ACS 5.x: Autenticação TACACS+ e autorização de comando com base no exemplo de configuração de associação de grupo do AD

Opções de download

  • PDF     (724.5 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (736.1 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (2.2 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:29 de junho de 2012
ID do documento:113590

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento fornece um exemplo de configuração de Autenticação TACACS+ e Autorização de Comando com base na associação de grupo do AD de um usuário com o Cisco Secure Access Control System (ACS) 5.x e posterior. O ACS usa o Microsoft Active Directory (AD) como um armazenamento de identidade externa para armazenar recursos, como usuários, máquinas, grupos e atributos.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco Secure ACS 5.3

  • Software Cisco IOS® versão 12.2(44)SE6.

    Observação: essa configuração pode ser feita em todos os dispositivos Cisco IOS.

  • Domínio do Microsoft Windows Server 2003

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configuração

Configurar o ACS 5.x para autenticação e autorização

Antes de iniciar a configuração do ACS 5.x para Autenticação e Autorização, o ACS deve ter sido integrado com êxito ao Microsoft AD. Se o ACS não estiver integrado ao Domínio do AD desejado, consulte ACS 5.x e posterior: Exemplo de Configuração de Integração com o Microsoft Ative Diretory para obter mais informações para executar a tarefa de integração.

Nesta seção, você mapeia dois grupos do AD para dois conjuntos de comandos diferentes e dois perfis do Shell, um com acesso total e outro com acesso limitado nos dispositivos Cisco IOS.

  1. Faça login na GUI do ACS usando as credenciais de Admin.

  2. Escolha Users and Identity Stores > External Identity Stores > Ative Diretory e verifique se o ACS ingressou no domínio desejado e também se o status de conectividade é mostrado como connected.

    Clique na guia Diretory Groups.

    acs5-tacas-config-01.gif

  3. Clique em Selecionar.

    acs5-tacas-config-02.gif

  4. Escolha os grupos que precisam ser mapeados para os perfis Shell e conjuntos de comandos na parte posterior da configuração. Click OK.

    acs5-tacas-config-03.gif

  5. Clique em Save Changes.

    acs5-tacas-config-04.gif

  6. Escolha Access Policies > Access Services > Service Selection Rules e identifique o serviço de acesso, que processa a autenticação TACACS+. Neste exemplo, é Default Device Admin.

    acs5-tacas-config-05.gif

  7. Escolha Access Policies > Access Services > Default Device Admin > Identity e clique em Select ao lado de Identity Source.

    acs5-tacas-config-06.gif

  8. Escolha AD1 e clique em OK.

    acs5-tacas-config-07.gif

  9. Clique em Save Changes.

    acs5-tacas-config-08.gif

  10. Escolha Access Policies > Access Services > Default Device Admin > Authorization e clique em Customize.

    acs5-tacas-config-09.gif

  11. Copie AD1:ExternalGroups da seção Available to Seleted de Customize Conditions e depois mova o Perfil do Shell e os Conjuntos de Comandos da seção Available to Seleted de Customize Results. Agora clique em OK.

    acs5-tacas-config-10.gif

  12. Clique em Create para criar uma nova regra.

    acs5-tacas-config-11.gif

  13. Clique em Selecionar na condição AD1:ExternalGroups.

    acs5-tacas-config-12.gif

  14. Escolha o grupo ao qual você deseja conceder acesso total no dispositivo IOS Cisco. Click OK.

    acs5-tacas-config-13.gif

  15. Clique em Select no campo Shell Profile.

    acs5-tacas-config-14.gif

  16. Clique em Create para criar um novo Shell Profile para usuários com acesso total.

    acs5-tacas-config-15.gif

  17. Forneça um Nome e Descrição (opcional) na guia Geral e clique na guia Tarefas comuns.

    acs5-tacas-config-16.gif

  18. Altere Default Privilege e Maximum Privilege para Static com o Valor 15. Clique em Submit.

    acs5-tacas-config-17.gif

  19. Agora, escolha o Perfil do shell de acesso completo recém-criado (Privilégio completo neste exemplo) e clique em OK.

    acs5-tacas-config-18.gif

  20. Clique em Selecionar no campo Conjuntos de Comandos.

    acs5-tacas-config-19.gif

  21. Clique em Create para criar um novo conjunto de comandos para usuários de Full-Access.

    acs5-tacas-config-20.gif

  22. Forneça um Nome e verifique se a caixa de seleção ao lado de Permitir qualquer comando que não esteja na tabela abaixo está marcada. Clique em Submit.

    Observação: consulte Criação, Duplicação e Edição de Conjuntos de Comandos para Administração de Dispositivos para obter mais informações sobre Conjuntos de Comandos.

    acs5-tacas-config-21.gif

  23. Click OK.

    acs5-tacas-config-22.gif

  24. Click OK. Isso conclui a configuração da Regra-1.

    acs5-tacas-config-23.gif

  25. Clique em Criar para criar uma nova Regra para usuários com acesso limitado.

    acs5-tacas-config-24.gif

  26. Escolha AD1:ExternalGroups e clique em Select.

    acs5-tacas-config-25.gif

  27. Escolha o(s) grupo(s) ao(s) qual(is) você deseja conceder acesso limitado e clique em OK.

    acs5-tacas-config-26.gif

  28. Clique em Select no campo Shell Profile.

    acs5-tacas-config-27.gif

  29. Clique em Create para criar um novo Shell Profile para acesso limitado.

    acs5-tacas-config-28.gif

  30. Forneça um Nome e Descrição (opcional) na guia Geral e clique na guia Tarefas comuns.

    acs5-tacas-config-29.gif

  31. Altere o Privilégio padrão e o Privilégio máximo para Estático com valores 1 e 15 respectivamente. Clique em Submit.

    acs5-tacas-config-30.gif

  32. Click OK.

    acs5-tacas-config-31.gif

  33. Clique em Selecionar no campo Conjuntos de Comandos.

    acs5-tacas-config-32.gif

  34. Clique em Criar para criar um novo Conjunto de Comandos para o grupo de acesso limitado.

    acs5-tacas-config-33.gif

  35. Forneça um Nome e verifique se a caixa de seleção ao lado de Permitir qualquer comando que não esteja na tabela abaixo não está marcada. Clique em Adicionar depois de digitar show no espaço fornecido na seção command e escolha Permit na seção Grant para que somente os comandos show sejam permitidos para os usuários no grupo de acesso limitado.

    acs5-tacas-config-34.gif

  36. Da mesma forma, adicione outros comandos a serem permitidos para os usuários em um grupo de acesso limitado com o uso de Add. Clique em Submit.

    Observação: consulte Criação, Duplicação e Edição de Conjuntos de Comandos para Administração de Dispositivos para obter mais informações sobre Conjuntos de Comandos.

    acs5-tacas-config-35.gif

  37. Click OK.

    acs5-tacas-config-36.gif

  38. Click OK.

    acs5-tacas-config-37.gif

  39. Clique em Save Changes.

    acs5-tacas-config-38.gif

  40. Clique em Create para adicionar o dispositivo Cisco IOS como um AAA Client no ACS.

    acs5-tacas-config-39.gif

  41. Forneça um nome, endereço IP, segredo compartilhado para TACACS+ e clique em Enviar.

    acs5-tacas-config-40.gif

Configurar o dispositivo IOS Cisco para autenticação e autorização

Conclua estas etapas para configurar o dispositivo Cisco IOS e o ACS para Autenticação e Autorização.

  1. Crie um usuário local com privilégio total para fallback com o comando username, como mostrado aqui:

    username admin privilege 15 password 0 cisco123!

  2. Forneça o endereço IP do ACS para habilitar o AAA e adicionar o ACS 5.x como servidor TACACS.

    aaa new-model
tacacs-server host 192.168.26.51 key cisco123

    Observação: a chave deve corresponder ao segredo compartilhado fornecido no ACS para este dispositivo IOS Cisco.

  3. Teste a alcançabilidade do servidor TACACS com o comando test aaa como mostrado.

    test aaa group tacacs+ user1 xxxxx legacy
Attempting authentication test to server-group tacacs+ using tacacs+
User was successfully authenticated.

    A saída do comando anterior mostra que o servidor TACACS está acessível e que o usuário foi autenticado com êxito.

    Observação: User1 e a senha xxx pertencem ao AD. Se o teste falhar, verifique se o segredo compartilhado fornecido na etapa anterior está correto.

  4. Configure o login e habilite as autenticações e use as autorizações de execução e de comando como mostrado aqui:

    aaa authentication login default group tacacs+ local
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ local
aaa authorization commands 0 default group tacacs+ local
aaa authorization commands 1 default group tacacs+ local
aaa authorization commands 15 default group tacacs+ local
aaa authorization config-commands

    Observação: as palavras-chave Local e Enable são usadas para fallback para o usuário local do Cisco IOS e enable secret, respectivamente, se o servidor TACACS estiver inacessível.

Verificar

Para verificar a autenticação e o login de autorização no dispositivo IOS Cisco através de Telnet.

  1. Faça Telnet para o dispositivo Cisco IOS como user1 que pertence ao grupo de acesso completo no AD. O grupo Administradores de Rede é o grupo no AD que é mapeado para Perfil do Shell de Privilégio Completo e Comando de Acesso Completo no ACS. Tente executar qualquer comando para garantir que você tenha acesso total.

    acs5-tacas-config-41.gif

  2. Execute Telnet para o dispositivo Cisco IOS como o usuário2 que pertence ao grupo de acesso limitado no AD. (O grupo Network Maintenance Team é o grupo no AD que é mapeado para Limited-Privilege Shell Profile e Show-Access Command set no ACS). Se você tentar executar qualquer comando diferente dos mencionados no conjunto de comandos Show-Access, receberá um erro Command Authorization Failed, que mostra que o usuário2 tem acesso limitado.

    acs5-tacas-config-42.gif

  3. Faça login na GUI do ACS e inicie o Monitoring and Reports viewer. Escolha AAA Protocol > TACACS+Authorization para verificar as atividades executadas por user1 e user2.

    acs5-tacas-config-43.gif

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
20-Jun-2012
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos