Atributos TACACS+ e RADIUS para vários dispositivos Cisco e não-Cisco Exemplo de configuração

Opções de download

  • PDF     (446.9 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (245.0 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (204.6 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:15 de março de 2013
ID do documento:115926

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento fornece uma compilação de atributos que vários produtos da Cisco e de outros fabricantes esperam receber de um servidor de autenticação, autorização e tarifação (AAA - Authentication, Authorization, and Accounting); neste caso, o servidor AAA é um Servidor de Controle de Acesso (ACS - Access Control Server). O ACS pode retornar esses atributos junto com um Access-Accept como parte de um perfil de shell (TACACS+) ou perfil de autorização (RADIUS).

Este documento fornece instruções passo a passo sobre como adicionar atributos personalizados a perfis de shell e perfis de autorização. Este documento também contém uma lista de dispositivos e os atributos TACACS+ e RADIUS que os dispositivos esperam ver retornados do servidor AAA. Todos os tópicos incluem exemplos.

A lista de atributos fornecida neste documento não é exaustiva ou autoritativa e pode ser alterada a qualquer momento sem uma atualização deste documento.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas na versão 5.2/5.3 do ACS.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Criar um perfil de shell (TACACS+)

Um perfil de shell é um contêiner básico de permissões para acesso baseado em TACACS+. Você pode especificar quais atributos TACACS+ e valores de atributo devem ser retornados com Access-Accept, além do nível de privilégio Cisco® IOS, tempo limite de sessão e outros parâmetros.

Conclua estas etapas para adicionar atributos personalizados a um novo perfil de shell:

  1. Faça login na interface ACS.

  2. Navegue até Elementos de política > Autorização e permissões > Administração de dispositivo > Perfis de shell.

  3. Clique no botão Criar.

  4. Nomeie o perfil de shell.

  5. Clique na guia Atributos Personalizados.

  6. Informe o nome do atributo no campo Atributo.

  7. Escolha se o requisito é Obrigatório ou Opcional na lista suspensa Requisito.

  8. Deixe a lista suspensa do valor do atributo definido como Static. Se o valor for estático, você poderá inseri-lo no próximo campo. Se o valor for dinâmico, você não poderá inserir o atributo manualmente; em vez disso, o atributo é mapeado para um atributo em um dos armazenamentos de identidade.

  9. Insira o valor do atributo no último campo.

  10. Clique no botão Add para adicionar a entrada à tabela.

  11. Repita o procedimento para configurar todos os atributos necessários.

  12. Clique no botão Submit na parte inferior da tela.

Exemplo de configuração

Dispositivo: Mecanismo de controle de aplicativos (ACE)

Atributos: shell:<nome-do-contexto>

Valor(es) <Role-name> <domain-name1>

Uso: A função e o domínio são separados por um caractere de espaço. Você pode configurar um usuário (por exemplo, USER1) para receber uma função (por exemplo, ADMIN) e um domínio (por exemplo, MYDOMAIN) quando o usuário fizer login em um contexto (por exemplo, C1).

tacacs-radius-devices-01.png

Criar um perfil de autorização (RADIUS)

Um perfil de autorização é um contêiner básico de permissões para acesso baseado em RADIUS. Você pode especificar quais atributos RADIUS e valores de atributo devem ser retornados com Access-Accept, além das VLANs, Access Control Lists (ACLs) e outros parâmetros.

Conclua estas etapas para adicionar atributos personalizados a um novo perfil de autorização:

  1. Faça login na interface ACS.

  2. Navegue até Elementos de política > Autorização e permissões > Acesso à rede > Perfis de autorização.

  3. Clique no botão Criar.

  4. Nomeie o perfil de autorização.

  5. Clique na guia Atributos RADIUS.

  6. Selecione um dicionário no menu suspenso Tipo de dicionário.

  7. Para definir o atributo de seleção para o campo RADIUS Attribute, clique no botão Select. Uma nova janela é exibida.

  8. Revise os atributos disponíveis, faça sua seleção e clique em OK. O valor Tipo de Atributo é definido por padrão, com base na seleção de atributo que você acabou de fazer.

  9. Deixe a lista suspensa do valor do atributo definido como Static. Se o valor for estático, você poderá inseri-lo no próximo campo. Se o valor for dinâmico, você não poderá inserir o atributo manualmente; em vez disso, o atributo é mapeado para um atributo em um dos armazenamentos de identidade.

  10. Insira o valor do atributo no último campo.

  11. Clique no botão Add para adicionar a entrada à tabela.

  12. Repita o procedimento para configurar todos os atributos necessários.

  13. Clique no botão Submit na parte inferior da tela.

Exemplo de configuração

Dispositivo: ACE

Atributos: Cisco-av-pair

Valor(es) shell:<context-name>=<Role-name> <domain-name1> <domain-name2>

Uso: Cada valor após o sinal de igual é separado por um caractere de espaço. Você pode configurar um usuário (por exemplo, USER1) para receber uma função (por exemplo, ADMIN) e um domínio (por exemplo, MYDOMAIN) quando o usuário fizer login em um contexto (por exemplo, C1).

tacacs-radius-devices-02.png

Lista de Dispositivos

Roteadores de serviços agregados (ASR)

RADIUS (perfil de autorização)

Atributos: Cisco-av-pair

Valor(es) shell:tasks="#<nome-da-função>,<permissão>:<processo>"

Uso: defina os valores de <nome-da-função> para o nome de uma função definida localmente no roteador. A hierarquia de função pode ser descrita em termos de uma árvore, onde a função #root está no topo da árvore e a função #leaf adiciona comandos adicionais. Essas duas funções podem ser combinadas e passadas de volta se: shell:tasks="#root,#leaf".

As permissões também podem ser passadas de volta em uma base de processo individual, para que um usuário possa receber privilégios de leitura, gravação e execução para determinados processos. Por exemplo, para conceder a um usuário privilégios de leitura e gravação para o processo bgp, defina o valor como: shell:tasks="#root,rw:bgp". A ordem dos atributos não importa; o resultado é o mesmo se o valor for definido como shell:tasks="#root,rw:bgp" ou ro shell:tasks="rw:bgp,#root".

Exemplo - Adicionar o atributo a um perfil de autorização

Tipo de dicionário Atributo RADIUS Tipo de Atributo Valor do Atributo
RADIUS-Cisco 
cisco-av-pair
 Série 
shell:tasks="#root,#leaf,rwx:bgp,r:ospf"

Mecanismo de controle de aplicativos (ACE)

TACACS+ (Perfil Shell)

Atributos: shell:<nome-do-contexto>

Valor(es) <Role-name> <domain-name1>

Uso: A função e o domínio são separados por um caractere de espaço. Você pode configurar um usuário (por exemplo, USER1) para receber uma função (por exemplo, ADMIN) e um domínio (por exemplo, MYDOMAIN) quando o usuário fizer login em um contexto (por exemplo, C1).

Exemplo - Adicionar o atributo a um perfil de shell

Atributo Requisitos Valor do Atributo 
shell:C1
 Obrigatório 
Admin MYDOMAIN

Se o USER1 efetuar login por meio do contexto C1, a função ADMIN e o domínio MYDOMAIN serão atribuídos automaticamente a esse usuário (desde que uma regra de autorização tenha sido configurada onde, depois que o USER1 efetuar login, este perfil de autorização seja atribuído a ele).

Se USER1 efetuar login através de um contexto diferente, que não é retornado no valor do atributo que o ACS envia de volta, esse usuário recebe automaticamente a função padrão (Monitor de rede) e o domínio padrão (domínio padrão).

RADIUS (perfil de autorização)

Atributos: Cisco-av-pair

Valor(es) shell:<context-name>=<Role-name> <domain-name1> <domain-name2>

Uso: Cada valor após o sinal de igual é separado por um caractere de espaço. Você pode configurar um usuário (por exemplo, USER1) para receber uma função (por exemplo, ADMIN) e um domínio (por exemplo, MYDOMAIN) quando o usuário fizer login em um contexto (por exemplo, C1).

Exemplo - Adicionar o atributo a um perfil de autorização

Tipo de dicionário Atributo RADIUS Tipo de Atributo Valor do Atributo
RADIUS-Cisco 
cisco-av-pair
 Série 
shell:C1=ADMIN MYDOMAIN

Se o USER1 efetuar login por meio do contexto C1, a função ADMIN e o domínio MYDOMAIN serão atribuídos automaticamente a esse usuário (desde que uma regra de autorização tenha sido configurada onde, depois que o USER1 efetuar login, esse perfil de autorização seja atribuído a ele).

Se USER1 efetuar login através de um contexto diferente, que não é retornado no valor do atributo que o ACS envia de volta, esse usuário recebe automaticamente a função padrão (Monitor de rede) e o domínio padrão (domínio padrão).

Formatador de Pacotes BlueCoat

RADIUS (perfil de autorização)

Atributos: Pacote-AVPair

Valor(es) access=<level>

Uso: <nível> é o nível de acesso a ser concedido. O acesso de toque equivale a leitura-gravação, enquanto o acesso de aparência equivale a somente leitura.

Por padrão, o BlueCoat VSA não existe nos dicionários ACS. Para usar o atributo BlueCoat em um perfil de autorização, você deve criar um dicionário BlueCoat e adicionar os atributos do BlueCoat a esse dicionário.

Crie o dicionário:

  1. Navegue até Administração do sistema > Configuração > Dicionários > Protocolos > RADIUS​ > RADIUS VSA.

  2. Clique em Criar.

  3. Insira os detalhes do dicionário:

    • Nome: BlueCoat

    • ID do fornecedor: 2334

    • Prefixo do Atributo: Packet-

  4. Clique em Submit.

Criar um atributo no novo dicionário:

  1. Navegue até Administração do sistema > Configuração > Dicionários > Protocolos > RADIU​S > RADIUS VSA > BlueCoat.

  2. Clique em Criar.

  3. Insira os detalhes do atributo:

    • Atributo: Packet-AVPair

    • Descrição: usado para especificar o nível de acesso

    • ID do Atributo do Fornecedor: 1

    • Direção: SAÍDA

    • Várias Permitidas: Falso

    • Incluir atributo no log: Marcado

    • Tipo de Atributo: String

  4. Clique em Submit.

Exemplo - Adicionar o Atributo a um Perfil de Autorização (para acesso somente leitura)

Tipo de dicionário Atributo RADIUS Tipo de Atributo Valor do Atributo
RADIUS-BlueCoat 
Packeteer-AVPair
 Série 
access=look

Exemplo - Adicionar o Atributo a um Perfil de Autorização (para acesso leitura-gravação)

Tipo de dicionário Atributo RADIUS Tipo de Atributo Valor do Atributo
RADIUS-BlueCoat 
Packeteer-AVPair
 Série 
access=touch

Switches Brocade

RADIUS (perfil de autorização)

Atributos: Tunnel-Private-Group-ID

Valor(es): U:<VLAN1>; T:<VLAN2>

Uso: Defina <VLAN1> para o valor da VLAN de dados. Defina <VLAN2> como o valor da VLAN de voz. Neste exemplo, a VLAN de dados é a VLAN 10 e a VLAN de voz é a VLAN 21.

Exemplo - Adicionar o atributo a um perfil de autorização

Tipo de dicionário Atributo RADIUS Tipo de Atributo Valor do Atributo
RADIUS-IETF 
Tunnel-Private-Group-ID
 Cadeia de Caracteres Marcada 
U:10;T:21

Cisco Unity Express (CUE)

RADIUS (perfil de autorização)

Atributos: Cisco-av-pair

Valor(es) fndn:groups=<group-name>

Uso: <group-name> é o nome do grupo com os privilégios que você deseja conceder ao usuário. Esse grupo deve ser configurado no Cisco Unity Express (CUE).

Exemplo - Adicionar o atributo a um perfil de autorização

Tipo de dicionário Atributo RADIUS Tipo de Atributo Valor do Atributo
RADIUS-Cisco 
cisco-av-pair
 Série 
fndn:groups=Administrators

Infoblox

RADIUS (perfil de autorização)

Atributos: Infoblox-Group-Info

Valor(es) <group-name>

Uso: <group-name> é o nome do grupo com os privilégios que você deseja conceder ao usuário. Este grupo deve ser configurado no dispositivo Infoblox. Neste exemplo de configuração, o nome do grupo é Meu grupo.

O Infoblox VSA não existe nos dicionários ACS por padrão. Para usar o atributo Infoblox em um perfil de autorização, você deve criar um dicionário Infoblox e adicionar os atributos Infoblox a esse dicionário.

Crie o dicionário:

  1. Navegue até Administração do sistema > Configuração > Dicionários > Protocolos > RADIU​S > RADIUS VSA.

  2. Clique em Criar.

  3. Clique na seta pequena ao lado de Usar opções avançadas do fornecedor.

  4. Insira os detalhes do dicionário:

    • Nome: Infoblox

    • ID do fornecedor: 7779

    • Tamanho do campo Tamanho do fornecedor: 1

    • Tamanho do campo Tipo de fornecedor: 1

  5. Clique em Submit.

Criar um atributo no novo dicionário:

  1. Navegue até Administração do sistema > Configuração > Dicionários > Protocolos > RADIU​S > RADIUS VSA > Infoblox.

  2. Clique em Criar.

  3. Insira os detalhes do atributo:

    • Atributo: Infoblox-Group-Info

    • ID do Atributo do Fornecedor: 009

    • Direção: SAÍDA

    • Várias Permitidas: Falso

    • Incluir atributo no log: Marcado

    • Tipo de Atributo: String

  4. Clique em Submit.

Exemplo - Adicionar o atributo a um perfil de autorização

Tipo de dicionário Atributo RADIUS Tipo de Atributo Valor do Atributo
RADIUS-Blox 
Infoblox-Group-Info
 Série 
MyGroup

Sistema de prevenção contra invasões (IPS)

RADIUS (perfil de autorização)

Atributos: ips-role

Valor(es) <nome da função>

Uso: O valor <nome da função> pode ser qualquer uma das quatro funções de usuário do IPS (Sistema de prevenção de intrusão): visualizador, operador, administrador ou serviço. Consulte o guia de configuração da sua versão do IPS para obter os detalhes das permissões concedidas a cada tipo de função de usuário.

Exemplo - Adicionar o atributo a um perfil de autorização

Tipo de dicionário Atributo RADIUS Tipo de Atributo Valor do Atributo
RADIUS-Cisco 
cisco-av-pair
 Série 
ips-role:administrator

Juniper

TACACS+ (Perfil Shell)

Atributo(s): allow-commands ; allow-configuration ; local-user-name ; deny-commands ; deny-configuration; user-permissions

Valor(es): <allow-commands-regex> ; <allow-configuration-regex> ; <local-username> ; <deny-commands-regex> ; <deny-configuration-regex>

Uso: defina o valor de <local-username> (isto é, o valor do atributo local-user-name) para um nome de usuário que existe localmente no dispositivo Juniper. Por exemplo, você pode configurar um usuário (por exemplo, USER1) para ser atribuído ao mesmo modelo de usuário como um usuário (por exemplo, JUSER) que existe localmente no dispositivo Juniper quando você define o valor do atributo local-user-name como JUSER. Os valores dos atributos allow-commands, allow-configuration, deny-commands e deny-configuration podem ser inseridos no formato regex. Os valores definidos para esses atributos são adicionais aos comandos do modo operacional/configuração autorizados pelos bits de permissões da classe de logon do usuário.

Exemplo - Adicionar atributos a um perfil de shell 1

Atributo Requisitos Valor do Atributo 
allow-commands
 Opcional 
"(request system) | (show rip neighbor)"
 
allow-configuration
 Opcional   
local-user-name
 Opcional 
sales
 
deny-commands
 Opcional 
"<^clear"
 
deny-configuration
 Opcional  

Exemplo - Adicionar atributos a um perfil de shell 2

Atributo Requisitos Valor do Atributo 
allow-commands
 Opcional 
"monitor | help | show | ping | traceroute"
 
allow-configuration
 Opcional   
local-user-name
 Opcional 
engineering
 
deny-commands
 Opcional 
"configure"
 
deny-configuration
 Opcional  

Switches Nexus

RADIUS (perfil de autorização)

Atributos: Cisco-av-pair

Valor(es) shell:funções="<função1> <função2>"

Uso: defina os valores de <role1> e <role2> para os nomes de funções definidas localmente no switch. Ao adicionar várias funções, separe-as com um caractere de espaço. Quando várias funções são passadas de volta do servidor AAA para o switch Nexus, o resultado é que o usuário tem acesso aos comandos definidos pela união das três funções.

As funções internas são definidas em Configuração de Contas de Usuário e RBAC.

Exemplo - Adicionar o atributo a um perfil de autorização

Tipo de dicionário Atributo RADIUS Tipo de Atributo Valor do Atributo
RADIUS-Cisco 
cisco-av-pair
 Série 
shell:roles="network-admin vdc-admin vdc-operator"

Riverbed

TACACS+ (Perfil Shell)

Atributo(s): service ; local-user-name

Valor(es): rbt-exec ; <username>

Uso: Para conceder ao usuário acesso somente leitura, o valor <username> deve ser definido como monitor. Para conceder ao usuário acesso de leitura e gravação, o valor de <username> deve ser definido como admin. Se você tiver outra conta definida além de admin e monitor, configure esse nome para ser retornado.

Exemplo - Adicionar atributos a um perfil de shell (para acesso somente leitura)

Atributo Requisitos Valor do Atributo 
service
 Obrigatório 
rbt-exec
 
local-user-name
 Obrigatório 
monitor

Exemplo - Adicionar atributos a um perfil de shell (para acesso de leitura-gravação)

Atributo Requisitos Valor do Atributo 
service
 Obrigatório 
rbt-exec
 
local-user-name
 Obrigatório 
admin

Controlador de LAN sem fio (WLC)

RADIUS (perfil de autorização)

Atributos: Tipo de serviço

Valor(es): Administrativo (6) / Prompt do NAS (7)

Uso: Para conceder ao usuário acesso de leitura/gravação à controladora Wireless LAN (WLC), o valor deve ser Administrative; para acesso somente leitura, o valor deve ser NAS-Prompt.

Para obter detalhes, consulte Exemplo de Configuração de Autenticação de Servidor RADIUS de Usuários de Gerenciamento em Controladoras Wireless LAN (WLC)

Exemplo - Adicionar o Atributo a um Perfil de Autorização (para acesso somente leitura)

Tipo de dicionário Atributo RADIUS Tipo de Atributo Valor do Atributo
RADIUS-IETF 
Service-Type
 Enumeração 
NAS-Prompt

Exemplo - Adicionar o Atributo a um Perfil de Autorização (para acesso leitura-gravação)

Tipo de dicionário Atributo RADIUS Tipo de Atributo Valor do Atributo
RADIUS-IETF 
Service-Type
 Enumeração 
Administrative

Gerenciador de rede do data center (DCNM)

O DCNM deve ser reiniciado após a alteração do método de autenticação. Caso contrário, ele pode atribuir privilégio de operador de rede em vez de administrador de rede.

Função DCNM RADIUS Cisco-AV-Pair Par Cisco-AV do Tacacs
Usuário 
shell:roles = "network-operator"
 
cisco-av-pair=shell:roles="network-operator"
Administrador 
shell:roles = "network-admin"
 
cisco-av-pair=shell:roles="network-admin"

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
22-Jan-2013
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Dragana Radmilo
    Cisco TAC Engineer.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos