Introduction
Ce document décrit comment configurer l'intégration de Cisco Wide Area Application Services (WAAS) avec Cisco Access Control Server (ACS) version 5.x . Lorsqu'ils sont configurés conformément aux étapes de ce document, les utilisateurs peuvent s'authentifier auprès de WAAS avec des informations d'identification TACACS+ via ACS.
Conditions préalables
Conditions requises
Aucune spécification déterminée n'est requise pour ce document.
Components Used
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- Cisco Secure ACS version 5.x
- Cisco WAAS
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Configuration
Configurer ACS
- Afin de définir un client AAA sur ACS version 5.x, accédez à Ressources réseau > Périphériques réseau et clients AAA. Configurez le client AAA avec un nom descriptif, une adresse IP unique et une clé secrète partagée pour TACACS+.

- Afin de définir un profil Shell, accédez à Eléments de stratégie > Autorisation et autorisations > Administration des périphériques > Profils Shell. Dans cet exemple, un nouveau profil de shell appelé WAAS_Attribute est configuré. Cet attribut personnalisé est envoyé au WAAS, ce qui lui permet de déduire quel groupe d'utilisateurs est le groupe d'administrateurs. Configurez ces attributs personnalisés :
- L'attribut est waas_rbac_groups.
- La condition est facultative afin qu'elle ne perturbe aucun autre périphérique.
- La valeur est le nom du groupe auquel l'accès administratif doit être affecté (Groupe de tests).

- Afin de définir un jeu de commandes pour autoriser toutes les commandes, accédez à Eléments de stratégie > Autorisation et autorisations > Administration des périphériques > Jeux de commandes.
- Modifiez le jeu de commandes Permit_All.
- Si vous cochez la case Autoriser toute commande qui ne figure pas dans le tableau ci-dessous, l'utilisateur bénéficie de tous les privilèges.

Note: Comme cet exemple utilise TACACS, le service par défaut sélectionné est admin du périphérique par défaut.
- Afin de pointer l'identité vers la source d'identité correcte, naviguez jusqu'à Access Policies > Access Services > Default Device Admin > Identity. Si l'utilisateur existe dans la base de données ACS locale, sélectionnez Utilisateurs internes. Si l'utilisateur existe dans Active Directory, sélectionnez le magasin d'identité configuré (AD1 dans cet exemple).

- Afin de créer une règle d'autorisation, accédez à Politiques d'accès >Services d'accès > Admin périphérique par défaut > Autorisation. Créez une nouvelle stratégie d'autorisation appelée Autorisation WAAS. Cette opération recherche les demandes de WAAS. Dans cet exemple, l'adresse IP du périphérique est utilisée comme condition. Cependant, cela peut être modifié en fonction des besoins de déploiement. Appliquez le profil de l'interpréteur de commandes et les jeux de commandes configurés aux étapes 2 et 3 de cette section.

Configuration sur WAAS
- Afin de définir un serveur TACACS+, accédez à Périphériques > <Nom système du gestionnaire central> > Configurer > Sécurité > AAA > TACACS+. Configurez l'adresse IP du serveur ACS et la clé pré-partagée.

- Afin de modifier les méthodes d'authentification et d'autorisation, accédez à Périphériques > <Nom système du gestionnaire central> > Configurer > Sécurité > AAA > Méthodes d'authentification. Dans cette capture d'écran, la méthode de connexion principale est configurée pour local avec la méthode secondaire configurée pour TACACS+.

- Accédez à Accueil > Admin > AAA > Groupes d'utilisateurs afin d'ajouter le nom de groupe qui correspond à la valeur d'attribut personnalisée (voir Étape 2 dans la section Configurer ACS) dans WAAS.

- Affectez les droits admin de ce groupe (Groupe_Test) dans l'onglet Accueil > Admin > AAA > User Groups Role Management. Le rôle d'administrateur du Gestionnaire central est préconfiguré.

Vérification
Essayez de vous connecter à WAAS avec les informations d'identification TACACS+. Si tout est configuré correctement, l'accès vous est accordé.
Dépannage
Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.