Este documento fornece uma compilação de atributos que vários produtos da Cisco e de outros fabricantes esperam receber de um servidor de autenticação, autorização e tarifação (AAA - Authentication, Authorization, and Accounting); neste caso, o servidor AAA é um Servidor de Controle de Acesso (ACS - Access Control Server). O ACS pode retornar esses atributos junto com um Access-Accept como parte de um perfil de shell (TACACS+) ou perfil de autorização (RADIUS).
Este documento fornece instruções passo a passo sobre como adicionar atributos personalizados a perfis de shell e perfis de autorização. Este documento também contém uma lista de dispositivos e os atributos TACACS+ e RADIUS que os dispositivos esperam ver retornados do servidor AAA. Todos os tópicos incluem exemplos.
A lista de atributos fornecida neste documento não é exaustiva ou autoritativa e pode ser alterada a qualquer momento sem uma atualização deste documento.
Não existem requisitos específicos para este documento.
As informações neste documento são baseadas na versão 5.2/5.3 do ACS.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Um perfil de shell é um contêiner básico de permissões para acesso baseado em TACACS+. Você pode especificar quais atributos TACACS+ e valores de atributo devem ser retornados com Access-Accept, além do nível de privilégio Cisco® IOS, tempo limite de sessão e outros parâmetros.
Conclua estas etapas para adicionar atributos personalizados a um novo perfil de shell:
Faça login na interface ACS.
Navegue até Elementos de política > Autorização e permissões > Administração de dispositivo > Perfis de shell.
Clique no botão Criar.
Nomeie o perfil de shell.
Clique na guia Atributos Personalizados.
Informe o nome do atributo no campo Atributo.
Escolha se o requisito é Obrigatório ou Opcional na lista suspensa Requisito.
Deixe a lista suspensa do valor do atributo definido como Static. Se o valor for estático, você poderá inseri-lo no próximo campo. Se o valor for dinâmico, você não poderá inserir o atributo manualmente; em vez disso, o atributo é mapeado para um atributo em um dos armazenamentos de identidade.
Insira o valor do atributo no último campo.
Clique no botão Add para adicionar a entrada à tabela.
Repita o procedimento para configurar todos os atributos necessários.
Clique no botão Submit na parte inferior da tela.
Dispositivo: Mecanismo de controle de aplicativos (ACE)
Atributos: shell:<nome-do-contexto>
Valor(es) <Role-name> <domain-name1>
Uso: A função e o domínio são separados por um caractere de espaço. Você pode configurar um usuário (por exemplo, USER1) para receber uma função (por exemplo, ADMIN) e um domínio (por exemplo, MYDOMAIN) quando o usuário fizer login em um contexto (por exemplo, C1).
Um perfil de autorização é um contêiner básico de permissões para acesso baseado em RADIUS. Você pode especificar quais atributos RADIUS e valores de atributo devem ser retornados com Access-Accept, além das VLANs, Access Control Lists (ACLs) e outros parâmetros.
Conclua estas etapas para adicionar atributos personalizados a um novo perfil de autorização:
Faça login na interface ACS.
Navegue até Elementos de política > Autorização e permissões > Acesso à rede > Perfis de autorização.
Clique no botão Criar.
Nomeie o perfil de autorização.
Clique na guia Atributos RADIUS.
Selecione um dicionário no menu suspenso Tipo de dicionário.
Para definir o atributo de seleção para o campo RADIUS Attribute, clique no botão Select. Uma nova janela é exibida.
Revise os atributos disponíveis, faça sua seleção e clique em OK. O valor Tipo de Atributo é definido por padrão, com base na seleção de atributo que você acabou de fazer.
Deixe a lista suspensa do valor do atributo definido como Static. Se o valor for estático, você poderá inseri-lo no próximo campo. Se o valor for dinâmico, você não poderá inserir o atributo manualmente; em vez disso, o atributo é mapeado para um atributo em um dos armazenamentos de identidade.
Insira o valor do atributo no último campo.
Clique no botão Add para adicionar a entrada à tabela.
Repita o procedimento para configurar todos os atributos necessários.
Clique no botão Submit na parte inferior da tela.
Dispositivo: ACE
Atributos: Cisco-av-pair
Valor(es) shell:<context-name>=<Role-name> <domain-name1> <domain-name2>
Uso: Cada valor após o sinal de igual é separado por um caractere de espaço. Você pode configurar um usuário (por exemplo, USER1) para receber uma função (por exemplo, ADMIN) e um domínio (por exemplo, MYDOMAIN) quando o usuário fizer login em um contexto (por exemplo, C1).
RADIUS (perfil de autorização)
Atributos: Cisco-av-pair
Valor(es) shell:tasks="#<nome-da-função>,<permissão>:<processo>"
Uso: defina os valores de <nome-da-função> para o nome de uma função definida localmente no roteador. A hierarquia de função pode ser descrita em termos de uma árvore, onde a função #root está no topo da árvore e a função #leaf adiciona comandos adicionais. Essas duas funções podem ser combinadas e passadas de volta se: shell:tasks="#root,#leaf".
As permissões também podem ser passadas de volta em uma base de processo individual, para que um usuário possa receber privilégios de leitura, gravação e execução para determinados processos. Por exemplo, para conceder a um usuário privilégios de leitura e gravação para o processo bgp, defina o valor como: shell:tasks="#root,rw:bgp". A ordem dos atributos não importa; o resultado é o mesmo se o valor for definido como shell:tasks="#root,rw:bgp" ou ro shell:tasks="rw:bgp,#root".
Exemplo - Adicionar o atributo a um perfil de autorizaçãoTipo de dicionário | Atributo RADIUS | Tipo de Atributo | Valor do Atributo |
---|---|---|---|
RADIUS-Cisco | cisco-av-pair |
Série | shell:tasks="#root,#leaf,rwx:bgp,r:ospf" |
TACACS+ (Perfil Shell)
Atributos: shell:<nome-do-contexto>
Valor(es) <Role-name> <domain-name1>
Uso: A função e o domínio são separados por um caractere de espaço. Você pode configurar um usuário (por exemplo, USER1) para receber uma função (por exemplo, ADMIN) e um domínio (por exemplo, MYDOMAIN) quando o usuário fizer login em um contexto (por exemplo, C1).
Exemplo - Adicionar o atributo a um perfil de shellAtributo | Requisitos | Valor do Atributo |
---|---|---|
shell:C1 |
Obrigatório | Admin MYDOMAIN |
Se o USER1 efetuar login por meio do contexto C1, a função ADMIN e o domínio MYDOMAIN serão atribuídos automaticamente a esse usuário (desde que uma regra de autorização tenha sido configurada onde, depois que o USER1 efetuar login, este perfil de autorização seja atribuído a ele).
Se USER1 efetuar login através de um contexto diferente, que não é retornado no valor do atributo que o ACS envia de volta, esse usuário recebe automaticamente a função padrão (Monitor de rede) e o domínio padrão (domínio padrão).
RADIUS (perfil de autorização)
Atributos: Cisco-av-pair
Valor(es) shell:<context-name>=<Role-name> <domain-name1> <domain-name2>
Uso: Cada valor após o sinal de igual é separado por um caractere de espaço. Você pode configurar um usuário (por exemplo, USER1) para receber uma função (por exemplo, ADMIN) e um domínio (por exemplo, MYDOMAIN) quando o usuário fizer login em um contexto (por exemplo, C1).
Exemplo - Adicionar o atributo a um perfil de autorizaçãoTipo de dicionário | Atributo RADIUS | Tipo de Atributo | Valor do Atributo |
---|---|---|---|
RADIUS-Cisco | cisco-av-pair |
Série | shell:C1=ADMIN MYDOMAIN |
Se o USER1 efetuar login por meio do contexto C1, a função ADMIN e o domínio MYDOMAIN serão atribuídos automaticamente a esse usuário (desde que uma regra de autorização tenha sido configurada onde, depois que o USER1 efetuar login, esse perfil de autorização seja atribuído a ele).
Se USER1 efetuar login através de um contexto diferente, que não é retornado no valor do atributo que o ACS envia de volta, esse usuário recebe automaticamente a função padrão (Monitor de rede) e o domínio padrão (domínio padrão).
RADIUS (perfil de autorização)
Atributos: Pacote-AVPair
Valor(es) access=<level>
Uso: <nível> é o nível de acesso a ser concedido. O acesso de toque equivale a leitura-gravação, enquanto o acesso de aparência equivale a somente leitura.
Por padrão, o BlueCoat VSA não existe nos dicionários ACS. Para usar o atributo BlueCoat em um perfil de autorização, você deve criar um dicionário BlueCoat e adicionar os atributos do BlueCoat a esse dicionário.
Crie o dicionário:
Navegue até Administração do sistema > Configuração > Dicionários > Protocolos > RADIUS > RADIUS VSA.
Clique em Criar.
Insira os detalhes do dicionário:
Nome: BlueCoat
ID do fornecedor: 2334
Prefixo do Atributo: Packet-
Clique em Submit.
Criar um atributo no novo dicionário:
Navegue até Administração do sistema > Configuração > Dicionários > Protocolos > RADIUS > RADIUS VSA > BlueCoat.
Clique em Criar.
Insira os detalhes do atributo:
Atributo: Packet-AVPair
Descrição: usado para especificar o nível de acesso
ID do Atributo do Fornecedor: 1
Direção: SAÍDA
Várias Permitidas: Falso
Incluir atributo no log: Marcado
Tipo de Atributo: String
Clique em Submit.
Tipo de dicionário | Atributo RADIUS | Tipo de Atributo | Valor do Atributo |
---|---|---|---|
RADIUS-BlueCoat | Packeteer-AVPair |
Série | access=look |
Tipo de dicionário | Atributo RADIUS | Tipo de Atributo | Valor do Atributo |
---|---|---|---|
RADIUS-BlueCoat | Packeteer-AVPair |
Série | access=touch |
RADIUS (perfil de autorização)
Atributos: Tunnel-Private-Group-ID
Valor(es): U:<VLAN1>; T:<VLAN2>
Uso: Defina <VLAN1> para o valor da VLAN de dados. Defina <VLAN2> como o valor da VLAN de voz. Neste exemplo, a VLAN de dados é a VLAN 10 e a VLAN de voz é a VLAN 21.
Exemplo - Adicionar o atributo a um perfil de autorizaçãoTipo de dicionário | Atributo RADIUS | Tipo de Atributo | Valor do Atributo |
---|---|---|---|
RADIUS-IETF | Tunnel-Private-Group-ID |
Cadeia de Caracteres Marcada | U:10;T:21 |
RADIUS (perfil de autorização)
Atributos: Cisco-av-pair
Valor(es) fndn:groups=<group-name>
Uso: <group-name> é o nome do grupo com os privilégios que você deseja conceder ao usuário. Esse grupo deve ser configurado no Cisco Unity Express (CUE).
Exemplo - Adicionar o atributo a um perfil de autorizaçãoTipo de dicionário | Atributo RADIUS | Tipo de Atributo | Valor do Atributo |
---|---|---|---|
RADIUS-Cisco | cisco-av-pair |
Série | fndn:groups=Administrators |
RADIUS (perfil de autorização)
Atributos: Infoblox-Group-Info
Valor(es) <group-name>
Uso: <group-name> é o nome do grupo com os privilégios que você deseja conceder ao usuário. Este grupo deve ser configurado no dispositivo Infoblox. Neste exemplo de configuração, o nome do grupo é Meu grupo.
O Infoblox VSA não existe nos dicionários ACS por padrão. Para usar o atributo Infoblox em um perfil de autorização, você deve criar um dicionário Infoblox e adicionar os atributos Infoblox a esse dicionário.
Crie o dicionário:
Navegue até Administração do sistema > Configuração > Dicionários > Protocolos > RADIUS > RADIUS VSA.
Clique em Criar.
Clique na seta pequena ao lado de Usar opções avançadas do fornecedor.
Insira os detalhes do dicionário:
Nome: Infoblox
ID do fornecedor: 7779
Tamanho do campo Tamanho do fornecedor: 1
Tamanho do campo Tipo de fornecedor: 1
Clique em Submit.
Criar um atributo no novo dicionário:
Navegue até Administração do sistema > Configuração > Dicionários > Protocolos > RADIUS > RADIUS VSA > Infoblox.
Clique em Criar.
Insira os detalhes do atributo:
Atributo: Infoblox-Group-Info
ID do Atributo do Fornecedor: 009
Direção: SAÍDA
Várias Permitidas: Falso
Incluir atributo no log: Marcado
Tipo de Atributo: String
Clique em Submit.
Tipo de dicionário | Atributo RADIUS | Tipo de Atributo | Valor do Atributo |
---|---|---|---|
RADIUS-Blox | Infoblox-Group-Info |
Série | MyGroup |
RADIUS (perfil de autorização)
Atributos: ips-role
Valor(es) <nome da função>
Uso: O valor <nome da função> pode ser qualquer uma das quatro funções de usuário do IPS (Sistema de prevenção de intrusão): visualizador, operador, administrador ou serviço. Consulte o guia de configuração da sua versão do IPS para obter os detalhes das permissões concedidas a cada tipo de função de usuário.
Tipo de dicionário | Atributo RADIUS | Tipo de Atributo | Valor do Atributo |
---|---|---|---|
RADIUS-Cisco | cisco-av-pair |
Série | ips-role:administrator |
TACACS+ (Perfil Shell)
Atributo(s): allow-commands ; allow-configuration ; local-user-name ; deny-commands ; deny-configuration; user-permissions
Valor(es): <allow-commands-regex> ; <allow-configuration-regex> ; <local-username> ; <deny-commands-regex> ; <deny-configuration-regex>
Uso: defina o valor de <local-username> (isto é, o valor do atributo local-user-name) para um nome de usuário que existe localmente no dispositivo Juniper. Por exemplo, você pode configurar um usuário (por exemplo, USER1) para ser atribuído ao mesmo modelo de usuário como um usuário (por exemplo, JUSER) que existe localmente no dispositivo Juniper quando você define o valor do atributo local-user-name como JUSER. Os valores dos atributos allow-commands, allow-configuration, deny-commands e deny-configuration podem ser inseridos no formato regex. Os valores definidos para esses atributos são adicionais aos comandos do modo operacional/configuração autorizados pelos bits de permissões da classe de logon do usuário.
Exemplo - Adicionar atributos a um perfil de shell 1Atributo | Requisitos | Valor do Atributo |
---|---|---|
allow-commands |
Opcional | "(request system) | (show rip neighbor)" |
allow-configuration |
Opcional | |
local-user-name |
Opcional | sales |
deny-commands |
Opcional | "<^clear" |
deny-configuration |
Opcional |
Atributo | Requisitos | Valor do Atributo |
---|---|---|
allow-commands |
Opcional | "monitor | help | show | ping | traceroute" |
allow-configuration |
Opcional | |
local-user-name |
Opcional | engineering |
deny-commands |
Opcional | "configure" |
deny-configuration |
Opcional |
RADIUS (perfil de autorização)
Atributos: Cisco-av-pair
Valor(es) shell:funções="<função1> <função2>"
Uso: defina os valores de <role1> e <role2> para os nomes de funções definidas localmente no switch. Ao adicionar várias funções, separe-as com um caractere de espaço. Quando várias funções são passadas de volta do servidor AAA para o switch Nexus, o resultado é que o usuário tem acesso aos comandos definidos pela união das três funções.
As funções internas são definidas em Configuração de Contas de Usuário e RBAC.
Exemplo - Adicionar o atributo a um perfil de autorizaçãoTipo de dicionário | Atributo RADIUS | Tipo de Atributo | Valor do Atributo |
---|---|---|---|
RADIUS-Cisco | cisco-av-pair |
Série | shell:roles="network-admin vdc-admin vdc-operator" |
TACACS+ (Perfil Shell)
Atributo(s): service ; local-user-name
Valor(es): rbt-exec ; <username>
Uso: Para conceder ao usuário acesso somente leitura, o valor <username> deve ser definido como monitor. Para conceder ao usuário acesso de leitura e gravação, o valor de <username> deve ser definido como admin. Se você tiver outra conta definida além de admin e monitor, configure esse nome para ser retornado.
Exemplo - Adicionar atributos a um perfil de shell (para acesso somente leitura)Atributo | Requisitos | Valor do Atributo |
---|---|---|
service |
Obrigatório | rbt-exec |
local-user-name |
Obrigatório | monitor |
Atributo | Requisitos | Valor do Atributo |
---|---|---|
service |
Obrigatório | rbt-exec |
local-user-name |
Obrigatório | admin |
RADIUS (perfil de autorização)
Atributos: Tipo de serviço
Valor(es): Administrativo (6) / Prompt do NAS (7)
Uso: Para conceder ao usuário acesso de leitura/gravação à controladora Wireless LAN (WLC), o valor deve ser Administrative; para acesso somente leitura, o valor deve ser NAS-Prompt.
Para obter detalhes, consulte Exemplo de Configuração de Autenticação de Servidor RADIUS de Usuários de Gerenciamento em Controladoras Wireless LAN (WLC)
Exemplo - Adicionar o Atributo a um Perfil de Autorização (para acesso somente leitura)Tipo de dicionário | Atributo RADIUS | Tipo de Atributo | Valor do Atributo |
---|---|---|---|
RADIUS-IETF | Service-Type |
Enumeração | NAS-Prompt |
Tipo de dicionário | Atributo RADIUS | Tipo de Atributo | Valor do Atributo |
---|---|---|---|
RADIUS-IETF | Service-Type |
Enumeração | Administrative |
Gerenciador de rede do data center (DCNM)
O DCNM deve ser reiniciado após a alteração do método de autenticação. Caso contrário, ele pode atribuir privilégio de operador de rede em vez de administrador de rede.
Função DCNM | RADIUS Cisco-AV-Pair | Par Cisco-AV do Tacacs |
---|---|---|
Usuário | shell:roles = "network-operator" |
cisco-av-pair=shell:roles="network-operator" |
Administrador | shell:roles = "network-admin" |
cisco-av-pair=shell:roles="network-admin" |
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
22-Jan-2013 |
Versão inicial |