Este documento fornece uma compilação dos atributos que vário Cisco e o Produtos não-Cisco esperam receber de um server do Authentication, Authorization, and Accounting (AAA); neste caso, o servidor AAA é um Access Control Server (ACS). O ACS pode retornar estes atributos junto com uma aceitação de acesso enquanto parte de um perfil do shell (TACACS+) ou perfil da autorização (RAIO).
Este documento fornece instruções passo a passo em como adicionar atributos feitos sob encomenda para descascar perfis e perfis da autorização. Este documento igualmente contêm uma lista de dispositivos e o TACACS+ e os atributos RADIUS que os dispositivos esperam ver retornado do servidor AAA. Todos os assuntos incluem exemplos.
A lista de atributos fornecidos neste documento não é exaustiva ou competente e pode mudar a qualquer hora sem uma atualização a este documento.
Não existem requisitos específicos para este documento.
A informação neste documento é baseada na versão de ACS 5.2/5.3.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Um perfil do shell é um recipiente básico das permissões para o acesso TACACS+-based. Você pode especificar que TACACS+ atribui e os valores de atributo devem ser retornados com a aceitação de acesso, além do que o nível de privilégio do ® IO de Cisco, o timeout de sessão, e os outros parâmetros.
Termine estas etapas a fim adicionar atributos feitos sob encomenda a um perfil novo do shell:
Entre à relação ACS.
Navegue aos elementos da política > à autorização e às permissões > à administração > ao shell do dispositivo perfis.
Clique o botão Create.
Nomeie o perfil do shell.
Clique a aba dos atributos feitos sob encomenda.
Dê entrada com o nome do atributo no campo do atributo.
Escolha se a exigência é imperativa ou opcional da lista de drop-down da exigência.
Deixe a gota-para baixo para o valor de atributo ajustado à estática. Se o valor é estático, você pode incorporar o valor ao campo seguinte. Se o valor é dinâmico, você não pode incorporar o atributo manualmente; em lugar de atribuído é traçado a um atributo em uma das lojas da identidade.
Incorpore o valor do atributo ao último campo.
Clique o botão Add a fim adicionar a entrada à tabela.
Repita para configurar todos os atributos que você precisa.
Clique o botão Submit Button na parte inferior da tela.
Dispositivo: Motor do controle de aplicativo (ACE)
Atributos: shell: <context-name>
Valor: <Role-name> <domain-name1>
Uso: O papel e o domínio são separados por um caractere de espaço. Você pode configurar um usuário (por exemplo, USUÁRIO1) para ser atribuído um papel (por exemplo, ADMIN) e um domínio (por exemplo, MYDOMAIN) quando o usuário entra a um contexto (por exemplo, C1).
Um perfil da autorização é um recipiente básico das permissões para o acesso Raio-baseado. Você pode especificar que atributos RADIUS e valores de atributo devem ser retornados com a aceitação de acesso, além do que os VLAN, o Access Control Lists (ACLs), e os outros parâmetros.
Termine estas etapas a fim adicionar atributos feitos sob encomenda a um perfil novo da autorização:
Entre à relação ACS.
Navegue aos elementos da política > à autorização e às permissões > aos perfis do acesso de rede > da autorização.
Clique o botão Create.
Nomeie o perfil da autorização.
Clique a aba dos atributos RADIUS.
Selecione um dicionário do menu suspenso do tipo de dicionário.
A fim ajustar o seleto o atributo para o campo do atributo RADIUS, clica o botão seleto. Uma nova janela aparece.
Reveja os atributos disponíveis, faça sua seleção, e clique a APROVAÇÃO. O tipo valor do atributo é ajustado à revelia, com base na seleção do atributo que você apenas fez.
Deixe a gota-para baixo para o valor de atributo ajustado à estática. Se o valor é estático, você pode incorporar o valor ao campo seguinte. Se o valor é dinâmico, você não pode incorporar o atributo manualmente; em lugar de atribuído é traçado a um atributo em uma das lojas da identidade.
Incorpore o valor do atributo ao último campo.
Clique o botão Add a fim adicionar a entrada à tabela.
Repita para configurar todos os atributos que você precisa.
Clique o botão Submit Button na parte inferior da tela.
Dispositivo: ACE
Atributos: Cisco-av-pair
Valor: shell: <context-name>=<Role-name> <domain-name1> <domain-name2>
Uso: Cada valor após o sinal de igual é separado por um caractere de espaço. Você pode configurar um usuário (por exemplo, USUÁRIO1) para ser atribuído um papel (por exemplo, ADMIN) e um domínio (por exemplo, MYDOMAIN) quando o usuário entra a um contexto (por exemplo, C1).
RAIO (perfil da autorização)
Atributos: Cisco-av-pair
Valor: shell: #<role-name> do tasks= ", <permission>: <process>”
Uso: Ajuste os valores do <role-name> ao nome de um papel definido localmente no roteador. A hierarquia do papel pode ser descrita em termos de uma árvore, onde o #root do papel esteja na parte superior da árvore, e o #leaf do papel adicione comandos adicionais. Estes dois papéis podem ser combinados e passado para trás se: shell: tasks= " #root, #leaf”.
As permissões podem igualmente ser passadas para trás em uma base do processo individual, de modo que um usuário possa ser concedido lido, escrito, e executado processos dos privilégios com certeza. Por exemplo, a fim conceder um usuário leia e escreva privilégios para o processo BGP, ajustam o valor a: shell: #root do tasks= ", RW: BGP”. A ordem dos atributos não importa; o resultado é o mesmo se o valor está ajustado para descascar: #root do tasks= ", RW: shell BGP” ou ro: tasks= " RW: BGP, #root”.
Exemplo – Adicionar o atributo a um perfil da autorizaçãoTipo de dicionário | Atributo RADIUS | Tipo do atributo | Valor de atributo |
---|---|---|---|
Raio-Cisco | cisco-av-pair |
Série | shell:tasks="#root,#leaf,rwx:bgp,r:ospf" |
TACACS+ (perfil do shell)
Atributos: shell: <context-name>
Valor: <Role-name> <domain-name1>
Uso: O papel e o domínio são separados por um caractere de espaço. Você pode configurar um usuário (por exemplo, USUÁRIO1) para ser atribuído um papel (por exemplo, ADMIN) e um domínio (por exemplo, MYDOMAIN) quando o usuário entra a um contexto (por exemplo, C1).
Exemplo – Adicionar o atributo a um perfil do shellAtributo | Exigência | Valor de atributo |
---|---|---|
shell:C1 |
Obrigatório | Admin MYDOMAIN |
Se o USUÁRIO1 entra com o contexto C1, esse usuário está atribuído automaticamente o papel ADMIN e o domínio MYDOMAIN (contanto que uma regra da autorização esteve configurada onde, uma vez que o USUÁRIO1 entra, eles são atribuídos este perfil da autorização).
Se o USUÁRIO1 entra com um contexto diferente, que não esteja retornado no valor do atributo que o ACS envia para trás, que usuário está atribuído automaticamente o papel do padrão (monitor de rede) e o domínio padrão (domínio padrão).
RAIO (perfil da autorização)
Atributos: Cisco-av-pair
Valor: shell: <context-name>=<Role-name> <domain-name1> <domain-name2>
Uso: Cada valor após o sinal de igual é separado por um caractere de espaço. Você puder configurar um usuário (por exemplo, USUÁRIO1) para ser atribuído um papel (por exemplo, ADMIN) e um domínio (por exemplo, MYDOMAIN) quando os log de usuário em um contexto (por exemplo, C1).
Exemplo – Adicionar o atributo a um perfil da autorizaçãoTipo de dicionário | Atributo RADIUS | Tipo do atributo | Valor de atributo |
---|---|---|---|
Raio-Cisco | cisco-av-pair |
Série | shell:C1=ADMIN MYDOMAIN |
Se o USUÁRIO1 entra com o contexto C1, esse usuário está atribuído automaticamente o papel ADMIN e o domínio MYDOMAIN (contanto que uma regra da autorização esteve configurada onde, uma vez que o USUÁRIO1 entra, eles são atribuídos este perfil da autorização).
Se o USUÁRIO1 entra com um contexto diferente, que não esteja retornado no valor do atributo que o ACS envia para trás, que usuário está atribuído automaticamente o papel do padrão (monitor de rede) e o domínio padrão (domínio padrão).
RAIO (perfil da autorização)
Atributos: Packeteer-AVPair
Valor: access=<level>
Uso: o <level> é o nível do acesso a conceder. O acesso do toque é equivalente a de leitura/gravação, quando o acesso do olhar for equivalente a de leitura apenas.
O BlueCoat VSA não existe nos dicionários ACS à revelia. A fim usar o atributo de BlueCoat em um perfil da autorização, você deve criar um dicionário de BlueCoat e adicionar os atributos de BlueCoat a esse dicionário.
Crie o dicionário:
Navegue à administração do sistema > à configuração > aos dicionários > aos protocolos > ao RAIO > ao RAIO VSA.
O clique cria.
Incorpore os detalhes do dicionário:
Nome: BlueCoat
Vendor ID: 2334
Prefixo do atributo: Packeteer-
Clique em Submit.
Crie um atributo no dicionário novo:
Navegue à administração do sistema > à configuração > aos dicionários > aos protocolos > ao RADIU S > RAIO VSA > BlueCoat.
O clique cria.
Incorpore os detalhes do atributo:
Atributo: Packeteer-AVPair
Descrição: Usado a fim especificar o nível de acesso
Atributo de fornecedor ID: 1
Direção: SAÍDA
Múltiplo permitido: Falso
Inclua o atributo no log: Verificado
Tipo do atributo: Série
Clique em Submit.
Tipo de dicionário | Atributo RADIUS | Tipo do atributo | Valor de atributo |
---|---|---|---|
Raio-BlueCoat | Packeteer-AVPair |
Série | access=look |
Tipo de dicionário | Atributo RADIUS | Tipo do atributo | Valor de atributo |
---|---|---|---|
Raio-BlueCoat | Packeteer-AVPair |
Série | access=touch |
RAIO (perfil da autorização)
Atributos: Túnel-Privado-Grupo-ID
Valor: U:<VLAN1>; T:<VLAN2>
Uso: Ajuste <VLAN1> ao valor do VLAN de dados. Ajuste <VLAN2> ao valor da Voz VLAN. Neste exemplo, o VLAN de dados é VLAN10, e a Voz VLAN é VLAN 21.
Exemplo – Adicionar o atributo a um perfil da autorizaçãoTipo de dicionário | Atributo RADIUS | Tipo do atributo | Valor de atributo |
---|---|---|---|
RADIUS-IETF | Tunnel-Private-Group-ID |
Corda etiquetada | U:10;T:21 |
RAIO (perfil da autorização)
Atributos: Cisco-av-pair
Valor: fndn: groups=<group-name>
Uso: o <group-name> é o nome do grupo com os privilégios que você quer conceder ao usuário. Este grupo deve ser configurado no Cisco Unity Express (SUGESTÃO).
Exemplo – Adicionar o atributo a um perfil da autorizaçãoTipo de dicionário | Atributo RADIUS | Tipo do atributo | Valor de atributo |
---|---|---|---|
Raio-Cisco | cisco-av-pair |
Série | fndn:groups=Administrators |
RAIO (perfil da autorização)
Atributos: Infoblox-Grupo-informação
Valor: <group-name>
Uso: o <group-name> é o nome do grupo com os privilégios que você quer conceder ao usuário. Este grupo deve ser configurado no dispositivo de Infoblox. Neste exemplo de configuração, o nome do grupo é MyGroup.
O Infoblox VSA não existe nos dicionários ACS à revelia. A fim usar o atributo de Infoblox em um perfil da autorização, você deve criar um dicionário de Infoblox e adicionar os atributos de Infoblox a esse dicionário.
Crie o dicionário:
Navegue à administração do sistema > à configuração > aos dicionários > aos protocolos > ao RAIO > ao RAIO VSA.
O clique cria.
Clique a seta pequena ao lado das opções de fornecedor avançadas uso.
Incorpore os detalhes do dicionário:
Nome: Infoblox
Vendor ID: 7779
Tamanho de campo de comprimento do vendedor: 1
Tipo de vendedor tamanho de campo: 1
Clique em Submit.
Crie um atributo no dicionário novo:
Navegue à administração do sistema > à configuração > aos dicionários > aos protocolos > ao RAIO > ao RAIO VSA > Infoblox.
O clique cria.
Incorpore os detalhes do atributo:
Atributo: Infoblox-Grupo-informação
Atributo de fornecedor ID: 009
Direção: SAÍDA
Múltiplo permitido: Falso
Inclua o atributo no log: Verificado
Tipo do atributo: Série
Clique em Submit.
Tipo de dicionário | Atributo RADIUS | Tipo do atributo | Valor de atributo |
---|---|---|---|
Raio-Infoblox | Infoblox-Group-Info |
Série | MyGroup |
RAIO (perfil da autorização)
Atributos: IP-papel
Valor: name> do <role
Uso: O name> do <role do valor pode ser qualquer dos quatro papéis de usuário do Intrusion Prevention System (IPS): visor, operador, administrador, ou serviço. Refira o manual de configuração para sua versão do IPS para os detalhes das permissões concedidas a cada papel de usuário do tipo.
Tipo de dicionário | Atributo RADIUS | Tipo do atributo | Valor de atributo |
---|---|---|---|
Raio-Cisco | cisco-av-pair |
Série | ips-role:administrator |
TACACS+ (perfil do shell)
Atributos: permitir-comandos; permitir-configuração; nome de usuário local; comandos deny; negar-configuração; USER-permissões
Valor: <allow-commands-regex>; <allow-configuration-regex>; <local-username>; <deny-commands-regex>; <deny-configuration-regex>
Uso: Ajuste o valor do <local-username> (isto é, o valor do atributo de nome de usuário local) a um username que exista localmente no dispositivo do zimbro. Por exemplo, você pode configurar um usuário (por exemplo, USUÁRIO1) para ser atribuído o mesmo molde do usuário que um usuário (por exemplo, JUSER) que exista localmente no dispositivo do zimbro quando você ajusta o valor do atributo de nome de usuário local a JUSER. Os valores dos permitir-comandos, da permitir-configuração, dos comandos deny, e dos atributos da negar-configuração podem ser incorporados ao formato do regex. Os valores que estes atributos estão ajustados a são além do que o operacional/comandos configuration mode autorizados pelos bit das permissões da classe do início de uma sessão do usuário.
Exemplo – Adicionar atributos a um perfil 1 do shellAtributo | Exigência | Valor de atributo |
---|---|---|
allow-commands |
Opcional | "(request system) | (show rip neighbor)" |
allow-configuration |
Opcional | |
local-user-name |
Opcional | sales |
deny-commands |
Opcional | "<^clear" |
deny-configuration |
Opcional |
Atributo | Exigência | Valor de atributo |
---|---|---|
allow-commands |
Opcional | "monitor | help | show | ping | traceroute" |
allow-configuration |
Opcional | |
local-user-name |
Opcional | engineering |
deny-commands |
Opcional | "configure" |
deny-configuration |
Opcional |
RAIO (perfil da autorização)
Atributos: Cisco-av-pair
Valor: shell:roles="<role1> <role2>"
Uso: Ajuste os valores de <role1> e de <role2> aos nomes dos papéis definidos localmente no interruptor. Quando você adiciona papéis múltiplos, separe-os com um caractere de espaço. Quando os papéis múltiplos são passados para trás do servidor AAA ao nexo comute, o resultado é que o usuário tem o acesso aos comandos definidos pela união de todos os três papéis.
Os papéis do acessório são definidos em configurar contas de usuário e RBAC.
Exemplo – Adicionar o atributo a um perfil da autorizaçãoTipo de dicionário | Atributo RADIUS | Tipo do atributo | Valor de atributo |
---|---|---|---|
Raio-Cisco | cisco-av-pair |
Série | shell:roles="network-admin vdc-admin vdc-operator" |
TACACS+ (perfil do shell)
Atributos: serviço; nome de usuário local
Valor: RBT-EXEC; <username>
Uso: A fim conceder o acesso somente leitura do usuário, o valor do <username> deve ser ajustado para monitorar. A fim conceder o acesso de leitura/gravação do usuário, o valor do <username> deve ser ajustado ao admin. Se você tem uma outra conta definida além do que o admin e o monitor, configurar que nome a ser retornado.
Exemplo – Adicionar atributos a um perfil do shell (para o acesso somente leitura)Atributo | Exigência | Valor de atributo |
---|---|---|
service |
Obrigatório | rbt-exec |
local-user-name |
Obrigatório | monitor |
Atributo | Exigência | Valor de atributo |
---|---|---|
service |
Obrigatório | rbt-exec |
local-user-name |
Obrigatório | admin |
RAIO (perfil da autorização)
Atributos: Tipo de serviço
Valor: (6) administrativo/alerta (7)
Uso: A fim conceder ao usuário o acesso de leitura/gravação ao controlador do Wireless LAN (WLC), o valor deve ser administrativo; para o acesso somente leitura, o valor deve ser NAS-alerta.
Para detalhes, veja a autenticação de servidor Radius de usuários do Gerenciamento no exemplo de configuração do controlador do Wireless LAN (WLC)
Exemplo – Adicionar o atributo a um perfil da autorização (para o acesso somente leitura)Tipo de dicionário | Atributo RADIUS | Tipo do atributo | Valor de atributo |
---|---|---|---|
RADIUS-IETF | Service-Type |
Enumeração | NAS-Prompt |
Tipo de dicionário | Atributo RADIUS | Tipo do atributo | Valor de atributo |
---|---|---|---|
RADIUS-IETF | Service-Type |
Enumeração | Administrative |
Gerente de rede do centro de dados (DCNM)
DCNM deve ser reiniciado depois que o método de autenticação é mudado. Se não, pode atribuir o privilégio do operador de rede em vez do rede-admin.
Papel DCNM | Cisco-av-pair do RAIO | Cisco-av-pair de Tacacs |
---|---|---|
Usuário | shell:roles = "network-operator" |
cisco-av-pair=shell:roles="network-operator" |
Administrador | shell:roles = "network-admin" |
cisco-av-pair=shell:roles="network-admin" |