Exemplo de configuração de VSA (Vendor Specific Attributes) para ACS 4.2

Exemplo de configuração de VSA (Vendor specific attributes) para ACS 4.2

 

Às vezes, é necessária a criação de atributos específicos do vendedor (VSA) no ACS para autenticar e autorizar equipamentos de terceiros através do protocolo RADIUS (Remote Dial-In User Service).

Os VSAs do RADIUS são derivados a partir de um atributo IETF
conhecido como  atributo 26. Isto permite a criação de 255 atributos adicionais específicos para cada empresa.

O arquivo de texto do equipamento terceiro deve ter o seguinte formato:

 [attr#0]
vendor-id=<the vendor identifier number>
vendor-name=<the name of the vendor>
application-id=6
application-name=Audit
attribute-id=00012
attribute-name=Device-Type
attribute-profile=in out
atribute-type=string

 

Exemplo de uma configuração  com equipamento bluecoat

[User Defined Vendor]
Name=BlueCoat
IETF Code=14501
VSA 1=Blue-Coat-Group

[Blue-Coat-Group]
Type=STRING
Profile=OUT

 

O arquivo deve ter extensão .ini, para subir ao ACS. As instruções para fazer isso é:

Abra uma janela do DOS e localize o diretório onde fica o ACS:

1) Vá para:

C:\Program Files\CiscoSecure ACS v4.2\bin

 

2) Execute o seguinte comando para conhecer os slots disponíveis:

CSUtil.exe –listUDV

 

3) Execute o CSUtil.exe para subir o VSA, especificando o número de slot e filename:

CSUtil.exe -addUDV slot-number filename

Exemplo:

CSUtil.exe -addUDV 5 d:\acs\myvsa.ini

 

4) Será solicitado o reinicio dos serviços. aceitar.
Às vezes você precisa forçar reinício CSauth serviço:

net start CSauth

 

Para deletar um VSA executar o comando:

CSUtil.exe -delUDV (slot)

 

ASC SE (Security Engine)
Para fazer upload do VSA para um "appliance" (hardware), você deve usar a sincronização
do banco de dados . Você deve criar um arquivo com extensão .CSV que pode ser manipulado por meio do Microsoft Excel.

O arquivo deve ser colocado em um servidor FTP para transferi-lo.
Aqui a documentação que fala sobre isso:

http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for_windows/4.1/user/SCAdv.html#wp756877

 

As ações básicas utilizadas para a criação de csv VSA são:

-350: Adiciona a identificação do vendedor no banco de dados. O parâmetro de  Auto_slot sirve para o ACS  selecionar o próximo espaço disponível e colocar o VSA.

-352: Faz o VSA para o equipamento.

-355: Faz um reinicio dos serviços de  CSAdmin, CSRadius e CSLogs. Isto é necessário para poder usar as novas VSAs.

Se os atributos requerem parâmetros adicionais é necessário configurar também.

Aqui, o mesmo exemplo de bluecoat com formato CSV

É necessário respeitar as colunas do arquivo e colocar as informações corretamente.

 

Foram adicionados exemplos de configuração de uma equipe F5 para mais informações.

 

Referências

 

RADIUS Attributes Overview and RADIUS IETF Attributes

http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsecur_c/scfrdat1.html

CS Utility

http://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_server_for_windows/4-2/user/guide/ACS4_2UG/A_CSUtil.html

RDBMS

http://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_server_for_windows/4-2/user/guide/ACS4_2UG/A_RDBMS.html#wp138432

 

Histórico de versão
Revisão #
1 de 1
Última actualização:
‎07-16-2014 03:46 PM
Actualizado por:
 
Etiquetas (1)
Anexos