Autenticação de AAA com o TACACS+ em PXM45/MGX usando Cisco ACS
Índice
Introdução
Este documento descreve um procedimento passo a passo de adicionar o serviço de autenticação do Terminal Access Controller Access Control System (TACACS+) na revisão running do software de switch de Cisco MGX 8850/8950/8830 maior de 5.0, com versão 4.2 e mais recente do Access Control Server de Cisco (ACS).
Pré-requisitos
Requisitos
Cisco recomenda que você cumpre este exigências antes que você tente esta configuração:
? O servidor AAA é alcançável do MGX
Componentes Utilizados
Este documento é restringido a revisão running do software de switch de Cisco MGX 8850/8950/8830 maior de 5.0 e com versão de ACS acima de 4.2.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Configurar
Nota: Use a Command Lookup Tool ( somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.
Configuração no MGX
Um exemplo da configuração exigida no MGX é mostrado aqui
Etapa 1. Verifique a versão de software switch. Você precisa a versão 5.0 ou mais recente de configurar o TACACS+
8950A.7.PXM.a > dspversion
Tipo versão da prateleira do tipo de imagem do tipo de placa construída sobre
---------- ---------- ---------- ------------ ------------
Runtime MGX PXM45 5.1(20.200) 23 de junho 2005, 21:36:08
Bota MGX PXM45 4.0(0.11)P2 -
Etapa 2. Verifique que você tem o endereço IP de Um ou Mais Servidores Cisco ICM NT direito:
8950A.7.PXM.a > dspifip
ADDR da transmissão do subnet mask do endereço IP de Um ou Mais Servidores Cisco ICM NT da bandeira da relação
--------------- ---- --------------- --------------- ---------------
Ethernet/lnPci0 LEVANTAM 10.66.69.57 255.255.255.128 10.255.255.255
SLIP/sl0 LEVANTAM 127.0.0.2 255.0.0.0 (N/A)
ATM/atm0 PARA BAIXO 0.0.0.0 0.0.0.0 (N/A)
Etapa 3. Verifique que você pode sibilar o servidor ACS: (O servidor ACS está em 10.106.60.182)
8950A.7.PXM.a > sibilo 10.106.60.182
PING 10.106.60.182: 56 bytes de dados
64 bytes de 10.106.60.182: icmp_seq=0. time=250. Senhora
64 bytes de 10.106.60.182: icmp_seq=1. time=240. Senhora
64 bytes de 10.106.60.182: icmp_seq=2. time=240. Senhora
----10.106.60.182 Estatísticas PING----
3 pacotes transmitidos, 3 pacotes recebidos, perda de pacotes de 0%
minuto do round trip (Senhora)/médio/= 240/243/250 máximo
Se doesn do sibilo? t vai completamente, nós precisa de verificar o IP reachability. Igualmente verifique que o dspifip e o bootchange estão configurados com endereço IP de Um ou Mais Servidores Cisco ICM NT correto.
8950A.7.PXM.a > bootchange
“.” = campo claro; “-” = vá ao campo precedente; ^D = parado
dispositivo de inicialização: lnPci0
número do processador: 0
nome de host:
nome de arquivo:
inet nos Ethernet (e): 172.16.157.88 >>
inet no backplane (b):
inet do host (h):
inet do gateway (g): 172.16.157.1 >>
usuário (u):
senha ftp (picowatt) (placa = uso rsh):
bandeiras (f): 0x0
nome de destino (tn):
script de inicialização (s):
outro (o):
Nota: Verifique a configuração de parâmetros do dspifip e mudou o endereço IP primário do Gerenciamento de redes para conectar o IP LAN e o endereço ATM como secundário (usando o cnfndparm). Igualmente você precisa de configurar os parâmetros do bootchange que põem o endereço IP de Um ou Mais Servidores Cisco ICM NT correto e o gateway LAN. A saída do comando do routeshow deve indicar o gateway padrão para 0.0.0.0 como o endereço IP de Um ou Mais Servidores Cisco ICM NT LAN.
Etapa 4. Verifique a configuração de AAA usando o dspaaa. Nenhum AAA é configurado à revelia
8950A.7.PXM.a > dspaaa
CONFIGURAÇÃO DE AAA:
Métodos de autenticação: Cisco local
Métodos de autorização: Cisco local
Tipo de autorização: grupo
Nível de privilégio padrão: NOUSER_GP
Indicador alerta: acs
Tipo de mensagem SSH/FTP: Login ASCII de entrada
Lista da exclusão IO:
SERVER TACACS+: preliminar é mostrado primeiramente
Tempo absolutamente único
A porta do endereço IP de Um ou Mais Servidores Cisco ICM NT para fora cronometra a chave de criptografia compartilhada conexão
---------------- ---- --- ---- ------ --------------------------------------
Etapa 5. Configurar o endereço IP de Um ou Mais Servidores Cisco ICM NT e a chave do servidor AAA:
8950A.7.PXM.a > cnfaaa-server tacacs+ - IP 10.66.79.246
Você quer mudar a chave de criptografia (sim/não)? sim
Incorpore a chave de criptografia: cisco
Reenter a chave de criptografia: cisco
SERVER TACACS+: preliminar é mostrado primeiramente
Tempo absolutamente único
A porta do endereço IP de Um ou Mais Servidores Cisco ICM NT para fora cronometra a chave de criptografia compartilhada conexão
---------------- ---- --- ---- ------ --------------------------------------
10.66.79.246 49 5 0 Cisco verdadeiro
Etapa 6. Configurar a autenticação:
8950A.7.PXM.a > cnfaaa-authen
Sintaxe: cnfaaa-authen o [<method>…] do <method>
método -- {local | padrão | tacacs+ | Cisco}
local: Use o banco de dados local para a autenticação.
padrão: Mesmos que o local.
tacacs+: Use o protocolo TACACS+ para a autenticação.
Cisco: Somente é permitido ao usuário de raiz de “Cisco” entrar.
Aqui nós estamos fazendo o Local e então o Cisco TACACS+ então. (Se recomenda ter Cisco como um último recurso dentro lá?)
8950A.7.PXM.a > cnfaaa-authen o local Cisco tacacs+
CONFIGURAÇÃO DE AAA:
Métodos de autenticação: local Cisco tacacs+
Métodos de autorização: Cisco local
Tipo de autorização: grupo
Nível de privilégio padrão: NOUSER_GP
Indicador alerta: acs
Tipo de mensagem SSH/FTP: Login ASCII de entrada
Lista da exclusão IO:
AVISO: A autenticação/métodos de autorização recentemente configurados aplica-se às sessões novas. Esta configuração não tem nenhum impacto em sessões existentes.
Etapa 7. Configurar o nível de privilégio padrão se você quer. Nós não o configuramos neste exemplo, isto é nós deixamo-lo como o padrão:
8950A.7.PXM.a > cnfaaa-priv
Sintaxe: cnfaaa-priv <CISCO_GP | SERVICE_GP | SUPER_GP | GRUPO1 | ANYUSER |
NOUSER_GP | default>
(NOTA: o “padrão” é mesmo que NOUSER_GP.)
padrão 8950A.7.PXM.a > de cnfaaa-priv
CONFIGURAÇÃO DE AAA:
Métodos de autenticação: local Cisco tacacs+
Métodos de autorização: local Cisco tacacs+
Tipo de autorização: grupo
Nível de privilégio padrão: NOUSER_GP
Indicador alerta: acs
Tipo de mensagem SSH/FTP: Login ASCII de entrada
Lista da exclusão IO:
Etapa 8. Verifique a configuração:
8950A.7.PXM.a > dspaaa
CONFIGURAÇÃO DE AAA:
Métodos de autenticação: local Cisco tacacs+
Métodos de autorização: local Cisco tacacs+
Tipo de autorização: grupo
Nível de privilégio padrão: NOUSER_GP
Indicador alerta: acs
Tipo de mensagem SSH/FTP: Login ASCII de entrada
Lista da exclusão IO:
SERVER TACACS+: preliminar é mostrado primeiramente
Tempo absolutamente único
A porta do endereço IP de Um ou Mais Servidores Cisco ICM NT para fora cronometra a chave de criptografia compartilhada conexão
---------------- ---- --- ---- ------ --------------------------------------
10.66.79.246 49 5 0 Cisco verdadeiro
8950A.7.PXM.a > dspaaa-server
SERVER TACACS+: preliminar é mostrado primeiramente
Tempo absolutamente único
A porta do endereço IP de Um ou Mais Servidores Cisco ICM NT para fora cronometra a chave de criptografia compartilhada conexão
---------------- ---- --- ---- ------ --------------------------------------
10.66.79.246 49 5 0 Cisco verdadeiro
Configuração no ACS
Um exemplo da configuração exigida no ACS é mostrado aqui:
Etapa 1. Adicionar o MGX como o cliente no ACS: (o nome usado aqui é PXM_MGX, pode ser qualquer coisa)
Clique sobre a configuração de rede
(o nome usado aqui é PXM_MGX, pode ser qualquer coisa)
Etapa 2. Clique adicionam a entrada e configuram o hostname do cliente
Etapa 3. Configurar o endereço IP de Um ou Mais Servidores Cisco ICM NT do cliente de AAA (MGX neste caso) e? chave? qual deve combinar com a configuração MGX (a chave usada aqui é? Cisco?).
Clique Submit+Apply
Etapa 4. Configurar um USER. Clique sobre a instalação de usuário. O usuário aqui é chamado? mais mgx_test? . O clique adiciona/edita, após a datilografia em um username novo
Etapa 5. Configurar uma senha para o usuário. Nós configuramos uma senha “Cisco” neste exemplo
Etapa 6. Setup o nível de privilégio do usuário sob o shell (exec). O usuário é dado aqui o nível de privilégio 12 ou o Service_GP.
Nota: Este é o principal diferença com autenticação IO. Com PXM nós não estamos atribuindo permitimos o privilégio, um pouco nós estamos atribuindo o privilégio do shell (exec) ao usuário.
O clique submete-se para comprometer as mudanças.
Verificar
O telnet ao MGX e assegura-se de que o usuário obtenha o nível de privilégio que nós configuramos no servidor ACS (isto é SERVICE_GP ou nível de privilégio 12):
telnet 172.16.157.88 de aptcwm02%
Tentando 172.16.157.88…
Conectado a 172.16.157.88.
O caractere de escape é “^]”.
Nome de usuário: mais mgx_test
Senha: cisco
8950A.7.PXM.a > quem
Acesso UserId da quietude do entalhe da porta do começado em
-------------------------------------------------------------------------------
porta de Console 20:55:29 JUL28 do console 7 0:00:14 Cisco CISCO_GP
telnet.01 * o <<< JUL28 o mais mgx_test 7 0:00:00 SERVICE_GP 10.66.69.126 21:04:11
Verifique o stats AAA para ver o acontecimento da autenticação TACACS+:
8950A.7.PXM.a > dspaaa-stats
Último cancelado sobre: 07/28/2005 de 17:55:42 (PST)
O último bom início de uma sessão authen: o telnet.01 o mais mgx_test 10.66.69.126
tacacs+ 10.66.79.246/49
07/28/2005 de 21:27:34 (PST)
Último bom priv do grp: o telnet.01 o mais mgx_test 10.66.69.126
tacacs+ 10.66.79.246/49
07/28/2005 de 21:27:34 (PST)
Último Cmd falhado: NENHUM
Datilografe <CR> para continuar, Q<CR> a parar:
NÍVEL COUNTS__ ____SWITCH
Método: Cisco TACACS local
# authen falhas: 0 18 0
# falhas do autor do grp: 0 0 0
# falhas do autor do Cmd: 0 ----- 0
# authen quedas de volta a: 0 32 0
# o autor cai de volta a: 0 1 0
# authen inacessível: ----- ----- 0
# autor inacessível: ----- ----- 0
# desafios RX: ----- ----- 0
# reguladores de pressão do soquete: ----- ----- 0
# mensagens TX: ----- ----- 9
# mensagens RX: ----- ----- 9
# mensagens niveladas: ----- ----- 0
# mensagens do aborto enviadas: ----- ----- 0
# apoiou AVP RX: ----- ----- 2
# AVP Unsupported RX: ----- ----- 0
# AVP desconhecidos RX: ----- ----- 0
Datilografe <CR> para continuar, Q<CR> a parar:
NÍVEL COUNTS__ DO SERVER ____TACACS+
Endereço IP do servidor: 10.66.79.246 0.0.0.0 0.0.0.0
Porta de servidor: 49 0 0
# authen falhas: 0 0 0
# falhas do autor do Cmd: 0 0 0
# authen quedas de volta a: 0 0 0
# o autor cai de volta a: 0 0 0
# authen inacessível: 0 0 0
# autor inacessível: 0 0 0
# desafios RX: 0 0 0
# mensagens TX: 9 0 0
# mensagens RX: 9 0 0
# mensagens niveladas: 0 0 0
# mensagens do aborto enviadas: 0 0 0
# apoiou AVP RX: 2 0 0
# AVP Unsupported RX: 0 0 0
# AVP desconhecidos RX: 0 0 0
Atraso da resposta do médio: 9 0 0
Atraso máximo da resposta: 15 0 0
Os comandos seguintes são relacionados ao TACACS no MGX:
M7.8.PXM.a >? aaa
Comandos disponíveis
------------------
cnfaaa-authen
cnfaaa-autor
cnfaaa-ftpssh
cnfaaa-ignorar-IO
cnfaaa-priv
cnfaaa-alerta
cnfaaa-server
delaaa-server
dspaaa
dspaaa-server
dspaaa-stats
dspaaa-TAC-traço
setaaa-TAC-traço
Informações Relacionadas
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)