De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft de configuratie van de ASR 9000 Series Aggregation Services Router (ASR) om te verifiëren en te autoriseren via TACACS+ met Cisco Secure Access Control Server (ACS) 5.x-server.
Dit is een voorbeeld van de implementatie van het beheermodel voor op taken gebaseerde autorisatie dat wordt gebruikt om de toegang van gebruikers in het Cisco IOS XR-softwaresysteem te controleren. De belangrijkste taken die vereist zijn om een taakgebaseerde autorisatie te implementeren, zijn hoe u gebruikersgroepen en taakgroepen moet configureren. Gebruikersgroepen en taakgroepen worden geconfigureerd via de Cisco IOS XR-softwarerelease die worden gebruikt voor verificatie-, autorisatie- en accounting (AAA) services. Verificatieopdrachten worden gebruikt om de identiteit van een gebruiker of opdrachtgever te verifiëren. Autorisatieopdrachten worden gebruikt om te controleren of een geverifieerde gebruiker (of opdrachtgever) toestemming heeft om een specifieke taak uit te voeren. De opdrachten voor accounting worden gebruikt voor het vastleggen van sessies en om een auditspoor te maken door bepaalde door de gebruiker of het systeem gegenereerde acties op te nemen.
Cisco raadt kennis van de volgende onderwerpen aan:
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De informatie in dit document is gebaseerd op apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, zorg er dan voor dat u de mogelijke impact van elke configuratiewijziging begrijpt.
Er zijn vooraf gedefinieerde gebruikersgroepen en taakgroepen in IOS XR. De beheerder kan deze vooraf gedefinieerde groepen gebruiken of aangepaste groepen definiëren volgens de vereiste.
Deze gebruikersgroepen zijn vooraf gedefinieerd op IOS XR:
Gebruikersgroep | Bevoegdheden |
---|---|
Cisco-ondersteuning | Debug- en probleemoplossingsfuncties (meestal gebruikt door Cisco Technical Support-personeel). |
netadmin | Configureer netwerkprotocollen zoals Open Shortest Path First (OSPF) (meestal gebruikt door netwerkbeheerders). |
machineoperator | Voer dagelijkse bewakingsactiviteiten uit en heb beperkte configuratierechten. |
wortel-lr | Geef alle opdrachten weer en voer ze uit binnen één RP. |
wortelsysteem | Geef alle opdrachten voor alle RP's in het systeem weer en voer ze uit. |
sysadmin | Voer systeembeheertaken voor de router uit, zoals het handhaven waar de kerndumps worden opgeslagen of het instellen van de Network Time Protocol (NTP)-klok. |
servicebeheer | Voer servicebeheertaken uit, zoals Session border-controller (SBC). |
De root-system gebruikersgroep heeft vooraf gedefinieerde autorisatie; dat wil zeggen, het heeft de volledige verantwoordelijkheid voor root-systeem user-managed resources en bepaalde verantwoordelijkheden in andere services.
Gebruik deze opdracht om de vooraf gedefinieerde gebruikersgroepen te controleren:
RP/0/RSP1/CPU0:ASR9k#show aaa usergroup ? | Output Modifiers root-lr Name of the usergroup netadmin Name of the usergroup operator Name of the usergroup sysadmin Name of the usergroup root-system Name of the usergroup serviceadmin Name of the usergroup cisco-support Name of the usergroup WORD Name of the usergroup <cr>
Deze vooraf gedefinieerde taakgroepen zijn beschikbaar voor beheerders die kunnen worden gebruikt, doorgaans voor de eerste configuratie:
Gebruik deze opdracht om de vooraf gedefinieerde taakgroepen te controleren:
RP/0/RSP1/CPU0:ASR9k#show aaa taskgroup ? | Output Modifiers root-lr Name of the taskgroup netadmin Name of the taskgroup operator Name of the taskgroup sysadmin Name of the taskgroup root-system Name of the taskgroup serviceadmin Name of the taskgroup cisco-support Name of the taskgroup WORD Name of the taskgroup <cr>
Gebruik deze opdracht om de ondersteunde taken te controleren:
RP/0/RSP1/CPU0:ASR9k#show aaa task supported
Hier is de lijst met ondersteunde taken:
AAA |
ACL |
Beheerder |
ANCP |
ATM |
basisdiensten |
BCDL |
BFD |
bgp |
opstarten |
Bundel |
call home |
CDP |
Cef |
CGN |
Cisco-ondersteuning |
configuratiebeheer |
Config-services |
Crypto |
Diag |
Verboden |
Stuurprogramma's |
DWDM |
Eem |
EIGRP |
Ethernet-services |
toegang tot documenten |
Materiaal |
foutenmarge |
Bestandssysteem |
Firewall |
Fr |
HDLC |
hostdiensten |
HSRP |
interface |
Inventaris |
IP-services |
IPv4 |
IPv6 |
ISIS |
L2VPN |
Li |
Lisp |
logboekregistratie |
LPTS |
Monitor (bewaken) |
MPLS-ldp |
MPLS-statisch |
MPLS-te |
Multicast |
NetFlow |
Netwerk |
NPS |
OSPF |
Ouni |
PBR |
Pkg-beheer |
post-dpt |
PPP |
QoS |
RCMD |
rib |
scheur |
wortel-lr |
wortelsysteem |
routekaart |
routebeleid |
SBC |
SNMP |
sonet-sdh |
statisch |
Sysmgr |
Systeem |
Vervoer |
tty-access |
Tunnel |
Universeel |
Vlan |
VPDN |
vrp |
Elk van de bovengenoemde taken kan gegeven worden met een van deze of alle vier de permissies.
