Configuratievoorbeeld van TACACS+ en RADIUS-kenmerken voor verschillende Cisco- en niet-Cisco-apparaten

Downloadopties

  • PDF     (445.4 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (246.2 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (205.5 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:15 maart 2013
Document-id:115926

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document biedt een verzameling attributen die verschillende Cisco- en niet-Cisco-producten verwachten te ontvangen van een verificatie-, autorisatie- en accounting (AAA) server. In dit geval is de AAA-server een Access Control Server (ACS). ACS kan deze eigenschappen samen met een Access-Accept als deel van een shell-profiel (TACACS+) of een autorisatieprofiel (RADIUS) retourneren.

Dit document bevat stap-voor-stap instructies over hoe u aangepaste kenmerken kunt toevoegen aan shell-profielen en autorisatieprofielen. Dit document bevat ook een lijst van apparaten en de eigenschappen TACACS+ en RADIUS die de apparaten verwachten om teruggekeerd van de server van de AAA te zien. Alle onderwerpen bevatten voorbeelden.

De lijst van eigenschappen in dit document is niet uitputtend of gezaghebbend en kan te allen tijde worden gewijzigd zonder dat dit document hoeft te worden bijgewerkt.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op ACS versie 5.2/5.3.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Een Shell-profiel maken (TACACS+)

Een shell-profiel is een basistoegangscontainer voor TACACS+-gebaseerde toegang. U kunt specificeren welke TACACS+ attributen en attributenwaarden met de toegang-Goedkeuring, naast het Cisco® IOS voorrecht niveau, zittingsonderbreking, en andere parameters zouden moeten worden teruggekeerd.

Voltooi deze stappen om aangepaste kenmerken toe te voegen aan een nieuw shell-profiel:

  1. Meld u aan bij de ACS-interface.

  2. Ga naar Policy Elements > Autorisatie en toegangsrechten > Apparaatbeheer > Shell-profielen.

  3. Klik op de knop Maken.

  4. Geef het shell profiel een naam.

  5. Klik op het tabblad Aangepaste kenmerken.

  6. Voer de naam van het kenmerk in het veld Kenmerk in.

  7. Kies of de eis verplicht is of optioneel uit de vervolgkeuzelijst Eis.

  8. Verlaat de vervolgkeuzelijst voor de attribuutwaarde ingesteld op Statisch. Als de waarde statisch is, kunt u de waarde in het volgende veld invoeren. Als de waarde dynamisch is, kunt u het attribuut niet handmatig invoeren; in plaats daarvan wordt het attribuut toegewezen aan een attribuut in een van de identiteitsopslag.

  9. Voer in het laatste veld de waarde van het kenmerk in.

  10. Klik op de knop Toevoegen om het item aan de tabel toe te voegen.

  11. Herhaal dit om alle gewenste eigenschappen in te stellen.

  12. Klik op de knop Verzenden onder op het scherm.

Configuratievoorbeeld

Apparaat: Application Control Engine (ACE)

Kenmerk(en): shell:<context-name>

Waarde(n): <Rol-naam> <domeinnaam1>

Gebruik: De rol en het domein worden gescheiden door een ruimtekarakter. U kunt een gebruiker (bijvoorbeeld USER1) configureren om een rol (bijvoorbeeld ADMIN) en een domein (bijvoorbeeld MYDOMAIN) toegewezen te krijgen wanneer de gebruiker zich aanmeldt bij een context (bijvoorbeeld C1).

tacacs-radius-devices-01.png

Een autorisatieprofiel (RADIUS) maken

Een autorisatieprofiel is een elementaire toegangscontainer voor RADIUS-gebaseerde toegang. U kunt specificeren welke RADIUS-kenmerken en -attribuutwaarden met de Access-Accept, naast de VLAN’s, toegangscontrolelijsten (ACL’s) en andere parameters moeten worden geretourneerd.

Voltooi deze stappen om aangepaste kenmerken aan een nieuw autorisatieprofiel toe te voegen:

  1. Meld u aan bij de ACS-interface.

  2. Ga naar Policy Elements > Autorisatie en toegangsrechten > Network Access > Autorisatieprofielen.

  3. Klik op de knop Maken.

  4. Geef het autorisatieprofiel een naam.

  5. Klik op het tabblad RADIUS-kenmerken.

  6. Selecteer een woordenboek in het vervolgkeuzemenu Woordenboektype.

  7. Klik op de knop Selecteren om het selectieteken voor het veld RADIUS-kenmerken in te stellen. Er verschijnt een nieuw venster.

  8. Bekijk de beschikbare attributen, maak uw selectie en klik op OK. De waarde Attributtype wordt standaard ingesteld op basis van de attribuutselectie die u zojuist hebt gemaakt.

  9. Verlaat de vervolgkeuzelijst voor de attribuutwaarde ingesteld op Statisch. Als de waarde statisch is, kunt u de waarde in het volgende veld invoeren. Als de waarde dynamisch is, kunt u het attribuut niet handmatig invoeren; in plaats daarvan wordt het attribuut toegewezen aan een attribuut in een van de identiteitsopslag.

  10. Voer in het laatste veld de waarde van het kenmerk in.

  11. Klik op de knop Toevoegen om het item aan de tabel toe te voegen.

  12. Herhaal dit om alle gewenste eigenschappen in te stellen.

  13. Klik op de knop Verzenden onder op het scherm.

Configuratievoorbeeld

Apparaat: ACE

Kenmerk(en): Cisco Av-paar

Waarde(n): shell:<context-name>=<Role-name> <domein-name1> <domein-name2>

Gebruik: Elke waarde na het gelijke teken wordt gescheiden door een ruimtekarakter. U kunt een gebruiker (bijvoorbeeld USER1) configureren om een rol (bijvoorbeeld ADMIN) en een domein (bijvoorbeeld MYDOMAIN) toegewezen te krijgen wanneer de gebruiker zich aanmeldt bij een context (bijvoorbeeld C1).

tacacs-radius-devices-02.png

Apparatenlijst

Aggregation Services routers (ASR)

RADIUS (autorisatieprofiel)

Kenmerk(en): Cisco Av-paar

Waarde(n): shell:task="#<role-name>,<permissie>:<process>"

Gebruik: Stel de waarden van <rol-name> in op de naam van een rol die lokaal op de router is gedefinieerd. De rolhiërarchie kan in termen van een boom worden beschreven, waar de rol #root bovenaan de boom is, en de rol #leaf extra bevelen toevoegt. Deze twee rollen kunnen worden gecombineerd en teruggegeven als: shell:task="#root,#leaf".

De rechten kunnen ook op een individuele procesbasis worden teruggegeven, zodat een gebruiker lees-, schrijf-, en uitvoerende voorrechten voor bepaalde processen kan worden verleend. Om een gebruiker bijvoorbeeld lees- en schrijfrechten voor het bgp-proces te verlenen, stelt u de waarde in op: shell:task="#root,rw:bgp". De volgorde van de eigenschappen is niet van belang; het resultaat is hetzelfde of de waarde is ingesteld op shell:task="#root,rw:bgp" of op shell:task="rw:bgp,#root".

Voorbeeld - Voeg het kenmerk toe aan een autorisatieprofiel

Type woordenboek RADIUS-kenmerk Type kenmerk Waarde kenmerk
RADIUS-Cisco 
cisco-av-pair
 String 
shell:tasks="#root,#leaf,rwx:bgp,r:ospf"

Application Control Engine

TACACS+ (Shell-profiel)

Kenmerk(en): shell:<context-name>

Waarde(n): <Rol-naam> <domeinnaam1>

Gebruik: De rol en het domein worden gescheiden door een ruimtekarakter. U kunt een gebruiker (bijvoorbeeld USER1) configureren om een rol (bijvoorbeeld ADMIN) en een domein (bijvoorbeeld MYDOMAIN) toegewezen te krijgen wanneer de gebruiker zich aanmeldt bij een context (bijvoorbeeld C1).

Voorbeeld - Voeg het kenmerk toe aan een Shell-profiel

Kenmerk Vereiste Waarde kenmerk 
shell:C1
 Verplicht 
Admin MYDOMAIN

Als USER1 inlogt via de C1-context, wordt die gebruiker automatisch de ADMIN-rol en het MYDOMAIN toegewezen (op voorwaarde dat een autorisatieregel is geconfigureerd waar, zodra USER1 inlogt, zij dit autorisatieprofiel krijgen toegewezen).

Als USER1 inlogt door een andere context, die niet wordt teruggegeven in de waarde van de attributen die ACS terugstuurt, wordt die gebruiker automatisch toegewezen de standaardrol (Network-Monitor) en het standaarddomein (standaard-domein).

RADIUS (autorisatieprofiel)

Kenmerk(en): Cisco Av-paar

Waarde(n): shell:<context-name>=<Role-name> <domein-name1> <domein-name2>

Gebruik: Elke waarde na het gelijke teken wordt gescheiden door een ruimtekarakter. U kunt een gebruiker (bijvoorbeeld USER1) configureren waaraan een rol (bijvoorbeeld ADMIN) en een domein (bijvoorbeeld MYDOMAIN) worden toegewezen wanneer de gebruiker zich in een context aanmeldt (bijvoorbeeld C1).

Voorbeeld - Voeg het kenmerk toe aan een autorisatieprofiel

Type woordenboek RADIUS-kenmerk Type kenmerk Waarde kenmerk
RADIUS-Cisco 
cisco-av-pair
 String 
shell:C1=ADMIN MYDOMAIN

Als USER1 inlogt via de C1-context, wordt die gebruiker automatisch de ADMIN-rol en MYDOMAIN toegewezen (op voorwaarde dat er een autorisatieregel is geconfigureerd waarbij, zodra USER1 inlogt, deze aan dit autorisatieprofiel worden toegewezen).

Als USER1 inlogt door een andere context, die niet wordt teruggegeven in de waarde van de attributen die ACS terugstuurt, wordt die gebruiker automatisch toegewezen de standaardrol (Network-Monitor) en het standaarddomein (standaard-domein).

BlueCoat Packet Shaper

RADIUS (autorisatieprofiel)

Kenmerk(en): Packet-AVPair

Waarde(n): access=<level>

Gebruik: <niveau> is het niveau van toegang tot de subsidie. Aanraaktoegang staat gelijk aan lezen-schrijven, terwijl toegang tot de look gelijk is aan alleen-lezen.

Het BlueCoat VSA bestaat standaard niet in de ACS-woordenboeken. Als u de eigenschap BlueCoat in een autorisatieprofiel wilt gebruiken, moet u een BlueCoat-woordenboek maken en de eigenschappen BlueCoat aan dat woordenboek toevoegen.

Het woordenboek maken:

  1. Ga naar Systeembeheer > Configuratie > Woordenboeken > Protocollen > RADIUS > RADIUS VSA.

  2. Klik op Aanmaken.

  3. Voer de gegevens van het woordenboek in:

    • Naam: BlueCoat

    • Verkoper-ID: 2334

    • Kenmerk prefix: Packet-over

  4. Klik op Verzenden.

Een kenmerk in het nieuwe woordenboek maken:

  1. Ga naar Systeembeheer > Configuratie > Woordenboeken > Protocollen > RADIU S > RADIUS VSA > BlueCoat.

  2. Klik op Aanmaken.

  3. Voer de gegevens van het kenmerk in:

    • Kenmerk: Packet-AVPair

    • Beschrijving: Gebruikt om toegangsniveau te specificeren

    • Kenmerk van leverancier: 1

    • Richting: UITGAAND

    • Meervoudige toegestaan: Onjuist

    • Attribuut opnemen in log: Gecontroleerd

    • Attribuuttype: String

  4. Klik op Verzenden.

Voorbeeld - Voeg het kenmerk toe aan een autorisatieprofiel (voor alleen-lezen toegang)

Type woordenboek RADIUS-kenmerk Type kenmerk Waarde kenmerk
RADIUS-BlueCoat 
Packeteer-AVPair
 String 
access=look

Voorbeeld - Voeg het kenmerk toe aan een autorisatieprofiel (voor lees-schrijftoegang)

Type woordenboek RADIUS-kenmerk Type kenmerk Waarde kenmerk
RADIUS-BlueCoat 
Packeteer-AVPair
 String 
access=touch

Brocade-Switches

RADIUS (autorisatieprofiel)

Kenmerk(en): Tunnel-Private-Group-ID

Waarde(n): U:<VLAN1>; T:<VLAN2>

Gebruik: Stel <VLAN1> in op de waarde van de gegevens VLAN. Stel <VLAN2> in op de waarde van de spraak VLAN. In dit voorbeeld, zijn de gegevens VLAN VLAN 10, en de stem VLAN is VLAN 21.

Voorbeeld - Voeg het kenmerk toe aan een autorisatieprofiel

Type woordenboek RADIUS-kenmerk Type kenmerk Waarde kenmerk
RADIUS-IETF 
Tunnel-Private-Group-ID
 Tekenreeks 
U:10;T:21

Cisco Unity Express (CUBE)

RADIUS (autorisatieprofiel)

Kenmerk(en): Cisco Av-paar

Waarde(n): fndn:groepen=<group-name>

Gebruik: <group-name> is de naam van de groep met de rechten die u aan de gebruiker wilt verlenen. Deze groep moet worden geconfigureerd op Cisco Unity Express (CUE).

Voorbeeld - Voeg het kenmerk toe aan een autorisatieprofiel

Type woordenboek RADIUS-kenmerk Type kenmerk Waarde kenmerk
RADIUS-Cisco 
cisco-av-pair
 String 
fndn:groups=Administrators

infoblox

RADIUS (autorisatieprofiel)

Kenmerk(en): Infoblox-Group-Info

Waarde(n): <naam van groep>

Gebruik: <group-name>is de naam van de groep met de rechten die u aan de gebruiker wilt verlenen. Deze groep moet op het Infoblox apparaat worden geconfigureerd. In dit configuratievoorbeeld is de groepsnaam MyGroup.

Het Infoblox VSA bestaat standaard niet in de ACS-woordenboeken. Om de eigenschap Infoblox in een vergunningsprofiel te gebruiken, moet u een woordenboek creëren Infoblox en de eigenschappen Infoblox aan dat woordenboek toevoegen.

Het woordenboek maken:

  1. Ga naar Systeembeheer > Configuratie > Woordenboeken > Protocollen > RADIU S > RADIUS VSA.

  2. Klik op Aanmaken.

  3. Klik op het pijltje naast Geavanceerde opties voor leveranciers gebruiken.

  4. Voer de gegevens van het woordenboek in:

    • Naam: Infoblox

    • Verkoper-ID: 7779

    • Veldgrootte leverancier: 1

    • Veldgrootte leverancier type: 1

  5. Klik op Verzenden.

Een kenmerk in het nieuwe woordenboek maken:

  1. Ga naar Systeembeheer > Configuratie > Woordenboeken > Protocollen > RADIU S > RADIUS VSA > Infoblox.

  2. Klik op Aanmaken.

  3. Voer de gegevens van het kenmerk in:

    • Attribuut: Infoblox-Group-Info

    • Kenmerk van leverancier: 009

    • Richting: UITGAAND

    • Meervoudige toegestaan: Onjuist

    • Attribuut opnemen in log: Gecontroleerd

    • Attribuuttype: String

  4. Klik op Verzenden.

Voorbeeld - Voeg het kenmerk toe aan een autorisatieprofiel

Type woordenboek RADIUS-kenmerk Type kenmerk Waarde kenmerk
RADIUS-infoblox 
Infoblox-Group-Info
 String 
MyGroup

Inbraakpreventiesysteem (IPS)

RADIUS (autorisatieprofiel)

Kenmerk(en): IPS-rol

Waarde(n): <naam rol>

Gebruik: De waarde <rol name> kan een van de vier gebruikersrollen voor Inbraakpreventiesysteem (IPS) zijn: viewer, operator, beheerder of service. Raadpleeg de configuratiehandleiding voor uw IPS-versie voor de details van de rechten die aan elk type gebruikersrol zijn verleend.

Voorbeeld - Voeg het kenmerk toe aan een autorisatieprofiel

Type woordenboek RADIUS-kenmerk Type kenmerk Waarde kenmerk
RADIUS-Cisco 
cisco-av-pair
 String 
ips-role:administrator

Juniper

TACACS+ (Shell-profiel)

Kenmerken(en): toestaan-opdrachten; toestaan-configuratie; naam van de lokale gebruiker; ontkennen-opdrachten; ontkennen-configuratie; gebruikersmachtigingen

Waarde(n): <allow-opdrachten-regex> ; <allow-Configuration-regex> ; <local-username> ; <deny-commando's-regex> ; <deny-configuratie-regex>

Gebruik: Stel de waarde van <local-username>(dat wil zeggen, de waarde van het attribuut local-user-name) in op een gebruikersnaam die lokaal op het Juniper-apparaat bestaat. U kunt bijvoorbeeld een gebruiker (bijvoorbeeld USER1) configureren om dezelfde gebruikerssjabloon toe te wijzen als een gebruiker (bijvoorbeeld JUSER) die lokaal op het Juniper-apparaat bestaat wanneer u de waarde van het kenmerk Local-User-Name instelt op JUSER. De waarden van de eigenschappen allow-commando, allow-configuratie, deny-commando en deny-configuratie kunnen in regex-indeling worden ingevoerd. De waarden waarop deze eigenschappen zijn ingesteld, zijn een aanvulling op de opdrachten voor de operationele modus/configuratie-modus die zijn geautoriseerd door de inlogklasse-toegangsbits van de gebruiker.

Voorbeeld - Attributen toevoegen aan een Shell Profile 1

Kenmerk Vereiste Waarde kenmerk 
allow-commands
 Optioneel 
"(request system) | (show rip neighbor)"
 
allow-configuration
 Optioneel   
local-user-name
 Optioneel 
sales
 
deny-commands
 Optioneel 
"<^clear"
 
deny-configuration
 Optioneel  

Voorbeeld - Attributen toevoegen aan een Shell Profile 2

Kenmerk Vereiste Waarde kenmerk 
allow-commands
 Optioneel 
"monitor | help | show | ping | traceroute"
 
allow-configuration
 Optioneel   
local-user-name
 Optioneel 
engineering
 
deny-commands
 Optioneel 
"configure"
 
deny-configuration
 Optioneel  

Nexus Switches

RADIUS (autorisatieprofiel)

Kenmerk(en): Cisco Av-paar

Waarde(n): shell:rollen="<role1> <rol2>"

Gebruik: Stel de waarden van <role1> en <role2> in op de namen van de rollen die lokaal op de switch zijn gedefinieerd. Wanneer u meerdere rollen toevoegt, scheidt u deze van een spatie-teken. Wanneer meerdere rollen worden doorgegeven van de AAA-server naar de Nexus switch, is het resultaat dat de gebruiker toegang heeft tot opdrachten die worden gedefinieerd door de combinatie van alle drie de rollen.

De ingebouwde rollen worden gedefinieerd in Gebruikersaccounts en RBAC configureren.

Voorbeeld - Voeg het kenmerk toe aan een autorisatieprofiel

Type woordenboek RADIUS-kenmerk Type kenmerk Waarde kenmerk
RADIUS-Cisco 
cisco-av-pair
 String 
shell:roles="network-admin vdc-admin vdc-operator"

rivierbedding

TACACS+ (Shell-profiel)

Kenmerk(en): dienst ; naam van de lokale gebruiker

Waarde(n): rbt-exec ; <gebruikersnaam>

Gebruik: om de gebruiker alleen-lezen toegang te geven, moet de <gebruikersnaam>waarde op monitor worden ingesteld. Om de gebruiker lees-schrijftoegang te verlenen, moet de <gebruikersnaam>waarde worden ingesteld op admin. Als u een andere account hebt gedefinieerd naast beheerder en monitor, moet u die naam configureren om te worden geretourneerd.

Voorbeeld - Attributen toevoegen aan een Shell-profiel (voor alleen-lezen toegang)

Kenmerk Vereiste Waarde kenmerk 
service
 Verplicht 
rbt-exec
 
local-user-name
 Verplicht 
monitor

Voorbeeld - Kenmerken toevoegen aan een Shell-profiel (voor lees-schrijftoegang)

Kenmerk Vereiste Waarde kenmerk 
service
 Verplicht 
rbt-exec
 
local-user-name
 Verplicht 
admin

Draadloze LAN-controller (WLC)

RADIUS (autorisatieprofiel)

Kenmerk(en): Service-type

Waarde(n): Administratief (6) / NAS-prompt (7)

Gebruik: om de gebruiker lees-/schrijftoegang te verlenen tot de draadloze LAN-controller (WLC), moet de waarde Administratief zijn; voor alleen-lezen toegang moet de waarde NAS-prompt zijn.

Zie Configuratievoorbeeld van RADIUS-serververificatie van beheergebruikers op draadloze LAN-controllers (WLC) voor meer informatie

Voorbeeld - Voeg het kenmerk toe aan een autorisatieprofiel (voor alleen-lezen toegang)

Type woordenboek RADIUS-kenmerk Type kenmerk Waarde kenmerk
RADIUS-IETF 
Service-Type
 opsomming 
NAS-Prompt

Voorbeeld - Voeg het kenmerk toe aan een autorisatieprofiel (voor lees-schrijftoegang)

Type woordenboek RADIUS-kenmerk Type kenmerk Waarde kenmerk
RADIUS-IETF 
Service-Type
 opsomming 
Administrative

Data Center Network Manager (DCNM)

DCNM moet opnieuw worden gestart nadat de verificatiemethode is gewijzigd. Anders kan de beheerder van het netwerk een voorrecht toekennen in plaats van een netwerkbeheerder.

DCNM-rol RADIUS Cisco-AV-paar Tacacs Cisco-AV-paar
Gebruiker 
shell:roles = "network-operator"
 
cisco-av-pair=shell:roles="network-operator"
Beheerder 
shell:roles = "network-admin"
 
cisco-av-pair=shell:roles="network-admin"

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
22-Jan-2013
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Dragana Radmilo
    Cisco TAC Engineer.

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten