ACS 5.x: TACACS+-Authentifizierung und -Befehlsautorisierung basierend auf der AD-Gruppenmitgliedschaft - Konfigurationsbeispiel

Download-Optionen

  • PDF     (729.5 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (737.0 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (2.2 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:29. Juni 2012
Dokument-ID:113590

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

Dieses Dokument enthält ein Beispiel für die Konfiguration der TACACS+-Authentifizierung und -Befehlsautorisierung basierend auf der AD-Gruppenmitgliedschaft eines Benutzers mit Cisco Secure Access Control System (ACS) 5.x und höher. ACS verwendet Microsoft Active Directory (AD) als externen Identitätsspeicher, um Ressourcen wie Benutzer, Computer, Gruppen und Attribute zu speichern.

Voraussetzungen

Anforderungen

Stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind, bevor Sie diese Konfiguration ausprobieren:

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

  • Cisco Secure ACS 5.3

  • Cisco IOS® Softwareversion 12.2(44)SE6.

    Hinweis: Diese Konfiguration kann auf allen Cisco IOS-Geräten vorgenommen werden.

  • Microsoft Windows Server 2003-Domäne

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Konfiguration

Konfigurieren von ACS 5.x für Authentifizierung und Autorisierung

Bevor Sie mit der Konfiguration von ACS 5.x für die Authentifizierung und Autorisierung beginnen, sollte ACS erfolgreich in Microsoft AD integriert worden sein. Wenn der ACS nicht in die gewünschte AD-Domäne integriert ist, finden Sie weitere Informationen zur Durchführung der Integrationsaufgabe unter ACS 5.x und höher: Integration in Microsoft Active Directory Configuration Example (Beispiel zur Integration in Microsoft Active Directory-Konfiguration).

In diesem Abschnitt ordnen Sie zwei AD-Gruppen zwei verschiedenen Befehlssätzen und zwei Shell-Profilen zu, von denen das eine Vollzugriff und das andere eingeschränkten Zugriff auf die Cisco IOS-Geräte bietet.

  1. Melden Sie sich mit Administratoranmeldeinformationen bei der ACS-GUI an.

  2. Wählen Sie Benutzer und Identitätsdaten > Externe Identitätsdaten > Active Directory aus, und überprüfen Sie, ob der ACS der gewünschten Domäne beigetreten ist und ob der Verbindungsstatus als verbunden angezeigt wird.

    Klicken Sie auf die Registerkarte Verzeichnisgruppen.

    acs5-tacas-config-01.gif

  3. Klicken Sie auf Auswählen.

    acs5-tacas-config-02.gif

  4. Wählen Sie die Gruppen aus, die den Shell-Profilen und Befehlssätzen im späteren Teil der Konfiguration zugeordnet werden sollen. Klicken Sie auf OK.

    acs5-tacas-config-03.gif

  5. Klicken Sie auf Änderungen speichern.

    acs5-tacas-config-04.gif

  6. Wählen Sie Access Policies > Access Services > Service Selection Rules aus, und geben Sie den Zugriffsdienst an, der die TACACS+-Authentifizierung verarbeitet. In diesem Beispiel ist dies der Standardgeräteadministrator.

    acs5-tacas-config-05.gif

  7. Wählen Sie Access Policies > Access Services > Default Device Admin > Identity aus, und klicken Sie neben Identity Source auf Select.

    acs5-tacas-config-06.gif

  8. Wählen Sie AD1 aus, und klicken Sie auf OK.

    acs5-tacas-config-07.gif

  9. Klicken Sie auf Änderungen speichern.

    acs5-tacas-config-08.gif

  10. Wählen Sie Zugriffsrichtlinien > Zugriffsservices > Standard-Geräteadministrator > Autorisierung aus, und klicken Sie auf Anpassen.

    acs5-tacas-config-09.gif

  11. Kopieren Sie AD1:ExternalGroups aus Available in Selected des Abschnitts Customize Conditions und verschieben Sie dann Shell Profile und Command Sets aus Available in Selected des Abschnitts Customize Results in Selected des Abschnitts Customize Ergebnis anpassen. Klicken Sie nun auf OK.

    acs5-tacas-config-10.gif

  12. Klicken Sie auf Erstellen, um eine neue Regel zu erstellen.

    acs5-tacas-config-11.gif

  13. Klicken Sie in AD1: ExternalGroups Condition auf Auswählen.

    acs5-tacas-config-12.gif

  14. Wählen Sie die Gruppe aus, der Sie den vollständigen Zugriff auf das Cisco IOS-Gerät gewähren möchten. Klicken Sie auf OK.

