Inleiding
Dit document beschrijft hoe u de integratie van Cisco Wide Area Application Services (WAAS) kunt configureren met Cisco Access Control Server (ACS) versie 5.x . Wanneer geconfigureerd volgens de stappen in dit document, kunnen gebruikers via ACS authenticeren naar WAAS met TACACS+ referenties.
Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Cisco Secure ACS-versie 5.x
- Cisco WAAS
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Configureren
ACS configureren
- Als u een AAA-client wilt definiëren op ACS versie 5.x, navigeert u naar Network Resources > Network Devices en AAA Clients. Configureer de AAA-client met een beschrijvende naam, één IP-adres en een gedeelde geheime sleutel voor TACACS+.

- Om een Shell-profiel te definiëren, navigeer je naar Policy Elements > Authorisation and Permissions > Device Administration > Shell Profiles. In dit voorbeeld wordt een nieuw shell-profiel, WAAS_Attribute genaamd, geconfigureerd. Dit douaneattribuut wordt verzonden naar WAAS, dat het toestaat om te concluderen welke gebruikersgroep de beheerdergroep is. Configureer deze aangepaste kenmerken:
- Het kenmerk is waas_rbac_groups.
- Het voorschrift is facultatief zodat het geen andere apparatuur stoort.
- De waarde is de naam van de groep die administratieve toegang (Testgroep) moet worden toegewezen.

- Om een opdrachtset te definiëren waarmee alle opdrachten kunnen worden uitgevoerd, navigeer je naar Policy Elements > Authorisation and Permissions > Device Administration > Command Sets.
- Bewerk de opdrachtset Permit_All.
- Als u de Permit-opdracht controleert die niet in de onderstaande tabel aanvinkvakje staat, krijgt de gebruiker volledige rechten.

Opmerking: omdat dit voorbeeld TACACS gebruikt, is de standaard geselecteerde service standaard apparaatbeheer.
- Om de identiteit naar de juiste identiteitsbron te wijzen, navigeer naar Access Policies > Access Services > Default Device Admin > Identity. Als de gebruiker in de lokale ACS-database bestaat, selecteert u Interne Gebruikers. Als de gebruiker in de Active Directory aanwezig is, selecteert u het ingestelde identiteitsarchief (AD1 in dit voorbeeld).

- Als u een autorisatieregel wilt maken, navigeer dan naar Toegangsbeleid >Toegangsservices > Default Device Admin > Autorisatie. Maak een nieuw autorisatiebeleid, genaamd WAAS-autorisatie. Dit controleert verzoeken van WAAS. In dit voorbeeld wordt het apparaat IP als voorwaarde gebruikt. Dit kan echter worden gewijzigd op basis van de implementatievereisten. Pas de shell profiel en de bevelreeksen toe die in Stappen 2 en 3 in deze sectie worden gevormd.

Configuratie op WAAS
- Om een TACACS+ server te definiëren, navigeer je naar Apparaten > <Central Manager System Name> > Configure > Security > AAA > TACACS+. Configureer het IP-adres van de ACS-server en de vooraf gedeelde sleutel.

- Als u de verificatie- en autorisatiemethoden wilt wijzigen, navigeert u naar Apparaten > <Central Manager System Name> > Configure > Security > AAA > Verificatiemethoden. In deze screenshot wordt de primaire inlogmethode geconfigureerd voor lokaal met de secundaire methode geconfigureerd voor TACACS+.

- Navigeer naar startpunt > Beheerder > AAA > Gebruikersgroepen om de groepsnaam toe te voegen die overeenkomt met de aangepaste waarde van attributen (zie Stap 2 in de sectie ACS configureren) in WAAS.

- Wijs deze groep (Test_Group) rechten op beheerniveau toe op startpunt > Beheerder > AAA > Gebruikersgroepen tabblad Rollenbeheer. De beheerdersrol op de Central Manager is vooraf ingesteld.

Verifiëren
Probeer in te loggen op WAAS met TACACS+ referenties. Als alles goed is ingesteld, krijgt u toegang.
Problemen oplossen
Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.