ISE 2.0 :ASA CLI TACACS+认证和Authorization命令配置示例
目录
简介
本文描述如何配置TACACS+认证和Authorization命令在Cisco可适应安全工具(ASA)用身份服务引擎(ISE) 2.0及以后。ISE使用本地标识存储存储资源例如用户、组和终端。
先决条件
要求
Cisco 建议您了解以下主题:
- ASA防火墙是完全能操作的
- ASA和ISE之间的连接
- ISE服务器被引导
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 思科身份服务引擎2.0
- Cisco ASA软件版本9.5(1)
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
配置
配置的AIM对:
- 通过内部标识存储验证SSH用户
- 认证SSH用户,因此它将被放置到特权EXEC模式在登录以后
- 检查并且发送每被执行的命令对验证的ISE
网络图
配置
配置认证和授权的ISE
两个用户创建。用户管理员是网络管理员本地标识组的部分ISE的。此用户有全双工CLI权限。用户用户是网络维护团队本地标识组的部分ISE的。此用户允许执行只显示命令和ping。
添加网络设备
导航到工作区>设备Administration >网络资源>网络设备。单击 Add。提供名称, IP地址,选择Settings复选框的TACACS+认证并且提供共享密钥。随意地设备类型/位置可以指定。
配置用户标识组
导航给工作区>设备Administration >用户标识组。单击 Add。提供名称并且单击提交。
重复同一个步骤给configure network维护团队用户标识组。
配置用户
导航对工作区>设备Administration >标识> Users。单击 Add。提供名称,登录密码指定用户组并且单击提交。
重复步骤配置用户用户和分配网络维护团队用户标识组。
以启用设备Admin服务
导航对管理>System >部署。select要求节点。选择以启用设备Admin服务复选框并且点击“Save”。
配置tacacs命令集
两命令集配置。提供所有on命令设备的管理员用户的第一PermitAllCommands。允许的用户用户的第二PermitPingShowCommands只显示和查验命令。
1. 导航对工作区>设备管理>Policy结果> tacacs命令集。单击 Add。提供名称PermitAllCommands,选择permit any命令不是列出的下面的复选框并且单击提交。
2. 导航对工作区>设备管理>Policy结果> tacacs命令集。单击 Add。提供名称PermitPingShowCommands,单击添加,并且permit显示, ping并且退出命令。默认情况下,如果变量是左空白,所有参数包括。单击 submit。
配置TACACS配置文件
单个TACACS配置文件将配置。实际命令实施通过命令集将完成。导航对工作区>设备管理>Policy结果> TACACS配置文件。单击 Add。提供命名ShellProfile,选择默认权限复选框并且输入值为15。单击 submit。
配置TACACS授权策略
默认情况下验证策略指向All_User_ID_Stores,包括本地存储,因此被留下不可更改。
导航对工作区>设备管理>Policy集>默认>授权策略> Edit >上面插入新规则。
配置的两个授权rulesare,第一个规则分配TACACS配置文件ShellProfile和set命令根据网络管理员用户标识组成员的PermitAllCommands。第二个规则分配TACACS配置文件ShellProfile和set命令根据网络维护团队用户标识组成员的PermitPingShowCommands。
配置认证和授权的思科ASA防火墙
1. 创建一个本地用户有fallback的全双工权限用username命令如显示此处
ciscoasa(config)# username cisco password cisco privilege 15
2. 定义TACACS服务器ISE,指定接口、协议IP地址和TACACS密钥。
aaa-server ISE protocol tacacs+
aaa-server ISE (mgmt) host 10.48.17.88
key cisco
3. 测试与测验的TACACS服务器可接通性aaa命令如显示。
ciscoasa# test aaa authentication ISE host 10.48.17.88 username administrator Krakow123
INFO: Attempting Authentication test to IP address <10.48.17.88> (timeout: 12 seconds)
INFO: Authentication Successful
前面的命令的输出显示TACACS服务器可及的,并且用户顺利地验证。
4. 配置SSH、EXEC授权和命令授权的验证如下所示。使用AAA认证exec认证服务器自动enable (event)您在特权EXEC模式将自动地安置。
aaa authentication ssh console ISE
aaa authorization command ISE
aaa authorization exec authentication-server auto-enable
5. 允许嘘在mgmt接口。
ssh 0.0.0.0 0.0.0.0 mgmt
验证
思科ASA防火墙验证
1. 对ASA防火墙的SSH作为属于全部存取的用户标识组的管理员。网络管理员组被映射对ShellProfile和PermitAllCommands Set命令在ISE。设法运行所有命令保证完全权限。
EKORNEYC-M-K04E:~ ekorneyc$ ssh administrator@10.48.66.202
administrator@10.48.66.202's password:
Type help or '?' for a list of available commands.
ciscoasa#
ciscoasa# configure terminal
ciscoasa(config)# crypto ikev1 policy 10
ciscoasa(config-ikev1-policy)# encryption aes
ciscoasa(config-ikev1-policy)# exit
ciscoasa(config)# exit
ciscoasa#
2. 对ASA防火墙的SSH作为属于有限享用用户标识组的用户。网络维护组被映射对ShellProfile和PermitPingShowCommands Set命令在ISE。设法运行所有命令保证只显示,并且查验命令可以发出。
EKORNEYC-M-K04E:~ ekorneyc$ ssh user@10.48.66.202
administrator@10.48.66.202's password:
Type help or '?' for a list of available commands.
ciscoasa#
ciscoasa# show version | include Software
Cisco Adaptive Security Appliance Software Version 9.5(1)
ciscoasa# ping 8.8.8.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/24/30 ms
ciscoasa# configure terminal
Command authorization failed
ciscoasa# traceroute 8.8.8.8
Command authorization failed
ISE 2.0验证
1. 导航对操作> TACACS Livelog。保证完成的尝试以上被看到。
2. 点击详细信息其中一红色报告,及早被执行的失败的命令能被看到。
故障排除
Error:失败的尝试:失败的Authorization命令
检查SelectedCommandSet属性验证预计命令集由授权策略选择
反馈