ASR9k TACACS configureren met Cisco Secure ACS 5.x-server
Inhoud
Inleiding
Dit document beschrijft de configuratie van de ASR 9000 Series Aggregation Services Router (ASR) om te verifiëren en te autoriseren via TACACS+ met Cisco Secure Access Control Server (ACS) 5.x-server.
Dit is een voorbeeld van de implementatie van het beheermodel voor op taken gebaseerde autorisatie dat wordt gebruikt om de toegang van gebruikers in het Cisco IOS XR-softwaresysteem te controleren. De belangrijkste taken die vereist zijn om een taakgebaseerde autorisatie te implementeren, zijn hoe u gebruikersgroepen en taakgroepen moet configureren. Gebruikersgroepen en taakgroepen worden geconfigureerd via de Cisco IOS XR-softwarerelease die worden gebruikt voor verificatie-, autorisatie- en accounting (AAA) services. Verificatieopdrachten worden gebruikt om de identiteit van een gebruiker of opdrachtgever te verifiëren. Autorisatieopdrachten worden gebruikt om te controleren of een geverifieerde gebruiker (of opdrachtgever) toestemming heeft om een specifieke taak uit te voeren. De opdrachten voor accounting worden gebruikt voor het vastleggen van sessies en om een auditspoor te maken door bepaalde door de gebruiker of het systeem gegenereerde acties op te nemen.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- ASR 9000 implementatie en basisconfiguratie
- ACS 5.x implementatie en configuratie.
- TACACS+ protocol
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- ASR 9000 met Cisco IOS XR-software, versie 4.3.4
- Cisco Secure ACS-module 5.7
De informatie in dit document is gebaseerd op apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, zorg er dan voor dat u de mogelijke impact van elke configuratiewijziging begrijpt.
Configuratie
Vooraf gedefinieerde componenten op IOS XR
Er zijn vooraf gedefinieerde gebruikersgroepen en taakgroepen in IOS XR. De beheerder kan deze vooraf gedefinieerde groepen gebruiken of aangepaste groepen definiëren volgens de vereiste.
Vooraf gedefinieerde gebruikersgroepen
Deze gebruikersgroepen zijn vooraf gedefinieerd op IOS XR:
| Gebruikersgroep | Bevoegdheden |
|---|---|
| Cisco-ondersteuning | Debug- en probleemoplossingsfuncties (meestal gebruikt door Cisco Technical Support-personeel). |
| netadmin | Configureer netwerkprotocollen zoals Open Shortest Path First (OSPF) (meestal gebruikt door netwerkbeheerders). |
| machineoperator | Voer dagelijkse bewakingsactiviteiten uit en heb beperkte configuratierechten. |
| wortel-lr | Geef alle opdrachten weer en voer ze uit binnen één RP. |
| wortelsysteem | Geef alle opdrachten voor alle RP's in het systeem weer en voer ze uit. |
| sysadmin | Voer systeembeheertaken voor de router uit, zoals het handhaven waar de kerndumps worden opgeslagen of het instellen van de Network Time Protocol (NTP)-klok. |
| servicebeheer | Voer servicebeheertaken uit, zoals Session border-controller (SBC). |
De root-system gebruikersgroep heeft vooraf gedefinieerde autorisatie; dat wil zeggen, het heeft de volledige verantwoordelijkheid voor root-systeem user-managed resources en bepaalde verantwoordelijkheden in andere services.
Gebruik deze opdracht om de vooraf gedefinieerde gebruikersgroepen te controleren:
RP/0/RSP1/CPU0:ASR9k#show aaa usergroup ? | Output Modifiers root-lr Name of the usergroup netadmin Name of the usergroup operator Name of the usergroup sysadmin Name of the usergroup root-system Name of the usergroup serviceadmin Name of the usergroup cisco-support Name of the usergroup WORD Name of the usergroup <cr>
Vooraf gedefinieerde taakgroepen
Deze vooraf gedefinieerde taakgroepen zijn beschikbaar voor beheerders die kunnen worden gebruikt, doorgaans voor de eerste configuratie:
- Cisco-ondersteuning: taken van Cisco-ondersteunend personeel
- netadmin: taken van netwerkbeheerder
- exploitant: dagelijkse taken van de exploitant (voor demonstratiedoeleinden)
- root-lr: beveiligde domeinrouter-beheertaken
- root-systeem: beheerderstaken voor het hele systeem
- sysadmin: taken van systeembeheerder
- serviceadmin: servicebeheertaken, bijvoorbeeld SBC
Gebruik deze opdracht om de vooraf gedefinieerde taakgroepen te controleren:
RP/0/RSP1/CPU0:ASR9k#show aaa taskgroup ? | Output Modifiers root-lr Name of the taskgroup netadmin Name of the taskgroup operator Name of the taskgroup sysadmin Name of the taskgroup root-system Name of the taskgroup serviceadmin Name of the taskgroup cisco-support Name of the taskgroup WORD Name of the taskgroup <cr>
Gebruik deze opdracht om de ondersteunde taken te controleren:
RP/0/RSP1/CPU0:ASR9k#show aaa task supported
Hier is de lijst met ondersteunde taken:
| AAA |
ACL |
Beheerder |
ANCP |
ATM |
basisdiensten |
BCDL |
BFD |
bgp |
| opstarten |
Bundel |
call home |
CDP |
Cef |
CGN |
Cisco-ondersteuning |
configuratiebeheer |
Config-services |
| Crypto |
Diag |
Verboden |
Stuurprogramma's |
DWDM |
Eem |
EIGRP |
Ethernet-services |
toegang tot documenten |
| Materiaal |
foutenmarge |
Bestandssysteem |
Firewall |
Fr |
HDLC |
hostdiensten |
HSRP |
interface |
| Inventaris |
IP-services |
IPv4 |
IPv6 |
ISIS |
L2VPN |
Li |
Lisp |
logboekregistratie |
| LPTS |
Monitor (bewaken) |
MPLS-ldp |
MPLS-statisch |
MPLS-te |
Multicast |
NetFlow |
Netwerk |
NPS |
| OSPF |
Ouni |
PBR |
Pkg-beheer |
post-dpt |
PPP |
QoS |
RCMD |
rib |
| scheur |
wortel-lr |
wortelsysteem |
routekaart |
routebeleid |
SBC |
SNMP |
sonet-sdh |
statisch |
| Sysmgr |
Systeem |
Vervoer |
tty-access |
Tunnel |
Universeel |
Vlan |
VPDN |
vrp |
Elk van de bovengenoemde taken kan gegeven worden met een van deze of alle vier de permissies.
| Lezen |
Specificeert een aanduiding die alleen een leesbewerking toestaat. |
| Schrijven |
Specificeert een aanwijzing die een veranderingsverrichting toelaat en impliciet een gelezen verrichting toestaat. |
| Voer deze opdracht uit: |
Specificeert een aanwijzing die een toegangsverrichting toestaat; bijvoorbeeld, pingel en Telnet. |
| Debuggen |
Specificeert een aanwijzing die toestaat zuivert verrichting. |
Door gebruiker gedefinieerde componenten op IOS XR
Door gebruiker gedefinieerde gebruikersgroepen
De beheerder kan zijn eigen gebruikersgroepen configureren om aan bepaalde behoeften te voldoen. Hier is het configuratievoorbeeld:
RP/0/RSP1/CPU0:ASR9k(config)#usergroup TAC-Defined RP/0/RSP1/CPU0:ASR9k(config-ug)#taskgroup operator RP/0/RSP1/CPU0:ASR9k(config-ug)#commit
Door gebruiker gedefinieerde taakgroepen
De beheerder kan zijn eigen taakgroepen configureren om aan bepaalde behoeften te voldoen. Hier is het configuratievoorbeeld:
RP/0/RSP1/CPU0:ASR9k(config)#taskgroup TAC-Defined-TASK RP/0/RSP1/CPU0:ASR9k(config-tg)#task ? debug Specify a debug-type task ID execute Specify a execute-type task ID read Specify a read-type task ID write Specify a read-write-type task ID RP/0/RSP1/CPU0:ASR9k(config-tg)#task read aaa RP/0/RSP1/CPU0:ASR9k(config-tg)#task write aaa RP/0/RSP1/CPU0:ASR9k(config-tg)#task execute aaa RP/0/RSP1/CPU0:ASR9k(config-tg)#task debug aaa RP/0/RSP1/CPU0:ASR9k(config-tg)#task read acl RP/0/RSP1/CPU0:ASR9k(config-tg)#task write acl RP/0/RSP1/CPU0:ASR9k(config-tg)#task execute acl RP/0/RSP1/CPU0:ASR9k(config-tg)#commit RP/0/RSP1/CPU0:ASR9k#show aaa taskgroup TAC-Defined-TASK Task group 'TAC-Defined-TASK' Task IDs included directly by this group: Task: aaa : READ WRITE EXECUTE DEBUG Task: acl : READ WRITE EXECUTE Task group 'TAC-Defined-TASK' has the following combined set of task IDs (including all inherited groups): Task: aaa : READ WRITE EXECUTE DEBUG Task: acl : READ WRITE EXECUTE
Als u niet zeker weet hoe u moet vinden welke taakgroep en toestemming voor een bepaalde opdracht nodig is, kunt u de opdracht beschrijven gebruiken om deze te vinden. Hierna volgt een voorbeeld:
Voorbeeld 1:
RP/0/RSP1/CPU0:ASR9k#describe show aaa usergroup Package: ..... User needs ALL of the following taskids: aaa (READ) RP/0/RSP1/CPU0:ASR9k#
Om een gebruiker in staat te stellen de opdracht tonen een gebruikersgroep uit te voeren, moet u deze lijn in de taakgroep toestaan:
taak lezen aaa
Voorbeeld 2:
RP/0/RSP1/CPU0:ASR9k(config)#describe aaa authentication login default group tacacs+ Package: ..... User needs ALL of the following taskids: aaa (READ WRITE) RP/0/RSP1/CPU0:ASR9k(config)#
Om een gebruiker in staat te stellen de opdracht aaa authenticatie login standaardgroep tacacs+ uit te voeren vanuit de configuratiemodus, moet u deze lijn in de taakgroep toestaan:
taak lezen schrijven aaa
U kunt de gebruikersgroep definiëren die meerdere taakgroepen kan importeren. Hier is het configuratievoorbeeld:
RP/0/RSP1/CPU0:ASR9k#show aaa usergroup TAC-Defined Tue Feb 16 00:50:56.799 UTC User group 'TAC-Defined' Inherits from task group 'operator' User group 'TAC-Defined' has the following combined set of task IDs (including all inherited groups): Task: basic-services : READ WRITE EXECUTE DEBUG Task: cdp : READ Task: diag : READ Task: ext-access : READ EXECUTE Task: logging : READ RP/0/RSP1/CPU0:ASR9k#conf t RP/0/RSP1/CPU0:ASR9k(config)#usergroup TAC-Defined RP/0/RSP1/CPU0:ASR9k(config-ug)#taskgroup TAC-Defined-TASK RP/0/RSP1/CPU0:ASR9k(config-ug)#commit RP/0/RSP1/CPU0:ASR9k#show aaa usergroup TAC-Defined Tue Feb 16 00:51:31.494 UTC User group 'TAC-Defined' Inherits from task group 'operator' Inherits from task group 'TAC-Defined-TASK' User group 'TAC-Defined' has the following combined set of task IDs (including all inherited groups): Task: aaa : READ WRITE EXECUTE DEBUG Task: acl : READ WRITE EXECUTE Task: basic-services : READ WRITE EXECUTE DEBUG Task: cdp : READ Task: diag : READ Task: ext-access : READ EXECUTE Task: logging : READ
AAA-configuratie op de router
Definieer een TACACS-server op de router:
Hier definieert u het IP-adres van de ACS-server als de tacacs-server met Cisco-toets
RP/0/RSP1/CPU0:ASR9k(config)#tacacs-server host 10.106.73.233 port 49 RP/0/RSP1/CPU0:ASR9k(config-tacacs-host)#key 0 cisco RP/0/RSP1/CPU0:ASR9k(config-tacacs-host)#commit ! tacacs-server host 10.106.73.233 port 49 key 7 14141B180F0B !
Wijs de authenticatie en autorisatie toe aan een externe TACACS-server.
#aaa authentication login default group tacacs+ local #aaa authorization exec default group tacacs+ local
Opdrachtautorisatie (optioneel):
#aaa authorization commands default group tacacs+
Wijs de accounting toe aan de externe server (optioneel).
#aaa accounting commands default start-stop group tacacs+ #aaa accounting update newinfo
Configuratie ACS-server
Stap 1. Om de router IP in de lijst van AAA-clients op ACS-server te definiëren, navigeer je naar Network Resources > Network Devices en AAA Clients, zoals in de afbeelding. In dit voorbeeld definieert u cisco als gedeeld geheim zoals geconfigureerd in de ASR.
Stap 2. Definieer de gebruikersgroepen volgens uw vereiste. In het voorbeeld, zoals in deze afbeelding, gebruikt u vier groepen.
Stap 3. Zoals in de afbeelding wordt getoond, maakt u de gebruikers en wijst u ze toe aan de respectieve gebruikersgroep die hierboven is gemaakt.
Stap 4. Definieer het Shell-profiel dat u voor de respectieve gebruikers wilt instellen.
In het reeds gemaakte shell-profiel, vormt u om de respectievelijke taakgroepen zoals in de afbeelding te duwen.
Stap 5. Bepaal het toegangsbeleid. Verificatie vindt plaats tegen de interne gebruikers.
Stap 6. Configureer de autorisatie op basis van de vereiste met behulp van de eerder gemaakte gebruikersidentiteitsgroepen en breng de respectievelijke shell-profielen in kaart, zoals in de afbeelding.
Verifiëren
Exploitant
Om aan te melden wordt de gebruikersnaam asrread gebruikt. Dit zijn de verificatieopdrachten.
username: ASRread password: RP/0/RSP1/CPU0:ASR9k#show user ASRread RP/0/RSP1/CPU0:ASR9k#show user group operator RP/0/RSP1/CPU0:ASR9k#show user tasks Task: basic-services : READ WRITE EXECUTE DEBUG Task: cdp : READ Task: diag : READ Task: ext-access : READ EXECUTE Task: logging : READ
Exploitant met AAA
Om in te loggen wordt de gebruikersnaam asra gebruikt. Dit zijn de verificatieopdrachten.
username: asraaa
password:
RP/0/RSP1/CPU0:ASR9k#sh user
asraaa
RP/0/RSP1/CPU0:ASR9k#sh user group
operator
RP/0/RSP1/CPU0:ASR9k#sh user tasks
Task: aaa : READ WRITE EXECUTE
Task: basic-services : READ WRITE EXECUTE DEBUG
Task: cdp : READ
Task: diag : READ
Task: ext-access : READ EXECUTE
Task: logging : READ
Sysadmin
Om aan te melden wordt gebruikersnaam asrwrite gebruikt. Dit zijn de verificatieopdrachten.
username: asrwrite password: RP/0/RSP1/CPU0:ASR9k#sh user asrwrite RP/0/RSP1/CPU0:ASR9k#sh user group sysadmin RP/0/RSP1/CPU0:ASR9k#sh user tasks Task: aaa : READ Task: acl : READ WRITE EXECUTE DEBUG Task: admin : READ Task: ancp : READ Task: atm : READ Task: basic-services : READ WRITE EXECUTE DEBUG Task: bcdl : READ Task: bfd : READ Task: bgp : READ Task: boot : READ WRITE EXECUTE DEBUG Task: bundle : READ Task: call-home : READ Task: cdp : READ WRITE EXECUTE DEBUG Task: cef : READ Task: cgn : READ Task: config-mgmt : READ WRITE EXECUTE DEBUG Task: config-services : READ WRITE EXECUTE DEBUG Task: crypto : READ WRITE EXECUTE DEBUG Task: diag : READ WRITE EXECUTE DEBUG Task: drivers : READ Task: dwdm : READ Task: eem : READ WRITE EXECUTE DEBUG Task: eigrp : READ Task: ethernet-services : READ --More-- (output omitted )
basissysteem
Om in te loggen wordt gebruikersnaam asrroot gebruikt. Dit zijn de verificatieopdrachten.
username: asrroot password: RP/0/RSP1/CPU0:ASR9k#show user asrroot RP/0/RSP1/CPU0:ASR9k#show user group root-system RP/0/RSP1/CPU0:ios#show user tasks Task: aaa : READ WRITE EXECUTE DEBUG Task: acl : READ WRITE EXECUTE DEBUG Task: admin : READ WRITE EXECUTE DEBUG Task: ancp : READ WRITE EXECUTE DEBUG Task: atm : READ WRITE EXECUTE DEBUG Task: basic-services : READ WRITE EXECUTE DEBUG Task: bcdl : READ WRITE EXECUTE DEBUG Task: bfd : READ WRITE EXECUTE DEBUG Task: bgp : READ WRITE EXECUTE DEBUG Task: boot : READ WRITE EXECUTE DEBUG Task: bundle : READ WRITE EXECUTE DEBUG Task: call-home : READ WRITE EXECUTE DEBUG Task: cdp : READ WRITE EXECUTE DEBUG Task: cef : READ WRITE EXECUTE DEBUG Task: cgn : READ WRITE EXECUTE DEBUG Task: config-mgmt : READ WRITE EXECUTE DEBUG Task: config-services : READ WRITE EXECUTE DEBUG Task: crypto : READ WRITE EXECUTE DEBUG Task: diag : READ WRITE EXECUTE DEBUG Task: drivers : READ WRITE EXECUTE DEBUG Task: dwdm : READ WRITE EXECUTE DEBUG Task: eem : READ WRITE EXECUTE DEBUG Task: eigrp : READ WRITE EXECUTE DEBUG --More-- (output omitted )
Problemen oplossen
U kunt het ACS-rapport verifiëren vanaf de bewakings- en rapportagepagina. Zoals in de afbeelding wordt getoond, kunt u op het vergrootglas klikken om het gedetailleerde rapport te zien.
Dit zijn een paar handige opdrachten voor probleemoplossing bij ASR:
- gebruiker tonen
- gebruikersgroep weergeven
- gebruikerstaken tonen
- gebruiker alles tonen
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
07-Nov-2017 |
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)