación y autorización
- Para crear a un usuario local en el Switch con los privilegios completos para el retraso, ingrese el comando username:
Switch(config)#username admin privilege 15 password 0 cisco123!
- Para proporcionar el IP Address del servidor de RADIUS (ACS), ingrese:
switch# conf terminal
switch(config)# Radius-server host 10.10.1.1 key cisco123
authenticationaccounting
switch(config)# aaa group server radius RadServer
switch(config-radius)#server 10.10.1.1
switch(config-radius)# use-vrf Management - Para probar la Disponibilidad del servidor de RADIUS, ingrese el comando aaa de la prueba:
switch# test aaa server Radius 10.10.1.1 user1 Ur2Gd2BH
La prueba de la autentificación debe fallar con un rechazo del servidor puesto que todavía no se configura. Sin embargo, confirma que el servidor es accesible. - Para configurar las autenticaciones de inicio de sesión, ingrese:
Switch(config)#aaa authentication login default group Radserver
Usted no tiene que preocuparse del método local del retraso aquí, porque los retrasos del nexo al local en sus los propio si el servidor de RADIUS es inasequible.
Switch(config)#aaa accounting default group Radserver
Switch(config)#aaa authentication login error-enable
Configuración del ACS
- Navegue a los elementos de la directiva > a la autenticación y a los permisos > al perfil del acceso a la red > de la autorización para crear un perfil de la autorización.
- Ingrese un nombre para el perfil.
- Bajo atributos personalizados tabule, ingrese estos valores:
- Tipo de diccionario: Radio-Cisco
- Atributo: Cisco-av-pair
- Requisito: Obligatorio
- Valor: shell: roles=Limited_Access
- Someta los cambios para crear un papel atributo-basado del Switch del nexo.
- Cree una nueva regla de la autorización o edite una regla actual en la política de acceso correcta. Los pedidos de RADIUS son procesados por la directiva de acceso a la red por abandono.
- En el área de las condiciones, elija las condiciones apropiadas. En el área de resultados, elija el perfil de Limited_Access.
- Haga clic en OK.
Verificación
Utilize esta sección para confirmar que su configuración funcione correctamente.
Verificación del papel del nexo
Ingrese el comando del papel de la demostración en el nexo para visualizar los papeles y las reglas definidos del acceso configurado.
switch# show role (Displays all the roles and includes
custom roles that you have created and their permissions.)
Role: network-admin
Description: Predefined network admin role has access to all
commands on the switch.
-------------------------------------------------------------------
Rule Perm Type Scope Entity
----------------------------------------------------------------
1 permit read-write
Role:Limited_Access
Description: Predefined Limited_Access role has access to these commands.
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit read-write feature Interface
Rol del usuario de la verificación de la asignación del nexo
Inicie sesión al nexo con el nombre de usuario y contraseña configurado en el ACS. Después del login, ingrese el comando de la cuenta de usuario de la demostración para verificar que el usuario a prueba tiene el papel de Limited_Access:
switch# show user-account
user:admin
this user account has no expiry date
roles:network-admin
user:Test
this user account has no expiry date
roles:Limited_Access
Una vez que se confirma el papel del acceso del usuario, conmute en el modo de configuración e intente ingresar un comando con excepción de un comando interface. El usuario debe ser negado el acceso.
La herramienta del Output Interpreter (clientes registrados solamente) apoya los ciertos comandos show. Utilice la herramienta del Output Interpreter para ver una análisis de la salida del comando show.
- papel de la demostración - Visualiza las reglas de la definición y del acceso configurado del papel.
- cuenta de usuario de la demostración - Visualiza los detalles de la cuenta de usuario e incluye la asignación del papel.
Troubleshooting
Esta sección proporciona la información que usted puede utilizar para resolver problemas su configuración del switch.
Complete estos pasos en el Switch para la asignación del papel:
- Verifique que utilizan el grupo AAA para la autenticación con los ejecutar-config aaa de la demostración y muestre los comandos aaa authentication.
- Para el RADIUS, verifique la asociación del ruteo virtual y de la expedición (VRF) con el grupo AAA con la autenticación aaa de la demostración y muestre los comandos radius de los ejecutar-config.
- Si estos comandos verify que la asociación está correcta, ingresan el comando all del radio del debug para habilitar el registro de la traza.
- Verifique que los atributos correctos se estén avanzando del ACS.
La herramienta del Output Interpreter (clientes registrados solamente) apoya los ciertos comandos show. Utilice la herramienta del Output Interpreter para ver una análisis de la salida del comando show.
- muestre los ejecutar-config AAA
- muestre la autenticación aaa
- muestre el radio de los ejecutar-config
- haga el debug del radio todo
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)