Questo documento fornisce una compilazione di attributi che diversi prodotti Cisco e non Cisco si aspettano di ricevere da un server di autenticazione, autorizzazione e accounting (AAA); in questo caso, il server AAA è un server di controllo di accesso (ACS). L'ACS può restituire questi attributi insieme a un Access-Accept come parte di un profilo di shell (TACACS+) o di un profilo di autorizzazione (RADIUS).
In questo documento vengono fornite istruzioni dettagliate sull'aggiunta di attributi personalizzati ai profili shell e ai profili di autorizzazione. Questo documento contiene anche un elenco di dispositivi e gli attributi TACACS+ e RADIUS che i dispositivi si aspettano vengano restituiti dal server AAA. Tutti gli argomenti includono esempi.
L'elenco degli attributi fornito in questo documento non è esaustivo né autorevole e può essere modificato in qualsiasi momento senza un aggiornamento del presente documento.
Nessun requisito specifico previsto per questo documento.
Il riferimento delle informazioni contenute in questo documento è la versione 5.2/5.3 di ACS.
Fare riferimento a Cisco Technical Tips Conventions per ulteriori informazioni sulle convenzioni dei documenti.
Un profilo shell è un contenitore di autorizzazioni di base per l'accesso basato su TACACS+. È possibile specificare gli attributi e i valori degli attributi TACACS+ da restituire con Access-Accept, oltre al livello di privilegio Cisco® IOS, al timeout della sessione e ad altri parametri.
Completare questi passaggi per aggiungere attributi personalizzati a un nuovo profilo shell:
Accedere all'interfaccia ACS.
Passare a Elementi dei criteri > Autorizzazioni e autorizzazioni > Amministrazione dispositivi > Profili shell.
Fare clic sul pulsante Crea.
Assegnare un nome al profilo della shell.
Fare clic sulla scheda Attributi personalizzati.
Immettere il nome dell'attributo nel campo Attributo.
Scegliere se il requisito è obbligatorio o facoltativo dall'elenco a discesa Requisito.
Lasciare l'elenco a discesa per il valore dell'attributo impostato su Static. Se il valore è statico, è possibile immetterlo nel campo successivo. Se il valore è dinamico, non è possibile immettere l'attributo manualmente, ma l'attributo viene mappato a un attributo in uno degli archivi identità.
Immettere il valore dell'attributo nell'ultimo campo.
Per aggiungere la voce alla tabella, fare clic sul pulsante Add (Aggiungi).
Ripetere l'operazione per configurare tutti gli attributi necessari.
Fare clic sul pulsante Invia nella parte inferiore della schermata.
Dispositivo: Application Control Engine (ACE)
Attributo/i: shell:<nome-contesto>
Valore/i: <Nome-ruolo> <Nome-dominio1>
Utilizzo: il ruolo e il dominio sono separati da uno spazio. È possibile configurare un utente (ad esempio, USER1) in modo che gli vengano assegnati un ruolo (ad esempio, ADMIN) e un dominio (ad esempio, MYDOMAIN) quando l'utente accede a un contesto (ad esempio, C1).
Un profilo di autorizzazione è un contenitore di autorizzazioni di base per l'accesso basato su RADIUS. È possibile specificare gli attributi RADIUS e i valori degli attributi da restituire con Access-Accept, oltre alle VLAN, agli Access Control Lists (ACL) e ad altri parametri.
Per aggiungere attributi personalizzati a un nuovo profilo di autorizzazione, completare la procedura seguente:
Accedere all'interfaccia ACS.
Passare a Elementi criteri > Autorizzazioni e autorizzazioni > Accesso alla rete > Profili di autorizzazione.
Fare clic sul pulsante Crea.
Denominare il profilo di autorizzazione.
Fare clic sulla scheda Attributi RADIUS.
Selezionare un dizionario dal menu a discesa Tipo di dizionario.
Per impostare l'attributo di selezione per il campo Attributo RADIUS, fare clic sul pulsante Seleziona. Viene visualizzata una nuova finestra.
