отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 

Настройка авторизации/аутентификации для IOS устройств на ACS 5.x

[toc:faq]
Введение

Cisco Secure ACS — основной компонент решений по сетевой безопасности в системах доверительных отношений и идентификации Cisco. Он расширяет безопасный доступ, объединяя аутентификацию, пользовательский и административный доступ и управление политиками на базе централизованной сетевой инфраструктуры идентификации, что обеспечивает дополнительную гибкость и мобильность, повышая уровень безопасности и увеличивая результативность работы пользователей.

Настроем разграниченный доступ для администрации IOS устройств.

Настройка авторизации/аутентификации для IOS устройств на ACS 5

1. Создание устройства на ACS:


01.png

Необходимо задать имя, адрес, и пароль для протокола который мы будем использовать, в данном случае TACACS.

Для этого перейдем в Network Resources > Network Devices and AAA Clients

Нажмем Create.

Мы можем поместить устройство в группы по местоположению или по типу устройств, это позволит в дальнейшем настраивать гибкую систему авторизации.

2. Создадим двух пользователей, одного администратора, и второго с ограниченными правами.

Необходимо задать Имя и пароль пользователя.

Для этого перейдем в Users and Identity Stores > Internal Identity Stores > Users

Нажмем Create.


02.png

03.png

3. По умолчанию создано правило, которое по протоколу (RADIUS/TACACS) определяет в какую сервис группу мы попадем.

04.png

4. Настроим для двух пользователей Privilege level.

Для пользователя admin Privilege Level будет 15, для пользователя user Privilege level будет 10.

Для этого перейдем в Policy Elements > Authorization and Permissions  > Network Access > Authorization Profiles

Нажмем Create. Нам понадобится вкладка Common Tasks


05.png

06.png

5. Разрешим пользователю admin, использовать полный набор доступных команд, а пользователю user только просматривать интерфейсы, и свой privilege level.

Для этого перейдем в Policy Elements > Authorization and Permissions  > Device Administration > Command Sets

Нажмем Create.


07.png

08.png

6. Теперь настроим правило, которое по имени пользователя определит в какую группу попадет пользователь и какими правами он будет обладать.

Для этого перейдем в Access Policies >  Access Services >  Default Device Admin >  Authorization

Нажмем Create.


09.png

Настройка авторизации/аутентификации/аккаунтинга на IOS устройствах

1. Настроим tacacs-server с помощью следующих команд:

tacacs server TACACS

  address ipv4 192.168.1.3

  key cisco

2. Настройка аутентификации. Для этого создадим лист аутентификации AUTH, и назначим его на line vty 0 4. Помимо этого будем аутентифицировать enable режим.

aaa authentication login AUTH group tacacs+ local

aaa authentication enable default group tacacs+ enable

line vty 0 4

login authentication AUTH

3. Настройка авторизации. Для этого создадим лист авторизации команд COM и назначим его на line vty 0 4.

aaa authorization exec default group tacacs+ local

aaa authorization commands 1 COM group tacacs+ local

aaa authorization commands 10 COM group tacacs+ local

aaa authorization commands 15 COM group tacacs+ local

aaa authorization config-commands

line vty 0 4

authorization commands 1 COM

authorization commands 10 COM  

authorization commands 15 COM

4. С такими настройками мы получаем следующий результат:

Телнет подключение к маршрутизатору пользователя admin:

Trying 1.1.1.1 ... Open

username: admin

password:

R1#sh priv

R1#sh privilege

Current privilege level is 15

R1#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

R1(config)#router eigr

R1(config)#router eigrp 1

R1(config-router)#net

R1(config-router)#network 3.3.3.0

5. Телнет подключение к маршрутизатору пользователя user:

Trying 1.1.1.1 ... Open

username: user

password:

R1#sh priv

R1#sh privilege

Current privilege level is 10

R1#sh ip int br

Interface                  IP-Address      OK? Method Status                Protocol

Embedded-Service-Engine0/0 unassigned      YES NVRAM  administratively down down   

GigabitEthernet0/0         1.1.1.1         YES NVRAM  up                    up     

ISM0/0                     unassigned      YES unset  up                    up     

ISM0/1                     127.0.0.1       YES unset  up                    up     

GigabitEthernet0/1         3.3.3.3         YES NVRAM  up                    up     

Virtual-Access1            3.3.3.3         YES unset  up                    up     

R1#ping 3.3.3.3

Command authorization failed.

  • Найти больше статей с меткой:
Комментарии
New Member

По данной статье заставить ACS заработать, не получилось.

В пункте 4 идет описание картинки от Policy Elements > Authorization and Permissions  > Device Administrator > Shell Profiles, а в описании ссылка на Policy Elements > Authorization and Permissions  > Network Access > Authorization Profiles

Этой статье явно не хватает пункта про траблшутинг.

2834
Просмотры
3
Полезный материал
1
Комментарии