Dit document biedt een verzameling attributen die verschillende Cisco- en niet-Cisco-producten verwachten te ontvangen van een verificatie-, autorisatie- en accounting (AAA) server. In dit geval is de AAA-server een Access Control Server (ACS). ACS kan deze eigenschappen samen met een Access-Accept als deel van een shell-profiel (TACACS+) of een autorisatieprofiel (RADIUS) retourneren.
Dit document bevat stap-voor-stap instructies over hoe u aangepaste kenmerken kunt toevoegen aan shell-profielen en autorisatieprofielen. Dit document bevat ook een lijst van apparaten en de eigenschappen TACACS+ en RADIUS die de apparaten verwachten om teruggekeerd van de server van de AAA te zien. Alle onderwerpen bevatten voorbeelden.
De lijst van eigenschappen in dit document is niet uitputtend of gezaghebbend en kan te allen tijde worden gewijzigd zonder dat dit document hoeft te worden bijgewerkt.
Er zijn geen specifieke vereisten van toepassing op dit document.
De informatie in dit document is gebaseerd op ACS versie 5.2/5.3.
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
Een shell-profiel is een basistoegangscontainer voor TACACS+-gebaseerde toegang. U kunt specificeren welke TACACS+ attributen en attributenwaarden met de toegang-Goedkeuring, naast het Cisco® IOS voorrecht niveau, zittingsonderbreking, en andere parameters zouden moeten worden teruggekeerd.
Voltooi deze stappen om aangepaste kenmerken toe te voegen aan een nieuw shell-profiel:
Meld u aan bij de ACS-interface.
Ga naar Policy Elements > Autorisatie en toegangsrechten > Apparaatbeheer > Shell-profielen.
Klik op de knop Maken.
Geef het shell profiel een naam.
Klik op het tabblad Aangepaste kenmerken.
Voer de naam van het kenmerk in het veld Kenmerk in.
Kies of de eis verplicht is of optioneel uit de vervolgkeuzelijst Eis.
Verlaat de vervolgkeuzelijst voor de attribuutwaarde ingesteld op Statisch. Als de waarde statisch is, kunt u de waarde in het volgende veld invoeren. Als de waarde dynamisch is, kunt u het attribuut niet handmatig invoeren; in plaats daarvan wordt het attribuut toegewezen aan een attribuut in een van de identiteitsopslag.
Voer in het laatste veld de waarde van het kenmerk in.
Klik op de knop Toevoegen om het item aan de tabel toe te voegen.
Herhaal dit om alle gewenste eigenschappen in te stellen.
Klik op de knop Verzenden onder op het scherm.
Apparaat: Application Control Engine (ACE)
Kenmerk(en): shell:<context-name>
Waarde(n): <Rol-naam> <domeinnaam1>
Gebruik: De rol en het domein worden gescheiden door een ruimtekarakter. U kunt een gebruiker (bijvoorbeeld USER1) configureren om een rol (bijvoorbeeld ADMIN) en een domein (bijvoorbeeld MYDOMAIN) toegewezen te krijgen wanneer de gebruiker zich aanmeldt bij een context (bijvoorbeeld C1).
Een autorisatieprofiel is een elementaire toegangscontainer voor RADIUS-gebaseerde toegang. U kunt specificeren welke RADIUS-kenmerken en -attribuutwaarden met de Access-Accept, naast de VLAN’s, toegangscontrolelijsten (ACL’s) en andere parameters moeten worden geretourneerd.
Voltooi deze stappen om aangepaste kenmerken aan een nieuw autorisatieprofiel toe te voegen:
Meld u aan bij de ACS-interface.
Ga naar Policy Elements > Autorisatie en toegangsrechten > Network Access > Autorisatieprofielen.
Klik op de knop Maken.
Geef het autorisatieprofiel een naam.
Klik op het tabblad RADIUS-kenmerken.
Selecteer een woordenboek in het vervolgkeuzemenu Woordenboektype.
Klik op de knop Selecteren om het selectieteken voor het veld RADIUS-kenmerken in te stellen. Er verschijnt een nieuw venster.
Bekijk de beschikbare attributen, maak uw selectie en klik op OK. De waarde Attributtype wordt standaard ingesteld op basis van de attribuutselectie die u zojuist hebt gemaakt.
Verlaat de vervolgkeuzelijst voor de attribuutwaarde ingesteld op Statisch. Als de waarde statisch is, kunt u de waarde in het volgende veld invoeren. Als de waarde dynamisch is, kunt u het attribuut niet handmatig invoeren; in plaats daarvan wordt het attribuut toegewezen aan een attribuut in een van de identiteitsopslag.
Voer in het laatste veld de waarde van het kenmerk in.
Klik op de knop Toevoegen om het item aan de tabel toe te voegen.
Herhaal dit om alle gewenste eigenschappen in te stellen.
Klik op de knop Verzenden onder op het scherm.
Apparaat: ACE
Kenmerk(en): Cisco Av-paar
Waarde(n): shell:<context-name>=<Role-name> <domein-name1> <domein-name2>
Gebruik: Elke waarde na het gelijke teken wordt gescheiden door een ruimtekarakter. U kunt een gebruiker (bijvoorbeeld USER1) configureren om een rol (bijvoorbeeld ADMIN) en een domein (bijvoorbeeld MYDOMAIN) toegewezen te krijgen wanneer de gebruiker zich aanmeldt bij een context (bijvoorbeeld C1).
RADIUS (autorisatieprofiel)
Kenmerk(en): Cisco Av-paar
Waarde(n): shell:task="#<role-name>,<permissie>:<process>"
Gebruik: Stel de waarden van <rol-name> in op de naam van een rol die lokaal op de router is gedefinieerd. De rolhiërarchie kan in termen van een boom worden beschreven, waar de rol #root bovenaan de boom is, en de rol #leaf extra bevelen toevoegt. Deze twee rollen kunnen worden gecombineerd en teruggegeven als: shell:task="#root,#leaf".
De rechten kunnen ook op een individuele procesbasis worden teruggegeven, zodat een gebruiker lees-, schrijf-, en uitvoerende voorrechten voor bepaalde processen kan worden verleend. Om een gebruiker bijvoorbeeld lees- en schrijfrechten voor het bgp-proces te verlenen, stelt u de waarde in op: shell:task="#root,rw:bgp". De volgorde van de eigenschappen is niet van belang; het resultaat is hetzelfde of de waarde is ingesteld op shell:task="#root,rw:bgp" of op shell:task="rw:bgp,#root".
Voorbeeld - Voeg het kenmerk toe aan een autorisatieprofielType woordenboek | RADIUS-kenmerk | Type kenmerk | Waarde kenmerk |
---|---|---|---|
RADIUS-Cisco | cisco-av-pair |
String | shell:tasks="#root,#leaf,rwx:bgp,r:ospf" |
TACACS+ (Shell-profiel)
Kenmerk(en): shell:<context-name>
Waarde(n): <Rol-naam> <domeinnaam1>
Gebruik: De rol en het domein worden gescheiden door een ruimtekarakter. U kunt een gebruiker (bijvoorbeeld USER1) configureren om een rol (bijvoorbeeld ADMIN) en een domein (bijvoorbeeld MYDOMAIN) toegewezen te krijgen wanneer de gebruiker zich aanmeldt bij een context (bijvoorbeeld C1).
Voorbeeld - Voeg het kenmerk toe aan een Shell-profielKenmerk | Vereiste | Waarde kenmerk |
---|---|---|
shell:C1 |
Verplicht | Admin MYDOMAIN |
Als USER1 inlogt via de C1-context, wordt die gebruiker automatisch de ADMIN-rol en het MYDOMAIN toegewezen (op voorwaarde dat een autorisatieregel is geconfigureerd waar, zodra USER1 inlogt, zij dit autorisatieprofiel krijgen toegewezen).
Als USER1 inlogt door een andere context, die niet wordt teruggegeven in de waarde van de attributen die ACS terugstuurt, wordt die gebruiker automatisch toegewezen de standaardrol (Network-Monitor) en het standaarddomein (standaard-domein).
RADIUS (autorisatieprofiel)
Kenmerk(en): Cisco Av-paar
Waarde(n): shell:<context-name>=<Role-name> <domein-name1> <domein-name2>
Gebruik: Elke waarde na het gelijke teken wordt gescheiden door een ruimtekarakter. U kunt een gebruiker (bijvoorbeeld USER1) configureren waaraan een rol (bijvoorbeeld ADMIN) en een domein (bijvoorbeeld MYDOMAIN) worden toegewezen wanneer de gebruiker zich in een context aanmeldt (bijvoorbeeld C1).
Voorbeeld - Voeg het kenmerk toe aan een autorisatieprofielType woordenboek | RADIUS-kenmerk | Type kenmerk | Waarde kenmerk |
---|---|---|---|
RADIUS-Cisco | cisco-av-pair |
String | shell:C1=ADMIN MYDOMAIN |
Als USER1 inlogt via de C1-context, wordt die gebruiker automatisch de ADMIN-rol en MYDOMAIN toegewezen (op voorwaarde dat er een autorisatieregel is geconfigureerd waarbij, zodra USER1 inlogt, deze aan dit autorisatieprofiel worden toegewezen).
Als USER1 inlogt door een andere context, die niet wordt teruggegeven in de waarde van de attributen die ACS terugstuurt, wordt die gebruiker automatisch toegewezen de standaardrol (Network-Monitor) en het standaarddomein (standaard-domein).
RADIUS (autorisatieprofiel)
Kenmerk(en): Packet-AVPair
Waarde(n): access=<level>
Gebruik: <niveau> is het niveau van toegang tot de subsidie. Aanraaktoegang staat gelijk aan lezen-schrijven, terwijl toegang tot de look gelijk is aan alleen-lezen.
Het BlueCoat VSA bestaat standaard niet in de ACS-woordenboeken. Als u de eigenschap BlueCoat in een autorisatieprofiel wilt gebruiken, moet u een BlueCoat-woordenboek maken en de eigenschappen BlueCoat aan dat woordenboek toevoegen.
Het woordenboek maken:
Ga naar Systeembeheer > Configuratie > Woordenboeken > Protocollen > RADIUS > RADIUS VSA.
Klik op Aanmaken.
Voer de gegevens van het woordenboek in:
Naam: BlueCoat
Verkoper-ID: 2334
Kenmerk prefix: Packet-over
Klik op Verzenden.
Een kenmerk in het nieuwe woordenboek maken:
Ga naar Systeembeheer > Configuratie > Woordenboeken > Protocollen > RADIU S > RADIUS VSA > BlueCoat.
Klik op Aanmaken.
Voer de gegevens van het kenmerk in:
Kenmerk: Packet-AVPair
Beschrijving: Gebruikt om toegangsniveau te specificeren
Kenmerk van leverancier: 1
Richting: UITGAAND
Meervoudige toegestaan: Onjuist
Attribuut opnemen in log: Gecontroleerd
Attribuuttype: String
Klik op Verzenden.
Type woordenboek | RADIUS-kenmerk | Type kenmerk | Waarde kenmerk |
---|---|---|---|
RADIUS-BlueCoat | Packeteer-AVPair |
String | access=look |
Type woordenboek | RADIUS-kenmerk | Type kenmerk | Waarde kenmerk |
---|---|---|---|
RADIUS-BlueCoat | Packeteer-AVPair |
String | access=touch |
RADIUS (autorisatieprofiel)
Kenmerk(en): Tunnel-Private-Group-ID
Waarde(n): U:<VLAN1>; T:<VLAN2>
Gebruik: Stel <VLAN1> in op de waarde van de gegevens VLAN. Stel <VLAN2> in op de waarde van de spraak VLAN. In dit voorbeeld, zijn de gegevens VLAN VLAN 10, en de stem VLAN is VLAN 21.
Voorbeeld - Voeg het kenmerk toe aan een autorisatieprofielType woordenboek | RADIUS-kenmerk | Type kenmerk | Waarde kenmerk |
---|---|---|---|
RADIUS-IETF | Tunnel-Private-Group-ID |
Tekenreeks | U:10;T:21 |
RADIUS (autorisatieprofiel)
Kenmerk(en): Cisco Av-paar
Waarde(n): fndn:groepen=<group-name>
Gebruik: <group-name> is de naam van de groep met de rechten die u aan de gebruiker wilt verlenen. Deze groep moet worden geconfigureerd op Cisco Unity Express (CUE).
