Configuración ASR9k TACACS con el servidor del Cisco Secure ACS 5.x

Opciones de descarga

  • PDF     (3.0 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (3.1 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.3 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:8 de noviembre de 2017
ID del documento:212423

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe la configuración del router de los servicios de la agregación de las 9000 Series ASR (ASR) para autenticar y para autorizar vía el TACACS+ con el servidor 5.x del Cisco Secure Access Control Server (ACS).

    Este ejemplos la implementación del modelo administrativo de la autorización basada en tareas usado para controlar el acceso del usuario en el sistema del Software Cisco IOS XR. Las tareas principales requeridas implementar la autorización basada en tareas implican cómo configurar los grupos de usuarios y a los Grupos de tareas. Configuran a los grupos de usuarios y a los Grupos de tareas a través del comando set del Software Cisco IOS XR usado para los servicios de la autenticación, de la autorización y de las estadísticas (AAA). Utilizan a los comandos authentication de verificar la identidad de un usuario o de un director. Utilizan a los comandos authorization de verificar que conceden un usuario autenticado (o el director) el permiso para realizar una tarea específica. Registrando utilizan a los comandos de contabilidad para registrar de las sesiones y crear un rastro de auditoría ciertas acciones del usuario o generadas del sistema.

    Prerequisites

    Requisitos

     Cisco recomienda que tenga conocimiento sobre estos temas:

    • Despliegue y configuración básica ASR 9000
    • Despliegue y configuración ACS 5.x.
    • Protocolo TACACS+

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • ASR 9000 con el Software Cisco IOS XR, versión 4.3.4
    • Cisco Secure ACS 5.7

    La información de este documento se originó a partir de dispositivos dentro de un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si su red está viva, aseegurese que usted entiende el impacto potencial de cualquier cambio de configuración.

    Configuración

    Componentes predefinidos en IOS XR

    Hay grupos de usuarios y Grupos de tareas predefinidos en IOS XR. El administrador puede utilizar a estos grupos predefinidos o definir a los grupos de encargo según el requisito.

    Grupos de usuarios predefinidos

    Predefinen a estos grupos de usuarios en IOS XR:

    Grupo de usuarios Privilegios
    Cisco-soporte Características del debug y del Troubleshooting (generalmente, utilizado por el personal de soporte técnico de Cisco).
    netadmin Network Protocol de la configuración tales como Open Shortest Path First (OSPF) (usado generalmente por los administradores de la red).
    operador Realice las actividades de supervisión cotidianas, y han limitado las derechas de la configuración.
    raíz-LR Visualice y ejecute los comandos all dentro de un solo RP.
    raíz-sistema Visualice y ejecute los comandos all para todos los RP en el sistema.
    sysadmin Realice las tareas de la administración del sistema para el router, tal como mantener donde están salvados o que configuran los vaciados de memoria el reloj del Network Time Protocol (NTP).
    serviceadmin Realice las tareas de la administración del servicio, tales como regulador de la frontera de la sesión (SBC).

    El grupo de usuarios del raíz-sistema ha predefinido la autorización; es decir, tiene la responsabilidad completa de los recursos usuario-manejados raíz-sistema y de ciertas responsabilidades en los otros servicios.

    Utilice éstos ordenan para marcar a los grupos de usuarios predefinidos:

    RP/0/RSP1/CPU0:ASR9k#show aaa usergroup ?
  |              Output Modifiers
  root-lr        Name of the usergroup
  netadmin       Name of the usergroup
  operator       Name of the usergroup
  sysadmin       Name of the usergroup
  root-system    Name of the usergroup
  serviceadmin   Name of the usergroup
  cisco-support  Name of the usergroup
  WORD           Name of the usergroup
  <cr>

    Grupos de tareas predefinidos

    Estos Grupos de tareas predefinidos están disponibles para que los administradores utilicen, típicamente para la configuración inicial:

    • Cisco-soporte: Tareas del personal de soporte de Cisco
    • netadmin: Tareas del administrador de la red
    • operador: Tareas cotidianas del operador (como demostración)
    • raíz-LR: Tareas del administrador de router del dominio seguro
    • raíz-sistema: Tareas del administrador de todo el sistema
    • sysadmin: Tareas del administrador de sistema
    • serviceadmin: Mantenga las tareas de la administración, por ejemplo, SBC

    Utilice éstos ordenan para marcar a los Grupos de tareas predefinidos:

    RP/0/RSP1/CPU0:ASR9k#show aaa taskgroup ?
  |              Output Modifiers
  root-lr        Name of the taskgroup
  netadmin       Name of the taskgroup
  operator       Name of the taskgroup
  sysadmin       Name of the taskgroup
  root-system    Name of the taskgroup
  serviceadmin   Name of the taskgroup
  cisco-support  Name of the taskgroup
  WORD           Name of the taskgroup
  <cr>

    Utilice este comando de marcar las tareas soportadas:

     
RP/0/RSP1/CPU0:ASR9k#show aaa task supported

    Aquí está la lista de tareas soportadas:

    Aaa

    Acl

    Admin

    Ancp

    Atmósfera

    servicios básicos

    Bcdl

    Bfd

    bgp

    Arranque

    Conjunto

    llamada casera

    Cdp

    Cef

    Cgn

    Cisco-soporte

    config-mgmt

    config-servicios

    Crypto

    Diag

    Rechazado

    Drivers

    Dwdm

    Eem

    Eigrp

    servicios Ethernet

    extensión-acceso

    Tela

    incidente-mgr

    Filesystem

    Firewall

    Franco

    HDLC

    Servicios de host

    Hsrp

    interfaz

    Inventario

    Servicios IP

    Ipv4

    IPv6

    ISIS

    L2vpn

    Li

    Lisp

    registración

    Lpts

    Monitor

    MPLS-LDP

    MPLS-estático

    MPLS-TE

    Multicast (multidifusión)

    Netflow

    Red

    nps

    OSPF

    Ouni

    Pbr

    paquete-mgmt

    POS-DPT

    Ppp

    Qos

    Rcmd

    RIB

    Rip

    raíz-LR

    raíz-sistema

    route-map

    ruta-directiva

    Sbc

    Snmp

    SONET-SDH

    estática

    Sysmgr

    Sistema

    Transporte

    TTY-acceso

    Túnel

    Universal

    Vlan

    Vpdn

    vrrp

    Cada uno de las tareas antedichas se puede dar con ninguno de estos o todos los cuatro permisos.

    Leído

    Especifica una designación que permita solamente una operación de lectura.

    Escriba

    Especifica una designación que permita una operación del cambio y permita implícito una operación de lectura.

    Ejecute

    Especifica una designación que permita una operación del acceso; por ejemplo, ping y Telnet.

    Depurar

    Especifica una designación que permita una operación del debug.

    Componentes definidos por el usario en IOS XR

    Grupos de usuarios definidos por el usario

    El administrador puede configurar a sus propios grupos de usuarios para cubrir las necesidades determinadas. Aquí está el ejemplo de configuración:

    RP/0/RSP1/CPU0:ASR9k(config)#usergroup TAC-Defined
RP/0/RSP1/CPU0:ASR9k(config-ug)#taskgroup operator
RP/0/RSP1/CPU0:ASR9k(config-ug)#commit

    Grupos de tareas definidos por el usario

    El administrador puede configurar a sus propios Grupos de tareas para cubrir las necesidades determinadas. Aquí está el ejemplo de configuración:

    RP/0/RSP1/CPU0:ASR9k(config)#taskgroup TAC-Defined-TASK
RP/0/RSP1/CPU0:ASR9k(config-tg)#task ?
  debug    Specify a debug-type task ID
  execute  Specify a execute-type task ID
  read     Specify a read-type task ID
  write    Specify a read-write-type task ID
 
RP/0/RSP1/CPU0:ASR9k(config-tg)#task read aaa
RP/0/RSP1/CPU0:ASR9k(config-tg)#task write aaa
RP/0/RSP1/CPU0:ASR9k(config-tg)#task execute aaa
RP/0/RSP1/CPU0:ASR9k(config-tg)#task debug aaa
RP/0/RSP1/CPU0:ASR9k(config-tg)#task read acl
RP/0/RSP1/CPU0:ASR9k(config-tg)#task write acl
RP/0/RSP1/CPU0:ASR9k(config-tg)#task execute acl
RP/0/RSP1/CPU0:ASR9k(config-tg)#commit
 
RP/0/RSP1/CPU0:ASR9k#show aaa taskgroup TAC-Defined-TASK
Task group 'TAC-Defined-TASK'
 
Task IDs included directly by this group:
Task:                  aaa  : READ    WRITE    EXECUTE    DEBUG
Task:                  acl  : READ    WRITE    EXECUTE         
 
Task group 'TAC-Defined-TASK' has the following combined set
  of task IDs (including all inherited groups):
Task:                  aaa  : READ    WRITE    EXECUTE    DEBUG
Task:                  acl  : READ    WRITE    EXECUTE

    Si usted no está seguro cómo encontrar qué Grupo de tareas y permiso es con certeza comando necesario, usted puede utilizar describe el comando de encontrarlo. Aquí tiene un ejemplo:

    Ejemplo 1: 

     
RP/0/RSP1/CPU0:ASR9k#describe show aaa usergroup
Package:
.....
User needs ALL of the following taskids: 
 
aaa (READ)
RP/0/RSP1/CPU0:ASR9k#

    Para permitir que un usuario ejecute al grupo de usuarios aaa del comando show, usted necesita permitir esta línea en el Grupo de tareas:

    la tarea leyó el aaa

    Ejemplo 2:  

    RP/0/RSP1/CPU0:ASR9k(config)#describe aaa authentication login default group tacacs+
Package:
.....
User needs ALL of the following taskids:
 
aaa (READ WRITE)
RP/0/RSP1/CPU0:ASR9k(config)#

    Para permitir que un usuario dirija el grupo predeterminado tacacs+ del comando aaa authentication login del modo de configuración, usted necesita permitir esta línea en el Grupo de tareas:

    tarea aaa de lectura/grabación

    Usted puede definir al grupo de usuarios que puede importa varios Grupos de tareas. Aquí está el ejemplo de configuración:

    RP/0/RSP1/CPU0:ASR9k#show aaa usergroup TAC-Defined
Tue Feb 16 00:50:56.799 UTC
User group 'TAC-Defined'
  Inherits from task group 'operator'
 
User group 'TAC-Defined' has the following combined set
  of task IDs (including all inherited groups):
Task:       basic-services  : READ    WRITE    EXECUTE    DEBUG
Task:                  cdp  : READ                             
Task:                 diag  : READ                             
Task:           ext-access  : READ             EXECUTE         
Task:              logging  : READ                             
 
RP/0/RSP1/CPU0:ASR9k#conf t
RP/0/RSP1/CPU0:ASR9k(config)#usergroup TAC-Defined
RP/0/RSP1/CPU0:ASR9k(config-ug)#taskgroup TAC-Defined-TASK
RP/0/RSP1/CPU0:ASR9k(config-ug)#commit
 
RP/0/RSP1/CPU0:ASR9k#show aaa usergroup TAC-Defined
Tue Feb 16 00:51:31.494 UTC
User group 'TAC-Defined'
  Inherits from task group 'operator'
  Inherits from task group 'TAC-Defined-TASK'
 
User group 'TAC-Defined' has the following combined set
  of task IDs (including all inherited groups):
Task:                  aaa  : READ    WRITE    EXECUTE    DEBUG
Task:                  acl  : READ    WRITE    EXECUTE         
Task:       basic-services  : READ    WRITE    EXECUTE    DEBUG
Task:                  cdp  : READ                             
Task:                 diag  : READ                             
Task:           ext-access  : READ             EXECUTE         
Task:              logging  : READ

    Configuración AAA en el router

    Defina a un servidor TACACS en el router:

    Aquí usted define la dirección IP del servidor ACS como el TACACS-servidor con Cisco dominante

     
RP/0/RSP1/CPU0:ASR9k(config)#tacacs-server host 10.106.73.233 port 49
RP/0/RSP1/CPU0:ASR9k(config-tacacs-host)#key 0 cisco
RP/0/RSP1/CPU0:ASR9k(config-tacacs-host)#commit
 
!
tacacs-server host 10.106.73.233 port 49
key 7 14141B180F0B
!

    Señale la autenticación y la autorización al servidor TACACS externo.

    #aaa authentication login default group tacacs+ local
#aaa authorization exec default group tacacs+ local

    Authorisation(optional) del comando:

    #aaa authorization commands default group tacacs+

    Señale las estadísticas al servidor externo (opcional). 

    #aaa accounting commands default start-stop group tacacs+
#aaa accounting update newinfo

    Configuración de servidor ACS

    Paso 1. Para definir al router que el IP en los clientes AAA enumera en el servidor ACS, que navegue a los recursos de red > a los dispositivos de red y a los clientes AAA, tal y como se muestra en de la imagen. En este ejemplo, usted define Cisco como secreto compartido como está configurado en el ASR. 

    Paso 2. Defina a los grupos de usuarios según su requisito, en el ejemplo, tal y como se muestra en de esta imagen, usted utilizan a cuatro grupos.

    Paso 3. Tal y como se muestra en de la imagen, cree a los usuarios y asocíelos al grupo de usuarios respectivo creado arriba.

    Note: En este ejemplo, utilizan a los usuarios internos ACS para la autenticación, si usted quiere utilizar a los usuarios creados en la identidad externa le salva puede utilizarlos también. En este ejemplo, no cubren a los usuarios externos de la fuente de la identidad.

    Paso 4. Defina el perfil del shell que usted quiere avanzar para los usuarios respectivos.

      

    En el perfil ya creado del shell, usted configura para avanzar los Grupos de tareas respectivos tal y como se muestra en de la imagen.

    Paso 5. Defina la política de acceso. La autenticación se hace contra los usuarios internos.

    Paso 6. Configure la autorización basada en el requisito usando los grupos previamente creados de la Identificación del usuario y asocie los perfiles respectivos del shell, tal y como se muestra en de la imagen.

    Verificación

    Operador

     Para iniciar sesión, se utiliza el asrread del nombre de usuario. Éstos son los Comandos de verificación. 

    username: ASRread
password:
 
RP/0/RSP1/CPU0:ASR9k#show user
ASRread
 
RP/0/RSP1/CPU0:ASR9k#show user group
operator
 
RP/0/RSP1/CPU0:ASR9k#show user tasks
Task:       basic-services  : READ    WRITE    EXECUTE    DEBUG
Task:                  cdp  : READ                             
Task:                 diag  : READ                             
Task:           ext-access  : READ             EXECUTE         
Task:              logging  : READ

    Operador con el AAA

    Para iniciar sesión, se utiliza el asraaa del nombre de usuario. Éstos son los Comandos de verificación.

    Note: el asraaa es la tarea del operador avanzada del servidor TACACS junto con la tarea aaa de lectura/grabación y ejecuta los permisos. 

    username: asraaa
password:
 
RP/0/RSP1/CPU0:ASR9k#sh user
asraaa
 
RP/0/RSP1/CPU0:ASR9k#sh user group
operator
 
RP/0/RSP1/CPU0:ASR9k#sh user tasks
Task:                  aaa  : READ    WRITE    EXECUTE         
Task:       basic-services  : READ    WRITE    EXECUTE    DEBUG
Task:                  cdp  : READ                             
Task:                 diag  : READ                             
Task:           ext-access  : READ             EXECUTE         
Task:              logging  : READ

    Sysadmin

    Para iniciar sesión, se utiliza el asrwrite del nombre de usuario. Éstos son los Comandos de verificación.

    username: asrwrite
password:
 
RP/0/RSP1/CPU0:ASR9k#sh user
asrwrite
 
RP/0/RSP1/CPU0:ASR9k#sh user group
sysadmin
 
RP/0/RSP1/CPU0:ASR9k#sh user tasks
Task:                  aaa  : READ                             
Task:                  acl  : READ    WRITE    EXECUTE    DEBUG
Task:                admin  : READ                             
Task:                 ancp  : READ                             
Task:                  atm  : READ                             
Task:       basic-services  : READ    WRITE    EXECUTE    DEBUG
Task:                 bcdl  : READ                             
Task:                  bfd  : READ                             
Task:                  bgp  : READ                             
Task:                 boot  : READ    WRITE    EXECUTE    DEBUG
Task:               bundle  : READ                             
Task:            call-home  : READ                             
Task:                  cdp  : READ    WRITE    EXECUTE    DEBUG
Task:                  cef  : READ                             
Task:                  cgn  : READ                             
Task:          config-mgmt  : READ    WRITE    EXECUTE    DEBUG
Task:      config-services  : READ    WRITE    EXECUTE    DEBUG
Task:               crypto  : READ    WRITE    EXECUTE    DEBUG
Task:                 diag  : READ    WRITE    EXECUTE    DEBUG
Task:              drivers  : READ                             
Task:                 dwdm  : READ                             
Task:                  eem  : READ    WRITE    EXECUTE    DEBUG
Task:                eigrp  : READ                             
Task:    ethernet-services  : READ                             
--More--
(output omitted )

    Raíz-sistema

    Para iniciar sesión, se utiliza el asrroot del nombre de usuario. Éstos son los Comandos de verificación.

    username: asrroot
password:
 
RP/0/RSP1/CPU0:ASR9k#show user
asrroot
 
RP/0/RSP1/CPU0:ASR9k#show user group
root-system
 
RP/0/RSP1/CPU0:ios#show user tasks
Task:                  aaa  : READ    WRITE    EXECUTE    DEBUG
Task:                  acl  : READ    WRITE    EXECUTE    DEBUG
Task:                admin  : READ    WRITE    EXECUTE    DEBUG
Task:                 ancp  : READ    WRITE    EXECUTE    DEBUG
Task:                  atm  : READ    WRITE    EXECUTE    DEBUG
Task:       basic-services  : READ    WRITE    EXECUTE    DEBUG
Task:                 bcdl  : READ    WRITE    EXECUTE    DEBUG
Task:                  bfd  : READ    WRITE    EXECUTE    DEBUG
Task:                  bgp  : READ    WRITE    EXECUTE    DEBUG
Task:                 boot  : READ    WRITE    EXECUTE    DEBUG
Task:               bundle  : READ    WRITE    EXECUTE    DEBUG
Task:            call-home  : READ    WRITE    EXECUTE    DEBUG
Task:                  cdp  : READ    WRITE    EXECUTE    DEBUG
Task:                  cef  : READ    WRITE    EXECUTE    DEBUG
Task:                  cgn  : READ    WRITE    EXECUTE    DEBUG
Task:          config-mgmt  : READ    WRITE    EXECUTE    DEBUG
Task:      config-services  : READ    WRITE    EXECUTE    DEBUG
Task:               crypto  : READ    WRITE    EXECUTE    DEBUG
Task:                 diag  : READ    WRITE    EXECUTE    DEBUG
Task:              drivers  : READ    WRITE    EXECUTE    DEBUG
Task:                 dwdm  : READ    WRITE    EXECUTE    DEBUG
Task:                  eem  : READ    WRITE    EXECUTE    DEBUG
Task:                eigrp  : READ    WRITE    EXECUTE    DEBUG
--More--
(output omitted )

    Troubleshooting

    Usted puede verificar el informe ACS de la supervisión y de la página de la información. Tal y como se muestra en de la imagen, usted puede hacer clic en el sumbol de la lupa para ver el informe detallado. 

    Éstos son algunos comandos útiles de resolver problemas en el ASR: 

    • muestre al usuario
    • muestre al grupo de usuarios
    • muestre las tareas del usuario
    • muestre al usuario todo
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • C Hegde de Prakash
      Ingeniero de Cisco TAC

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos