Ejemplo de configuración de VSA (Vendor Specific Attributes) para el ACS 4.2

Ejemplo de configuración de VSA (Vendor Specific Attributes) para el ACS 4.2

En ocasiones es necesario la creación de atributos específicos por vendor (VSA) en el ACS para poder autenticar y autorizar equipos de terceros a través del protocolo de RADIUS (Remote Dial-In User Service).

Los VSA de RADIUS se derivan de un atributo IETF conocido como atributo 26. Este permite la creación de 255 atributos adicionales específicos de que cada compañia.

El archivo de texto del equipo tercero debe tener la siguiente información:

 [attr#0]
vendor-id=<the vendor identifier number>
vendor-name=<the name of the vendor>
application-id=6
application-name=Audit
attribute-id=00012
attribute-name=Device-Type
attribute-profile=in out
atribute-type=string

Ejemplo de configuración de un VSA de bluecoat en format .ini

[User Defined Vendor]
Name=BlueCoat
IETF Code=14501
VSA 1=Blue-Coat-Group

[Blue-Coat-Group]
Type=STRING
Profile=OUT


El archivo debe tener extension .ini para poder subirse al ACS. Las instrucciones para hacerlo es:

Abrir una ventana de DOS y buscar el  directorio donde se encuentra el ACS:

1) Ir a:
C:\Program Files\CiscoSecure ACS v4.2\bin

2) Ejecutar el siguiente commando para conocer los slots disponibles:
CSUtil.exe –listUDV

3) Correr el CSUtil.exe para subir el VSA, especificando el número de slot y nombre del archivo:
CSUtil.exe -addUDV slot-number filename

Ejemplo:

CSUtil.exe -addUDV 5 d:\acs\myvsa.ini

4) Se pedirá reinicar los servicios. Dar aceptar.
En ocasiones es necesario forzar el reinicio del servicio de CSauth:
net start CSauth

Para borrar algún VSA se ejecuta el commando:
CSUtil.exe -delUDV (slot)

ASC SE (Security Engine)
Para subir el VSA a un “appliance” (equipo físico) se debe utilizar la sincronización de base de datos. Se debe crear un archivo con extension .csv que puede ser manipulado a través de Microsoft Excel.

El archivo debe ser colocado en un servidor FTP para realziar la transferencia.
Aquí la documentación que habla al respecto:
http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for_windows/4.1/user/SCAdv.html#wp756877


Las acciones básicas utilizadas para la creación de VSA en formato .csv son:

-350: Agrega el identificador del vendor a la base de datos. Si el parámetro de auto_slot es configurado, el ACS seleccionará el siguiente espacio disponible para colocar el VSA.

-352: Agrega el VSA de ese equipo.

-355: Reinicia los servicios de CSAdmin, CSRadius y CSLogs. Esto es necesario para que los nuevos VSAs puedan ser utilizados.

Si los atributos requieren parámetros adicionales es necesario configurarlos también.

Aquí el mismo ejemplo de bluecoat en formato .csv

Es necesario respetar las columnas del archivo y colocar la información de manera correcta.

 

Se agregaron ejemplos de configuración de un equipo F5 para mayor información.

 

Referencias

 

RADIUS Attributes Overview and RADIUS IETF Attributes

http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsecur_c/scfrdat1.html

CS Utility

http://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_server_for_windows/4-2/user/guide/ACS4_2UG/A_CSUtil.html

RDBMS

http://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_server_for_windows/4-2/user/guide/ACS4_2UG/A_RDBMS.html#wp138432

 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

 

Historial de versiones
Revisión n.º
1 de 1
Última actualización:
‎07-16-2014 01:17 PM
Actualizado por:
 
Etiquetas (1)
Adjuntos