Voorbeeld - Voeg het kenmerk toe aan een autorisatieprofielType woordenboek | RADIUS-kenmerk | Type kenmerk | Waarde kenmerk |
---|---|---|---|
RADIUS-Cisco | cisco-av-pair |
String | fndn:groups=Administrators |
RADIUS (autorisatieprofiel)
Kenmerk(en): Infoblox-Group-Info
Waarde(n): <naam van groep>
Gebruik: <group-name>is de naam van de groep met de rechten die u aan de gebruiker wilt verlenen. Deze groep moet op het Infoblox apparaat worden geconfigureerd. In dit configuratievoorbeeld is de groepsnaam MyGroup.
Het Infoblox VSA bestaat standaard niet in de ACS-woordenboeken. Om de eigenschap Infoblox in een vergunningsprofiel te gebruiken, moet u een woordenboek creëren Infoblox en de eigenschappen Infoblox aan dat woordenboek toevoegen.
Het woordenboek maken:
Ga naar Systeembeheer > Configuratie > Woordenboeken > Protocollen > RADIU S > RADIUS VSA.
Klik op Aanmaken.
Klik op het pijltje naast Geavanceerde opties voor leveranciers gebruiken.
Voer de gegevens van het woordenboek in:
Naam: Infoblox
Verkoper-ID: 7779
Veldgrootte leverancier: 1
Veldgrootte leverancier type: 1
Klik op Verzenden.
Een kenmerk in het nieuwe woordenboek maken:
Ga naar Systeembeheer > Configuratie > Woordenboeken > Protocollen > RADIU S > RADIUS VSA > Infoblox.
Klik op Aanmaken.
Voer de gegevens van het kenmerk in:
Attribuut: Infoblox-Group-Info
Kenmerk van leverancier: 009
Richting: UITGAAND
Meervoudige toegestaan: Onjuist
Attribuut opnemen in log: Gecontroleerd
Attribuuttype: String
Klik op Verzenden.
Type woordenboek | RADIUS-kenmerk | Type kenmerk | Waarde kenmerk |
---|---|---|---|
RADIUS-infoblox | Infoblox-Group-Info |
String | MyGroup |
RADIUS (autorisatieprofiel)
Kenmerk(en): IPS-rol
Waarde(n): <naam rol>
Gebruik: De waarde <rol name> kan een van de vier gebruikersrollen voor Inbraakpreventiesysteem (IPS) zijn: viewer, operator, beheerder of service. Raadpleeg de configuratiehandleiding voor uw IPS-versie voor de details van de rechten die aan elk type gebruikersrol zijn verleend.
Cisco-configuratiehandleiding voor inbraakpreventiesysteem en apparaatbeheer voor IPS 7.0
Cisco-configuratiehandleiding voor inbraakpreventiesysteem en apparaatbeheer voor IPS 7.1
Type woordenboek | RADIUS-kenmerk | Type kenmerk | Waarde kenmerk |
---|---|---|---|
RADIUS-Cisco | cisco-av-pair |
String | ips-role:administrator |
TACACS+ (Shell-profiel)
Kenmerken(en): toestaan-opdrachten; toestaan-configuratie; naam van de lokale gebruiker; ontkennen-opdrachten; ontkennen-configuratie; gebruikersmachtigingen
Waarde(n): <allow-opdrachten-regex> ; <allow-Configuration-regex> ; <local-username> ; <deny-commando's-regex> ; <deny-configuratie-regex>
Gebruik: Stel de waarde van <local-username>(dat wil zeggen, de waarde van het attribuut local-user-name) in op een gebruikersnaam die lokaal op het Juniper-apparaat bestaat. U kunt bijvoorbeeld een gebruiker (bijvoorbeeld USER1) configureren om dezelfde gebruikerssjabloon toe te wijzen als een gebruiker (bijvoorbeeld JUSER) die lokaal op het Juniper-apparaat bestaat wanneer u de waarde van het kenmerk Local-User-Name instelt op JUSER. De waarden van de eigenschappen allow-commando, allow-configuratie, deny-commando en deny-configuratie kunnen in regex-indeling worden ingevoerd. De waarden waarop deze eigenschappen zijn ingesteld, zijn een aanvulling op de opdrachten voor de operationele modus/configuratie-modus die zijn geautoriseerd door de inlogklasse-toegangsbits van de gebruiker.
Voorbeeld - Attributen toevoegen aan een Shell Profile 1Kenmerk | Vereiste | Waarde kenmerk |
---|---|---|
allow-commands |
Optioneel | "(request system) | (show rip neighbor)" |
allow-configuration |
Optioneel | |
local-user-name |
Optioneel | sales |
deny-commands |
Optioneel | "<^clear" |
deny-configuration |
Optioneel |
Kenmerk | Vereiste | Waarde kenmerk |
---|---|---|
allow-commands |
Optioneel | "monitor | help | show | ping | traceroute" |
allow-configuration |
Optioneel | |
local-user-name |
Optioneel | engineering |
deny-commands |
Optioneel | "configure" |
deny-configuration |
Optioneel |
RADIUS (autorisatieprofiel)
Kenmerk(en): Cisco Av-paar
Waarde(n): shell:rollen="<role1> <rol2>"
Gebruik: Stel de waarden van <role1> en <role2> in op de namen van de rollen die lokaal op de switch zijn gedefinieerd. Wanneer u meerdere rollen toevoegt, scheidt u deze van een spatie-teken. Wanneer meerdere rollen worden doorgegeven van de AAA-server naar de Nexus switch, is het resultaat dat de gebruiker toegang heeft tot opdrachten die worden gedefinieerd door de combinatie van alle drie de rollen.
De ingebouwde rollen worden gedefinieerd in Gebruikersaccounts en RBAC configureren.
Voorbeeld - Voeg het kenmerk toe aan een autorisatieprofielType woordenboek | RADIUS-kenmerk | Type kenmerk | Waarde kenmerk |
---|---|---|---|
RADIUS-Cisco | cisco-av-pair |
String | shell:roles="network-admin vdc-admin vdc-operator" |
TACACS+ (Shell-profiel)
Kenmerk(en): dienst ; naam van de lokale gebruiker
Waarde(n): rbt-exec ; <gebruikersnaam>
Gebruik: om de gebruiker alleen-lezen toegang te geven, moet de <gebruikersnaam>waarde op monitor worden ingesteld. Om de gebruiker lees-schrijftoegang te verlenen, moet de <gebruikersnaam>waarde worden ingesteld op admin. Als u een andere account hebt gedefinieerd naast beheerder en monitor, moet u die naam configureren om te worden geretourneerd.
Voorbeeld - Attributen toevoegen aan een Shell-profiel (voor alleen-lezen toegang)Kenmerk | Vereiste | Waarde kenmerk |
---|---|---|
service |
Verplicht | rbt-exec |
local-user-name |
Verplicht | monitor |
Kenmerk | Vereiste | Waarde kenmerk |
---|---|---|
service |
Verplicht | rbt-exec |
local-user-name |
Verplicht | admin |
RADIUS (autorisatieprofiel)
Kenmerk(en): Service-type
Waarde(n): Administratief (6) / NAS-prompt (7)
Gebruik: om de gebruiker lees-/schrijftoegang te verlenen tot de draadloze LAN-controller (WLC), moet de waarde Administratief zijn; voor alleen-lezen toegang moet de waarde NAS-prompt zijn.
Voorbeeld - Voeg het kenmerk toe aan een autorisatieprofiel (voor alleen-lezen toegang)Type woordenboek | RADIUS-kenmerk | Type kenmerk | Waarde kenmerk |
---|---|---|---|
RADIUS-IETF | Service-Type |
opsomming | NAS-Prompt |
Type woordenboek | RADIUS-kenmerk | Type kenmerk | Waarde kenmerk |
---|---|---|---|
RADIUS-IETF | Service-Type |
opsomming | Administrative |
Data Center Network Manager (DCNM)
DCNM moet opnieuw worden gestart nadat de verificatiemethode is gewijzigd. Anders kan de beheerder van het netwerk een voorrecht toekennen in plaats van een netwerkbeheerder.
DCNM-rol | RADIUS Cisco-AV-paar | Tacacs Cisco-AV-paar |
---|---|---|
Gebruiker | shell:roles = "network-operator" |
cisco-av-pair=shell:roles="network-operator" |
Beheerder | shell:roles = "network-admin" |
cisco-av-pair=shell:roles="network-admin" |
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
22-Jan-2013 |
Eerste vrijgave |