Esaminare gli attributi disponibili, effettuare la selezione e fare clic su OK. Il valore Tipo di attributo viene impostato per impostazione predefinita in base alla selezione dell'attributo appena effettuata.
Lasciare l'elenco a discesa per il valore dell'attributo impostato su Static. Se il valore è statico, è possibile immetterlo nel campo successivo. Se il valore è dinamico, non è possibile immettere l'attributo manualmente, ma l'attributo viene mappato a un attributo in uno degli archivi identità.
Immettere il valore dell'attributo nell'ultimo campo.
Per aggiungere la voce alla tabella, fare clic sul pulsante Add (Aggiungi).
Ripetere l'operazione per configurare tutti gli attributi necessari.
Fare clic sul pulsante Invia nella parte inferiore della schermata.
Dispositivo: ACE
Attributo/i: cisco-av-pair
Valore/i: shell:<nome-contesto>=<nome-ruolo> <nome-dominio1> <nome-dominio2>
Sintassi: ogni valore dopo il segno di uguale è separato da uno spazio. È possibile configurare un utente (ad esempio, USER1) in modo che gli vengano assegnati un ruolo (ad esempio, ADMIN) e un dominio (ad esempio, MYDOMAIN) quando l'utente accede a un contesto (ad esempio, C1).
RADIUS (profilo di autorizzazione)
Attributo/i: cisco-av-pair
Valore/i: shell:tasks="#<nome-ruolo>,<autorizzazione>:<processo>"
Sintassi: impostare i valori di <nome-ruolo> sul nome di un ruolo definito localmente sul router. La gerarchia dei ruoli può essere descritta in termini di struttura ad albero, dove il ruolo #root si trova nella parte superiore della struttura ad albero e il ruolo #leaf aggiunge comandi aggiuntivi. Questi due ruoli possono essere combinati e restituiti se: shell:tasks="#root,#leaf".
È inoltre possibile passare le autorizzazioni a un singolo processo, in modo da concedere a un utente i privilegi di lettura, scrittura ed esecuzione per determinati processi. Ad esempio, per concedere a un utente i privilegi di lettura e scrittura per il processo bgp, impostare il valore su: shell:tasks="#root,rw:bgp". L'ordine degli attributi non è rilevante. Il risultato è lo stesso indipendentemente dal fatto che il valore sia impostato su shell:tasks="#root,rw:bgp" o su shell:tasks="rw:bgp,#root".
Esempio - Aggiungere l'attributo a un profilo di autorizzazioneTipo di dizionario | Attributo RADIUS | Tipo di attributo | Valore attributo |
---|---|---|---|
RADIUS-Cisco | cisco-av-pair |
Stringa | shell:tasks="#root,#leaf,rwx:bgp,r:ospf" |
TACACS+ (profilo shell)
Attributo/i: shell:<nome-contesto>
Valore/i: <Nome-ruolo> <Nome-dominio1>
Utilizzo: il ruolo e il dominio sono separati da uno spazio. È possibile configurare un utente (ad esempio, USER1) in modo che gli vengano assegnati un ruolo (ad esempio, ADMIN) e un dominio (ad esempio, MYDOMAIN) quando l'utente accede a un contesto (ad esempio, C1).
Esempio - Aggiungere l'attributo a un profilo di shellAttributo | Requisito | Valore attributo |
---|---|---|
shell:C1 |
Obbligatorio | Admin MYDOMAIN |
Se USER1 esegue l'accesso tramite il contesto C1, a tale utente vengono automaticamente assegnati il ruolo ADMIN e il dominio MYDOMAIN, a condizione che sia stata configurata una regola di autorizzazione alla quale, dopo l'accesso USER1, viene assegnato questo profilo di autorizzazione.
Se l'utente USER1 esegue l'accesso in un contesto diverso, che non viene restituito nel valore dell'attributo che l'ACS invia indietro, a tale utente viene automaticamente assegnato il ruolo predefinito (Network-Monitor) e il dominio predefinito (default-domain).
RADIUS (profilo di autorizzazione)
Attributo/i: cisco-av-pair
Valore/i: shell:<nome-contesto>=<nome-ruolo> <nome-dominio1> <nome-dominio2>
Sintassi: ogni valore dopo il segno di uguale è separato da uno spazio. È possibile configurare un utente (ad esempio, USER1) in modo che gli venga assegnato un ruolo (ad esempio, ADMIN) e un dominio (ad esempio, MYDOMAIN) quando l'utente accede a un contesto (ad esempio, C1).
Esempio - Aggiungere l'attributo a un profilo di autorizzazioneTipo di dizionario | Attributo RADIUS | Tipo di attributo | Valore attributo |
---|---|---|---|
RADIUS-Cisco | cisco-av-pair |
Stringa | shell:C1=ADMIN MYDOMAIN |
Se USER1 esegue l'accesso tramite il contesto C1, a tale utente vengono automaticamente assegnati il ruolo ADMIN e il dominio MYDOMAIN, a condizione che sia stata configurata una regola di autorizzazione alla quale, dopo l'accesso USER1, viene assegnato questo profilo di autorizzazione.
Se l'utente USER1 esegue l'accesso in un contesto diverso, che non viene restituito nel valore dell'attributo che l'ACS invia indietro, a tale utente viene automaticamente assegnato il ruolo predefinito (Network-Monitor) e il dominio predefinito (default-domain).
RADIUS (profilo di autorizzazione)
Attributo/i: Packet-AVPair
Valore/i: access=<livello>
Sintassi: <livello> è il livello di accesso da concedere. L'accesso tramite tocco equivale alla lettura/scrittura, mentre l'accesso tramite look equivale alla sola lettura.
Per impostazione predefinita, la VSA BlueCoat non esiste nei dizionari ACS. Per utilizzare l'attributo BlueCoat in un profilo di autorizzazione, è necessario creare un dizionario BlueCoat e aggiungervi gli attributi BlueCoat.
Creare il dizionario:
Passare a Amministrazione sistema > Configurazione > Dizionari > Protocolli > RADIUS > RADIUS VSA.
Fare clic su Crea.
Immettere i dettagli del dizionario:
Nome: BlueCoat
ID fornitore: 2334
Prefisso attributo: Packeteer-
Fare clic su Invia.
Creare un attributo nel nuovo dizionario:
Selezionare Amministrazione sistema > Configurazione > Dizionari > Protocolli > RADIUS > RADIUS VSA > BlueCoat.
Fare clic su Crea.
Immettere i dettagli dell'attributo:
Attributo: Packeteer-AVPair
Descrizione: utilizzato per specificare il livello di accesso.
ID attributo fornitore: 1
Direzione: IN USCITA
Multiplo consentito: False
Includi attributo nel registro: selezionato
Tipo di attributo: String
Fare clic su Invia.
Tipo di dizionario | Attributo RADIUS | Tipo di attributo | Valore attributo |
---|---|---|---|
RADIUS-BlueCoat | Packeteer-AVPair |
Stringa | access=look |
Tipo di dizionario | Attributo RADIUS | Tipo di attributo | Valore attributo |
---|---|---|---|
RADIUS-BlueCoat | Packeteer-AVPair |
Stringa | access=touch |
RADIUS (profilo di autorizzazione)
Attributo/i: Tunnel-Private-Group-ID
Valore/i: U:<VLAN1>; T:<VLAN2>
Sintassi: impostare <VLAN1> sul valore della VLAN dati. Impostare <VLAN2> sul valore della VLAN vocale. Nell'esempio, la VLAN dati è la VLAN 10 e la VLAN voce è la VLAN 21.
Esempio - Aggiungere l'attributo a un profilo di autorizzazioneTipo di dizionario | Attributo RADIUS | Tipo di attributo | Valore attributo |
---|---|---|---|
RADIUS-IETF | Tunnel-Private-Group-ID |
Stringa con tag | U:10;T:21 |
RADIUS (profilo di autorizzazione)
Attributo/i: cisco-av-pair
Valore/i: fndn:groups=<nome-gruppo>
Sintassi: <nome-gruppo> è il nome del gruppo con i privilegi che si desidera concedere all'utente. Questo gruppo deve essere configurato su Cisco Unity Express (CUE).
Esempio - Aggiungere l'attributo a un profilo di autorizzazioneTipo di dizionario | Attributo RADIUS | Tipo di attributo | Valore attributo |
---|---|---|---|
RADIUS-Cisco | cisco-av-pair |
Stringa | fndn:groups=Administrators |
RADIUS (profilo di autorizzazione)
Attributo/i: Infoblox-Group-Info
Valore/i: <nome-gruppo>
Sintassi: <nome-gruppo> è il nome del gruppo con i privilegi che si desidera concedere all'utente. Questo gruppo deve essere configurato nel dispositivo Infoblox. In questo esempio di configurazione, il nome del gruppo è MyGroup.
Per impostazione predefinita, la VSA di Infoblox non esiste nei dizionari ACS. Per utilizzare l'attributo Infoblox in un profilo di autorizzazione, è necessario creare un dizionario di Infoblox e aggiungere gli attributi a tale dizionario.
Creare il dizionario:
Passare a Amministrazione sistema > Configurazione > Dizionari > Protocolli > RADIUSS > RADIUS VSA.
Fare clic su Crea.
Fare clic sulla piccola freccia accanto a Usa opzioni avanzate fornitore.
Immettere i dettagli del dizionario:
Nome: Infoblox
ID fornitore: 7779
Dimensione campo lunghezza fornitore: 1
Dimensione campo tipo fornitore: 1
Fare clic su Invia.
Creare un attributo nel nuovo dizionario:
Selezionare Amministrazione sistema > Configurazione > Dizionari > Protocolli > RADIUS > RADIUS VSA > Infoblox.
Fare clic su Crea.
Immettere i dettagli dell'attributo:
Attributo: Infoblox-Group-Info
ID attributo fornitore: 009
Direzione: IN USCITA
Multiplo consentito: False
Includi attributo nel registro: selezionato
Tipo di attributo: String
Fare clic su Invia.
Tipo di dizionario | Attributo RADIUS | Tipo di attributo | Valore attributo |
---|---|---|---|
RADIUS-Infoblox | Infoblox-Group-Info |
Stringa | MyGroup |
RADIUS (profilo di autorizzazione)
Attributo/i: ips-role
Valore/i: <nome ruolo>
Utilizzo: il valore <nome ruolo> può corrispondere a uno dei quattro ruoli utente IPS (Intrusion Prevention System): visualizzatore, operatore, amministratore o servizio. Per i dettagli sulle autorizzazioni concesse a ciascun tipo di ruolo utente, consultare la guida alla configurazione della propria versione di IPS.
Guida alla configurazione di Cisco Intrusion Prevention System Device Manager per IPS 7.0
Guida alla configurazione di Cisco Intrusion Prevention System Device Manager per IPS 7.1
Tipo di dizionario | Attributo RADIUS | Tipo di attributo | Valore attributo |
---|---|---|---|
RADIUS-Cisco | cisco-av-pair |
Stringa | ips-role:administrator |
TACACS+ (profilo shell)
Attributi: allow-commands ; allow-configuration ; local-user-name ; deny-commands ; deny-configuration; user-permissions
Valore/i: <allow-commands-regex> ; <allow-configuration-regex> ; <local-username> ; <deny-commands-regex> ; <deny-configuration-regex>
Sintassi: impostare il valore di <local-username>, ovvero il valore dell'attributo local-user-name, su un nome utente esistente localmente nel dispositivo Juniper. Ad esempio, è possibile configurare un utente (ad esempio, USER1) in modo che gli venga assegnato lo stesso modello utente di un utente (ad esempio, JUSER) che esiste localmente sul dispositivo Juniper quando si imposta il valore dell'attributo local-user-name su JUSER. I valori degli attributi allow-commands, allow-configuration, deny-commands e deny-configuration possono essere immessi in formato regex. I valori impostati per questi attributi sono in aggiunta ai comandi della modalità operativa/di configurazione autorizzati dai bit delle autorizzazioni della classe di accesso dell'utente.
Esempio - Aggiunta di attributi a un profilo di guscio 1Attributo | Requisito | Valore attributo |
---|---|---|
allow-commands |
Facoltativo | "(request system) | (show rip neighbor)" |
allow-configuration |
Facoltativo | |
local-user-name |
Facoltativo | sales |
deny-commands |
Facoltativo | "<^clear" |
deny-configuration |
Facoltativo |
Attributo | Requisito | Valore attributo |
---|---|---|
allow-commands |
Facoltativo | "monitor | help | show | ping | traceroute" |
allow-configuration |
Facoltativo | |
local-user-name |
Facoltativo | engineering |
deny-commands |
Facoltativo | "configure" |
deny-configuration |
Facoltativo |
RADIUS (profilo di autorizzazione)
Attributo/i: cisco-av-pair
Valore/i: shell:roles="<ruolo1> <ruolo2>"
Sintassi: impostare i valori di <ruolo1> e <ruolo2> sui nomi dei ruoli definiti localmente sullo switch. Quando si aggiungono più ruoli, separarli con uno spazio. Quando più ruoli vengono passati dal server AAA allo switch Nexus, il risultato è che l'utente ha accesso ai comandi definiti dall'unione di tutti e tre i ruoli.
I ruoli predefiniti sono definiti in Configurazione degli account utente e RBAC.
Esempio - Aggiungere l'attributo a un profilo di autorizzazioneTipo di dizionario | Attributo RADIUS | Tipo di attributo | Valore attributo |
---|---|---|---|
RADIUS-Cisco | cisco-av-pair |
Stringa | shell:roles="network-admin vdc-admin vdc-operator" |
TACACS+ (profilo shell)
Attributo/i: service ; local-user-name
Valore/i: rbt-exec ; <username>
Utilizzo: per concedere all'utente l'accesso in sola lettura, il valore <username> deve essere impostato su monitor. Per concedere all'utente l'accesso in lettura/scrittura, il valore <username> deve essere impostato su admin. Se oltre ad admin e monitor è stato definito un altro account, configurare il nome da restituire.
Esempio - Aggiunta di attributi a un profilo di shell (per l'accesso in sola lettura)Attributo | Requisito | Valore attributo |
---|---|---|
service |
Obbligatorio | rbt-exec |
local-user-name |
Obbligatorio | monitor |
Attributo | Requisito | Valore attributo |
---|---|---|
service |
Obbligatorio | rbt-exec |
local-user-name |
Obbligatorio | admin |
RADIUS (profilo di autorizzazione)
Attributo/i: Service-Type
Valore/i: amministrativo (6) / prompt NAS (7)
Utilizzo: per concedere all'utente l'accesso in lettura/scrittura al controller WLC (Wireless LAN Controller), il valore deve essere Amministrativo; per l'accesso in sola lettura, il valore deve essere Prompt NAS.
Per i dettagli, vedere Esempio di configurazione dell'autenticazione server RADIUS degli utenti di gestione su controller WLC (Wireless LAN Controller)
Esempio - Aggiungere l'attributo a un profilo di autorizzazione (per l'accesso in sola lettura)Tipo di dizionario | Attributo RADIUS | Tipo di attributo | Valore attributo |
---|---|---|---|
RADIUS-IETF | Service-Type |
Enumerazione | NAS-Prompt |
Tipo di dizionario | Attributo RADIUS | Tipo di attributo | Valore attributo |
---|---|---|---|
RADIUS-IETF | Service-Type |
Enumerazione | Administrative |
DCNM (Data Center Network Manager)
Dopo aver modificato il metodo di autenticazione, è necessario riavviare DCNM. In caso contrario, potrebbe assegnare il privilegio di operatore di rete anziché quello di amministratore di rete.
Ruolo DCNM | RADIUS Cisco-AV-Pair | Tacacs Cisco-AV-Pair |
---|---|---|
Utente | shell:roles = "network-operator" |
cisco-av-pair=shell:roles="network-operator" |
Amministratore | shell:roles = "network-admin" |
cisco-av-pair=shell:roles="network-admin" |
Revisione | Data di pubblicazione | Commenti |
---|---|---|
1.0 |
22-Jan-2013 |
Versione iniziale |