Introduction

Este documento descreve como configurar a integração do Cisco Wide Area Application Services (WAAS) com o Cisco Access Control Server (ACS) Versão 5.x . Quando configurados de acordo com as etapas neste documento, os usuários são capazes de se autenticar no WAAS com credenciais TACACS+ através do ACS.

Prerequisites

Requirements

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

Cisco Secure ACS versão 5.x
Cisco WAAS

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Configurar

Configurar o ACS

Para definir um cliente AAA no ACS Versão 5.x, navegue para Recursos de rede > Dispositivos de rede e Clientes AAA. Configure o cliente AAA com um nome descritivo, um único endereço IP e uma chave secreta compartilhada para TACACS+.
Para definir um perfil Shell, navegue até Policy Elements > Authorization and Permissions > Device Administration > Shell Profiles. Neste exemplo, um novo perfil de shell chamado WAAS_Attribute é configurado. Esse atributo personalizado é enviado ao WAAS, o que permite inferir qual grupo de usuários é o grupo de administradores. Configure estes atributos personalizados:
- O Atributo é waas_rbac_groups.
- O Requisito é Opcional para que não perturbe nenhum outro dispositivo.
- O Valor é o nome do grupo ao qual deve ser atribuído o acesso administrativo (Grupo de Teste).
Para definir um conjunto de comandos para permitir todos os comandos, navegue para Policy Elements > Authorization and Permissions > Device Administration > Command Sets.
- Edite o conjunto de comandos Permit_All.
- Se você marcar a caixa de seleção Permitir qualquer comando que não esteja na tabela abaixo, o usuário receberá privilégios totais.
Observação: como este exemplo usa TACACS, o serviço padrão selecionado é admin de dispositivo padrão.
Para apontar a identidade para a origem de identidade correta, navegue para Access Policies > Access Services > Default Device Admin > Identity. Se o usuário existir no banco de dados do ACS local, selecione Internal Users. Se o usuário existir no Ative Diretory, selecione o armazenamento de identidade configurado (AD1 neste exemplo).
Para criar uma regra de autorização, navegue até Access Policies >Access Services > Default Device Admin > Authorization. Crie uma nova política de autorização chamada Autorização WAAS. Isso verifica se há solicitações do WAAS. Neste exemplo, o IP do dispositivo é usado como uma condição. No entanto, isso pode ser alterado com base nos requisitos de implantação. Aplique o perfil de shell e os conjuntos de comandos configurados nas Etapas 2 e 3 desta seção.

Configuração no WAAS

Para definir um servidor TACACS+, navegue até Devices > <Central Manager System Name> > Configure > Security > AAA > TACACS+. Configure o endereço IP e a chave pré-compartilhada do servidor ACS.
Para modificar os métodos de autenticação e autorização, navegue para Devices > <Central Manager System Name> > Configure > Security > AAA > Authentication Methods. Nesta captura de tela, o método de login principal é configurado para local com o secundário configurado para TACACS+.
Navegue para Home > Admin > AAA > User Groups para adicionar o nome do grupo que corresponde ao atributo personalizado Value (consulte a Etapa 2 na seção Configure ACS) no WAAS.
Atribua a esse grupo (Test_Group) direitos de nível administrativo na guia Home > Admin > AAA > User Groups Role Management. A função admin no Central Manager é pré-configurada.

Verificar

Tente fazer login no WAAS com credenciais TACACS+. Se tudo estiver configurado corretamente, você receberá acesso.

Troubleshoot

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Contents