Lezen |
Specificeert een aanduiding die alleen een leesbewerking toestaat. |
Schrijven |
Specificeert een aanwijzing die een veranderingsverrichting toelaat en impliciet een gelezen verrichting toestaat. |
Voer deze opdracht uit: |
Specificeert een aanwijzing die een toegangsverrichting toestaat; bijvoorbeeld, pingel en Telnet. |
Debuggen |
Specificeert een aanwijzing die toestaat zuivert verrichting. |
De beheerder kan zijn eigen gebruikersgroepen configureren om aan bepaalde behoeften te voldoen. Hier is het configuratievoorbeeld:
RP/0/RSP1/CPU0:ASR9k(config)#usergroup TAC-Defined RP/0/RSP1/CPU0:ASR9k(config-ug)#taskgroup operator RP/0/RSP1/CPU0:ASR9k(config-ug)#commit
De beheerder kan zijn eigen taakgroepen configureren om aan bepaalde behoeften te voldoen. Hier is het configuratievoorbeeld:
RP/0/RSP1/CPU0:ASR9k(config)#taskgroup TAC-Defined-TASK RP/0/RSP1/CPU0:ASR9k(config-tg)#task ? debug Specify a debug-type task ID execute Specify a execute-type task ID read Specify a read-type task ID write Specify a read-write-type task ID RP/0/RSP1/CPU0:ASR9k(config-tg)#task read aaa RP/0/RSP1/CPU0:ASR9k(config-tg)#task write aaa RP/0/RSP1/CPU0:ASR9k(config-tg)#task execute aaa RP/0/RSP1/CPU0:ASR9k(config-tg)#task debug aaa RP/0/RSP1/CPU0:ASR9k(config-tg)#task read acl RP/0/RSP1/CPU0:ASR9k(config-tg)#task write acl RP/0/RSP1/CPU0:ASR9k(config-tg)#task execute acl RP/0/RSP1/CPU0:ASR9k(config-tg)#commit RP/0/RSP1/CPU0:ASR9k#show aaa taskgroup TAC-Defined-TASK Task group 'TAC-Defined-TASK' Task IDs included directly by this group: Task: aaa : READ WRITE EXECUTE DEBUG Task: acl : READ WRITE EXECUTE Task group 'TAC-Defined-TASK' has the following combined set of task IDs (including all inherited groups): Task: aaa : READ WRITE EXECUTE DEBUG Task: acl : READ WRITE EXECUTE
Als u niet zeker weet hoe u moet vinden welke taakgroep en toestemming voor een bepaalde opdracht nodig is, kunt u de opdracht beschrijven gebruiken om deze te vinden. Hierna volgt een voorbeeld:
Voorbeeld 1:
RP/0/RSP1/CPU0:ASR9k#describe show aaa usergroup Package: ..... User needs ALL of the following taskids: aaa (READ) RP/0/RSP1/CPU0:ASR9k#
Om een gebruiker in staat te stellen de opdracht tonen een gebruikersgroep uit te voeren, moet u deze lijn in de taakgroep toestaan:
taak lezen aaa
Voorbeeld 2:
RP/0/RSP1/CPU0:ASR9k(config)#describe aaa authentication login default group tacacs+ Package: ..... User needs ALL of the following taskids: aaa (READ WRITE) RP/0/RSP1/CPU0:ASR9k(config)#
Om een gebruiker in staat te stellen de opdracht aaa authenticatie login standaardgroep tacacs+ uit te voeren vanuit de configuratiemodus, moet u deze lijn in de taakgroep toestaan:
taak lezen schrijven aaa
U kunt de gebruikersgroep definiëren die meerdere taakgroepen kan importeren. Hier is het configuratievoorbeeld:
RP/0/RSP1/CPU0:ASR9k#show aaa usergroup TAC-Defined Tue Feb 16 00:50:56.799 UTC User group 'TAC-Defined' Inherits from task group 'operator' User group 'TAC-Defined' has the following combined set of task IDs (including all inherited groups): Task: basic-services : READ WRITE EXECUTE DEBUG Task: cdp : READ Task: diag : READ Task: ext-access : READ EXECUTE Task: logging : READ RP/0/RSP1/CPU0:ASR9k#conf t RP/0/RSP1/CPU0:ASR9k(config)#usergroup TAC-Defined RP/0/RSP1/CPU0:ASR9k(config-ug)#taskgroup TAC-Defined-TASK RP/0/RSP1/CPU0:ASR9k(config-ug)#commit RP/0/RSP1/CPU0:ASR9k#show aaa usergroup TAC-Defined Tue Feb 16 00:51:31.494 UTC User group 'TAC-Defined' Inherits from task group 'operator' Inherits from task group 'TAC-Defined-TASK' User group 'TAC-Defined' has the following combined set of task IDs (including all inherited groups): Task: aaa : READ WRITE EXECUTE DEBUG Task: acl : READ WRITE EXECUTE Task: basic-services : READ WRITE EXECUTE DEBUG Task: cdp : READ Task: diag : READ Task: ext-access : READ EXECUTE Task: logging : READ
Definieer een TACACS-server op de router:
Hier definieert u het IP-adres van de ACS-server als de tacacs-server met Cisco-toets
RP/0/RSP1/CPU0:ASR9k(config)#tacacs-server host 10.106.73.233 port 49 RP/0/RSP1/CPU0:ASR9k(config-tacacs-host)#key 0 cisco RP/0/RSP1/CPU0:ASR9k(config-tacacs-host)#commit ! tacacs-server host 10.106.73.233 port 49 key 7 14141B180F0B !
Wijs de authenticatie en autorisatie toe aan een externe TACACS-server.
#aaa authentication login default group tacacs+ local #aaa authorization exec default group tacacs+ local
Opdrachtautorisatie (optioneel):
#aaa authorization commands default group tacacs+
Wijs de accounting toe aan de externe server (optioneel).
#aaa accounting commands default start-stop group tacacs+ #aaa accounting update newinfo
Stap 1. Om de router IP in de lijst van AAA-clients op ACS-server te definiëren, navigeer je naar Network Resources > Network Devices en AAA Clients, zoals in de afbeelding. In dit voorbeeld definieert u cisco als gedeeld geheim zoals geconfigureerd in de ASR.
Stap 2. Definieer de gebruikersgroepen volgens uw vereiste. In het voorbeeld, zoals in deze afbeelding, gebruikt u vier groepen.
Stap 3. Zoals in de afbeelding wordt getoond, maakt u de gebruikers en wijst u ze toe aan de respectieve gebruikersgroep die hierboven is gemaakt.
Opmerking: in dit voorbeeld worden de interne ACS-gebruikers voor verificatie gebruikt. Als u de gebruikers wilt gebruiken die in de externe identiteitsopslag zijn gemaakt, kunt u ze ook gebruiken. In dit voorbeeld worden de externe gebruikers van identiteitsbronnen niet behandeld. .
Stap 4. Definieer het Shell-profiel dat u voor de respectieve gebruikers wilt instellen.
In het reeds gemaakte shell-profiel, vormt u om de respectievelijke taakgroepen zoals in de afbeelding te duwen.
Stap 5. Bepaal het toegangsbeleid. Verificatie vindt plaats tegen de interne gebruikers.
Stap 6. Configureer de autorisatie op basis van de vereiste met behulp van de eerder gemaakte gebruikersidentiteitsgroepen en breng de respectievelijke shell-profielen in kaart, zoals in de afbeelding.
Om aan te melden wordt de gebruikersnaam asrread gebruikt. Dit zijn de verificatieopdrachten.
username: ASRread password: RP/0/RSP1/CPU0:ASR9k#show user ASRread RP/0/RSP1/CPU0:ASR9k#show user group operator RP/0/RSP1/CPU0:ASR9k#show user tasks Task: basic-services : READ WRITE EXECUTE DEBUG Task: cdp : READ Task: diag : READ Task: ext-access : READ EXECUTE Task: logging : READ
Om in te loggen wordt de gebruikersnaam asra gebruikt. Dit zijn de verificatieopdrachten.
Opmerking: asra is de operator taak die vanuit de TACACS-server wordt geduwd, samen met de aaa taak lees schrijven en uitvoeren machtigingen.
username: asraaa password: RP/0/RSP1/CPU0:ASR9k#sh user asraaa RP/0/RSP1/CPU0:ASR9k#sh user group operator RP/0/RSP1/CPU0:ASR9k#sh user tasks Task: aaa : READ WRITE EXECUTE Task: basic-services : READ WRITE EXECUTE DEBUG Task: cdp : READ Task: diag : READ Task: ext-access : READ EXECUTE Task: logging : READ
Om aan te melden wordt gebruikersnaam asrwrite gebruikt. Dit zijn de verificatieopdrachten.
username: asrwrite password: RP/0/RSP1/CPU0:ASR9k#sh user asrwrite RP/0/RSP1/CPU0:ASR9k#sh user group sysadmin RP/0/RSP1/CPU0:ASR9k#sh user tasks Task: aaa : READ Task: acl : READ WRITE EXECUTE DEBUG Task: admin : READ Task: ancp : READ Task: atm : READ Task: basic-services : READ WRITE EXECUTE DEBUG Task: bcdl : READ Task: bfd : READ Task: bgp : READ Task: boot : READ WRITE EXECUTE DEBUG Task: bundle : READ Task: call-home : READ Task: cdp : READ WRITE EXECUTE DEBUG Task: cef : READ Task: cgn : READ Task: config-mgmt : READ WRITE EXECUTE DEBUG Task: config-services : READ WRITE EXECUTE DEBUG Task: crypto : READ WRITE EXECUTE DEBUG Task: diag : READ WRITE EXECUTE DEBUG Task: drivers : READ Task: dwdm : READ Task: eem : READ WRITE EXECUTE DEBUG Task: eigrp : READ Task: ethernet-services : READ --More-- (output omitted )
Om in te loggen wordt gebruikersnaam asrroot gebruikt. Dit zijn de verificatieopdrachten.
username: asrroot password: RP/0/RSP1/CPU0:ASR9k#show user asrroot RP/0/RSP1/CPU0:ASR9k#show user group root-system RP/0/RSP1/CPU0:ios#show user tasks Task: aaa : READ WRITE EXECUTE DEBUG Task: acl : READ WRITE EXECUTE DEBUG Task: admin : READ WRITE EXECUTE DEBUG Task: ancp : READ WRITE EXECUTE DEBUG Task: atm : READ WRITE EXECUTE DEBUG Task: basic-services : READ WRITE EXECUTE DEBUG Task: bcdl : READ WRITE EXECUTE DEBUG Task: bfd : READ WRITE EXECUTE DEBUG Task: bgp : READ WRITE EXECUTE DEBUG Task: boot : READ WRITE EXECUTE DEBUG Task: bundle : READ WRITE EXECUTE DEBUG Task: call-home : READ WRITE EXECUTE DEBUG Task: cdp : READ WRITE EXECUTE DEBUG Task: cef : READ WRITE EXECUTE DEBUG Task: cgn : READ WRITE EXECUTE DEBUG Task: config-mgmt : READ WRITE EXECUTE DEBUG Task: config-services : READ WRITE EXECUTE DEBUG Task: crypto : READ WRITE EXECUTE DEBUG Task: diag : READ WRITE EXECUTE DEBUG Task: drivers : READ WRITE EXECUTE DEBUG Task: dwdm : READ WRITE EXECUTE DEBUG Task: eem : READ WRITE EXECUTE DEBUG Task: eigrp : READ WRITE EXECUTE DEBUG --More-- (output omitted )
U kunt het ACS-rapport verifiëren vanaf de bewakings- en rapportagepagina. Zoals in de afbeelding wordt getoond, kunt u op het vergrootglas klikken om het gedetailleerde rapport te zien.
Dit zijn een paar handige opdrachten voor probleemoplossing bij ASR:
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
07-Nov-2017 |
Eerste vrijgave |