    acs5-tacas-config-13.gif

  15. Klicken Sie im Feld Schalenprofil auf Auswählen.

    acs5-tacas-config-14.gif

  16. Klicken Sie auf Erstellen, um ein neues Shell-Profil für Vollzugriffsbenutzer zu erstellen.

    acs5-tacas-config-15.gif

  17. Geben Sie auf der Registerkarte Allgemein einen Namen und eine Beschreibung (optional) ein, und klicken Sie auf die Registerkarte Allgemeine Aufgaben.

    acs5-tacas-config-16.gif

  18. Ändern Sie die Standardberechtigung und die maximale Berechtigung auf Statisch mit Wert 15. Klicken Sie auf Senden.

    acs5-tacas-config-17.gif

  19. Wählen Sie nun das neu erstellte Shell-Profil mit vollem Zugriff (in diesem Beispiel Full-Privilege), und klicken Sie auf OK.

    acs5-tacas-config-18.gif

  20. Klicken Sie im Feld "Befehlssätze" auf Auswählen.

    acs5-tacas-config-19.gif

  21. Klicken Sie auf Erstellen, um einen neuen Befehlssatz für Benutzer mit vollständigem Zugriff zu erstellen.

    acs5-tacas-config-20.gif

  22. Geben Sie einen Namen an, und stellen Sie sicher, dass das Kontrollkästchen neben Befehle zulassen, die nicht in der unten stehenden Tabelle enthalten sind, aktiviert ist. Klicken Sie auf Senden.

    Hinweis: Weitere Informationen zu Befehlssätzen finden Sie unter Erstellen, Duplizieren und Bearbeiten von Befehlssätzen für die Geräteverwaltung.

    acs5-tacas-config-21.gif

  23. Klicken Sie auf OK.

    acs5-tacas-config-22.gif

  24. Klicken Sie auf OK. Damit ist die Konfiguration von Regel-1 abgeschlossen.

    acs5-tacas-config-23.gif

  25. Klicken Sie auf Erstellen, um eine neue Regel für Benutzer mit eingeschränktem Zugriff zu erstellen.

    acs5-tacas-config-24.gif

  26. Wählen Sie AD1:ExternalGroups aus, und klicken Sie auf Auswählen.

    acs5-tacas-config-25.gif

  27. Wählen Sie die Gruppe(n) aus, auf die Sie beschränkten Zugriff gewähren möchten, und klicken Sie auf OK.

    acs5-tacas-config-26.gif

  28. Klicken Sie im Feld Schalenprofil auf Auswählen.

    acs5-tacas-config-27.gif

  29. Klicken Sie auf Erstellen, um ein neues Shell-Profil für eingeschränkten Zugriff zu erstellen.

    acs5-tacas-config-28.gif

  30. Geben Sie einen Namen und eine Beschreibung (optional) auf der Registerkarte Allgemein an, und klicken Sie auf die Registerkarte Allgemeine Aufgaben.

    acs5-tacas-config-29.gif

  31. Ändern Sie die Standardberechtigung und die Maximalberechtigung in Statisch mit den Werten 1 bzw. 15. Klicken Sie auf Senden.

    acs5-tacas-config-30.gif

  32. Klicken Sie auf OK.

    acs5-tacas-config-31.gif

  33. Klicken Sie im Feld "Befehlssätze" auf Auswählen.

    acs5-tacas-config-32.gif

  34. Klicken Sie auf Erstellen, um einen neuen Befehlssatz für die Gruppe mit eingeschränktem Zugriff zu erstellen.

    acs5-tacas-config-33.gif

  35. Geben Sie einen Namen an, und stellen Sie sicher, dass das Kontrollkästchen neben Befehle zulassen, die nicht in der unten stehenden Tabelle enthalten sind, nicht aktiviert ist. Klicken Sie nach der Eingabe von show im Abschnitt command auf Add (Hinzufügen) und wählen Sie Permit (Zulassen) im Abschnitt Grant (Erteilen) aus, damit nur die show-Befehle für Benutzer in der Gruppe mit eingeschränktem Zugriff zulässig sind.

    acs5-tacas-config-34.gif

  36. Fügen Sie auf ähnliche Weise alle anderen Befehle hinzu, die für Benutzer in einer Gruppe mit eingeschränktem Zugriff zulässig sind, und verwenden Sie Add. Klicken Sie auf Senden.

    Hinweis: Weitere Informationen zu Befehlssätzen finden Sie unter Erstellen, Duplizieren und Bearbeiten von Befehlssätzen für die Geräteverwaltung.

    acs5-tacas-config-35.gif

  37. Klicken Sie auf OK.

    acs5-tacas-config-36.gif

  38. Klicken Sie auf OK.

    acs5-tacas-config-37.gif

  39. Klicken Sie auf Änderungen speichern.

    acs5-tacas-config-38.gif

  40. Klicken Sie auf Erstellen, um das Cisco IOS-Gerät als AAA-Client zum ACS hinzuzufügen.

    acs5-tacas-config-39.gif

  41. Geben Sie einen Namen, eine IP-Adresse und einen gemeinsamen geheimen Schlüssel für TACACS+ ein, und klicken Sie auf Submit (Senden).

    acs5-tacas-config-40.gif

Konfigurieren des Cisco IOS-Geräts für Authentifizierung und Autorisierung

Führen Sie diese Schritte aus, um das Cisco IOS-Gerät und den ACS für die Authentifizierung und Autorisierung zu konfigurieren.

  1. Erstellen Sie mit dem Befehl username einen lokalen Benutzer mit allen Berechtigungen für den Fallback, wie hier gezeigt:

    username admin privilege 15 password 0 cisco123!

  2. Geben Sie die IP-Adresse des ACS an, um AAA zu aktivieren und ACS 5.x als TACACS-Server hinzuzufügen.

    aaa new-model
tacacs-server host 192.168.26.51 key cisco123

    Hinweis: Der Schlüssel muss mit dem auf dem ACS für dieses Cisco IOS-Gerät bereitgestellten gemeinsamen geheimen Schlüssel übereinstimmen.

  3. Testen Sie die Erreichbarkeit des TACACS-Servers mit dem Befehl test aaa, wie dargestellt.

    test aaa group tacacs+ user1 xxxxx legacy
Attempting authentication test to server-group tacacs+ using tacacs+
User was successfully authenticated.

    Die Ausgabe des vorherigen Befehls zeigt an, dass der TACACS-Server erreichbar ist und der Benutzer erfolgreich authentifiziert wurde.

    Hinweis: Benutzer1 und Kennwort xxx gehören zu AD. Wenn der Test fehlschlägt, stellen Sie sicher, dass der im vorherigen Schritt bereitgestellte gemeinsame geheime Schlüssel korrekt ist.

  4. Konfigurieren Sie die Anmeldung, aktivieren Sie die Authentifizierungen, und verwenden Sie dann die Exec- und Befehlsautorisierungen, wie hier gezeigt:

    aaa authentication login default group tacacs+ local
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ local
aaa authorization commands 0 default group tacacs+ local
aaa authorization commands 1 default group tacacs+ local
aaa authorization commands 15 default group tacacs+ local
aaa authorization config-commands

    Hinweis: Die Schlüsselwörter Local (Lokal) und Enable (Aktivieren) werden als Fallback für den lokalen Cisco IOS-Benutzer und enable secret verwendet, wenn der TACACS-Server nicht erreichbar ist.

Überprüfung

Um die Authentifizierung und Autorisierung zu überprüfen, melden Sie sich über Telnet beim Cisco IOS-Gerät an.

  1. Telnet zum Cisco IOS-Gerät als Benutzer1, der zur Gruppe mit vollem Zugriff in AD gehört. Bei der Gruppe "Netzwerkadministratoren" handelt es sich um die Gruppe in AD, die dem Shell-Profil mit vollen Rechten und dem Befehlssatz mit vollem Zugriff auf dem ACS zugeordnet ist. Versuchen Sie, einen beliebigen Befehl auszuführen, um sicherzustellen, dass Sie uneingeschränkten Zugriff haben.

    acs5-tacas-config-41.gif

  2. Telnet zum Cisco IOS-Gerät als Benutzer2, der zur Gruppe mit eingeschränktem Zugriff in AD gehört. (Die Gruppe für das Netzwerkwartungsteam ist die Gruppe in AD, die dem Shell-Profil mit eingeschränkten Berechtigungen und dem Show-Access-Befehlssatz auf dem ACS zugeordnet ist.) Wenn Sie versuchen, einen anderen als den im Befehlssatz Show-Access genannten Befehl auszuführen, sollten Sie den Fehler Command Authorization Failed (Befehlsautorisierung fehlgeschlagen) erhalten, der anzeigt, dass user2 über eingeschränkten Zugriff verfügt.

    acs5-tacas-config-42.gif

  3. Melden Sie sich bei der ACS-GUI an, und starten Sie die Anzeige "Monitoring and Reports". Wählen Sie AAA Protocol > TACACS+Authorization (AAA-Protokoll > TACACS+Autorisierung), um die von user1 und user2 ausgeführten Aktivitäten zu überprüfen.

    acs5-tacas-config-43.gif

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
20-Jun-2012
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren