In diesem Dokument werden die Attribute zusammengefasst, die verschiedene Produkte von Cisco und von Drittanbietern von einem AAA-Server (Authentication, Authorization, Accounting) erwarten. In diesem Fall ist der AAA-Server ein Zugriffssteuerungsserver (Access Control Server, ACS). Der ACS kann diese Attribute zusammen mit einem Access-Accept als Teil eines Shell-Profils (TACACS+) oder eines Autorisierungsprofils (RADIUS) zurückgeben.
Dieses Dokument enthält schrittweise Anweisungen zum Hinzufügen benutzerdefinierter Attribute zu Shell- und Autorisierungsprofilen. Dieses Dokument enthält außerdem eine Liste der Geräte sowie der TACACS+- und RADIUS-Attribute, die die Geräte voraussichtlich vom AAA-Server erhalten. Alle Themen enthalten Beispiele.
Die in diesem Dokument enthaltene Attributliste ist nicht vollständig oder verbindlich und kann jederzeit geändert werden, ohne dass eine Aktualisierung dieses Dokuments erforderlich ist.
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Die Informationen in diesem Dokument basieren auf der ACS-Version 5.2/5.3.
Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).
Ein Shell-Profil ist ein Container mit grundlegenden Berechtigungen für TACACS+-basierten Zugriff. Mit Access-Accept können Sie angeben, welche TACACS+-Attribute und -Attributwerte zusätzlich zur Cisco® IOS-Berechtigungsebene, dem Sitzungs-Timeout und anderen Parametern zurückgegeben werden sollen.
Gehen Sie wie folgt vor, um einem neuen Shell-Profil benutzerdefinierte Attribute hinzuzufügen:
Melden Sie sich bei der ACS-Schnittstelle an.
Navigieren Sie zu Richtlinienelemente > Autorisierung und Berechtigungen > Geräteadministration > Shell Profiles.
Klicken Sie auf die Schaltfläche Erstellen.
Nennen Sie das Shell-Profil.
Klicken Sie auf die Registerkarte Benutzerdefinierte Attribute.
Geben Sie den Attributnamen in das Feld Attribut ein.
Wählen Sie in der Dropdown-Liste "Anforderung" die Option "Obligatorisch" oder "Optional" aus.
Lassen Sie das Dropdown-Menü für den Attributwert auf Statisch gesetzt. Wenn der Wert statisch ist, können Sie den Wert im nächsten Feld eingeben. Wenn der Wert dynamisch ist, können Sie das Attribut nicht manuell eingeben. Stattdessen wird das Attribut einem Attribut in einem der Identitätsspeicher zugeordnet.
Geben Sie den Wert des Attributs im letzten Feld ein.
Klicken Sie auf die Schaltfläche Hinzufügen, um der Tabelle den Eintrag hinzuzufügen.
Wiederholen Sie den Vorgang, um alle erforderlichen Attribute zu konfigurieren.
Klicken Sie unten im Bildschirm auf Senden.
Gerät: Application Control Engine (ACE)
Attribut(e): Shell:<Kontextname>
Wert(e): <Rollenname> <Domänenname1>
Verwendung: Die Rolle und die Domäne werden durch ein Leerzeichen getrennt. Sie können einen Benutzer (z. B. USER1) so konfigurieren, dass ihm eine Rolle (z. B. ADMIN) und eine Domäne (z. B. MYDOMAIN) zugewiesen wird, wenn sich der Benutzer bei einem Kontext (z. B. C1) anmeldet.
Ein Autorisierungsprofil ist ein Container mit grundlegenden Berechtigungen für den RADIUS-basierten Zugriff. Mit Access-Accept können Sie festlegen, welche RADIUS-Attribute und -Attributwerte zusätzlich zu den VLANs, Zugriffskontrolllisten (ACLs) und anderen Parametern zurückgegeben werden sollen.
Gehen Sie wie folgt vor, um einem neuen Autorisierungsprofil benutzerdefinierte Attribute hinzuzufügen:
Melden Sie sich bei der ACS-Schnittstelle an.
Navigieren Sie zu Richtlinienelemente > Autorisierung und Berechtigungen > Netzwerkzugriff > Autorisierungsprofile.
Klicken Sie auf die Schaltfläche Erstellen.
Geben Sie dem Autorisierungsprofil einen Namen.
Klicken Sie auf die Registerkarte RADIUS Attributes.
Wählen Sie ein Wörterbuch aus dem Dropdown-Menü Wörterbuchtyp aus.
Klicken Sie auf die Schaltfläche Auswählen, um das Attribut für das RADIUS-Attributfeld auszuwählen. Ein neues Fenster wird angezeigt.
Überprüfen Sie die verfügbaren Attribute, treffen Sie Ihre Auswahl, und klicken Sie auf OK. Der Wert Attributtyp wird standardmäßig auf Basis der gerade vorgenommenen Attributauswahl festgelegt.
Lassen Sie das Dropdown-Menü für den Attributwert auf Statisch gesetzt. Wenn der Wert statisch ist, können Sie den Wert im nächsten Feld eingeben. Wenn der Wert dynamisch ist, können Sie das Attribut nicht manuell eingeben. Stattdessen wird das Attribut einem Attribut in einem der Identitätsspeicher zugeordnet.
Geben Sie den Wert des Attributs im letzten Feld ein.
Klicken Sie auf die Schaltfläche Hinzufügen, um der Tabelle den Eintrag hinzuzufügen.
Wiederholen Sie den Vorgang, um alle erforderlichen Attribute zu konfigurieren.
Klicken Sie unten im Bildschirm auf Senden.
Gerät: ACE
Attribut(e): cisco-av-pair
Wert(e): Shell:<Kontextname>=<Rollenname> <Domänenname1> <Domänenname2>
Verwendung: Jeder Wert nach dem Gleichheitszeichen wird durch ein Leerzeichen getrennt. Sie können einen Benutzer (z. B. USER1) so konfigurieren, dass ihm eine Rolle (z. B. ADMIN) und eine Domäne (z. B. MYDOMAIN) zugewiesen wird, wenn sich der Benutzer bei einem Kontext (z. B. C1) anmeldet.
RADIUS (Autorisierungsprofil)
Attribut(e): cisco-av-pair
Wert(e): shell:tasks="#<Rollenname>,<Berechtigung>:<Prozess>"
Syntax: Legen Sie die Werte von <Rollenname> auf den Namen einer Rolle fest, die lokal auf dem Router definiert ist. Die Rollenhierarchie kann in Form einer Struktur beschrieben werden, in der die Rolle #root oben in der Struktur steht und die Rolle #leaf zusätzliche Befehle hinzufügt. Diese beiden Rollen können kombiniert und zurückgegeben werden, wenn: shell:tasks="#root,#leaf".
Berechtigungen können auch auf Basis einzelner Prozesse zurückgegeben werden, sodass einem Benutzer Lese-, Schreib- und Ausführungsberechtigungen für bestimmte Prozesse erteilt werden können. Um beispielsweise einem Benutzer Lese- und Schreibberechtigungen für den BGP-Prozess zuzuweisen, legen Sie den Wert auf shell:tasks="#root,rw:bgp" fest. Die Reihenfolge der Attribute spielt keine Rolle; das Ergebnis ist gleich, ob der Wert auf shell:tasks="#root,rw:bgp" oder ro shell:tasks="rw:bgp,#root" festgelegt ist.
Beispiel: Hinzufügen eines Attributs zu einem AutorisierungsprofilDictionary-Typ | RADIUS-Attribut | Attributtyp | Attributwert |
---|---|---|---|
RADIUS - Cisco | cisco-av-pair |
String | shell:tasks="#root,#leaf,rwx:bgp,r:ospf" |
TACACS+ (Shell-Profil)
Attribut(e): Shell:<Kontextname>
Wert(e): <Rollenname> <Domänenname1>
Verwendung: Die Rolle und die Domäne werden durch ein Leerzeichen getrennt. Sie können einen Benutzer (z. B. USER1) so konfigurieren, dass ihm eine Rolle (z. B. ADMIN) und eine Domäne (z. B. MYDOMAIN) zugewiesen wird, wenn sich der Benutzer bei einem Kontext (z. B. C1) anmeldet.
Beispiel: Hinzufügen eines Attributs zu einem Shell-ProfilAttribut | Anforderung | Attributwert |
---|---|---|
shell:C1 |
Mandatory (Obligatorisch) | Admin MYDOMAIN |
Wenn sich USER1 über den C1-Kontext anmeldet, wird diesem Benutzer automatisch die ADMIN-Rolle und die MYDOMAIN-Domäne zugewiesen (vorausgesetzt, dass eine Autorisierungsregel konfiguriert wurde, in der ihm nach der Anmeldung von USER1 dieses Autorisierungsprofil zugewiesen wird).
Wenn sich USER1 über einen anderen Kontext anmeldet, der nicht im Wert des Attributs zurückgegeben wird, das der ACS zurücksendet, wird diesem Benutzer automatisch die Standardrolle (Netzwerkmonitor) und die Standarddomäne (Standarddomäne) zugewiesen.
RADIUS (Autorisierungsprofil)
Attribut(e): cisco-av-pair
Wert(e): Shell:<Kontextname>=<Rollenname> <Domänenname1> <Domänenname2>
Verwendung: Jeder Wert nach dem Gleichheitszeichen wird durch ein Leerzeichen getrennt. Sie können einen Benutzer (z. B. USER1) so konfigurieren, dass ihm eine Rolle (z. B. ADMIN) und eine Domäne (z. B. MYDOMAIN) zugewiesen wird, wenn sich der Benutzer bei einem Kontext (z. B. C1) anmeldet.
Beispiel: Hinzufügen eines Attributs zu einem AutorisierungsprofilDictionary-Typ | RADIUS-Attribut | Attributtyp | Attributwert |
---|---|---|---|
RADIUS - Cisco | cisco-av-pair |
String | shell:C1=ADMIN MYDOMAIN |
Wenn sich USER1 über den C1-Kontext anmeldet, wird diesem Benutzer automatisch die ADMIN-Rolle und die MYDOMAIN-Domäne zugewiesen (vorausgesetzt, dass eine Autorisierungsregel konfiguriert wurde, in der ihm nach der Anmeldung von USER1 dieses Autorisierungsprofil zugewiesen wird).
Wenn sich USER1 über einen anderen Kontext anmeldet, der nicht im Wert des Attributs zurückgegeben wird, das der ACS zurücksendet, wird diesem Benutzer automatisch die Standardrolle (Netzwerkmonitor) und die Standarddomäne (Standarddomäne) zugewiesen.
RADIUS (Autorisierungsprofil)
Attribut(e): Packeter - AVPair
Wert(e): access=<level>
Syntax: <level> bezeichnet die Zugriffsstufe, die gewährt werden soll. Touch-Zugriff ist gleichbedeutend mit Lese- und Schreibzugriff, während Look-Zugriff gleichbedeutend mit Schreibzugriff ist.
Das BlueCoat VSA ist in den ACS-Wörterbüchern standardmäßig nicht vorhanden. Um das BlueCoat-Attribut in einem Autorisierungsprofil zu verwenden, müssen Sie ein BlueCoat-Wörterbuch erstellen und diesem Wörterbuch die BlueCoat-Attribute hinzufügen.
Dictionary erstellen:
Navigieren Sie zu System Administration > Configuration > Dictionaries > Protocols > RADIUS > RADIUS VSA (Systemverwaltung > Konfiguration > Wörterbücher > Protokolle).
Klicken Sie auf Erstellen.
Geben Sie die Details des Wörterbuchs ein:
Name: BlueCoat
Hersteller-ID: 2334
Attributpräfix: Packeteer-
Klicken Sie auf Senden.
Erstellen Sie ein Attribut im neuen Wörterbuch:
Navigieren Sie zu System Administration > Configuration > Dictionaries > Protocols > RADIUS > RADIUS VSA > BlueCoat (Systemverwaltung > Konfiguration > Wörterbücher > Protokolle)BlueCoat.
Klicken Sie auf Erstellen.
Geben Sie die Details des Attributs ein:
Attribut: Packeter-AVPair
Beschreibung: Wird zum Festlegen der Zugriffsebene verwendet.
Kreditorenattribut-ID: 1
Richtung: AUSGEHEND
Mehrere zulässig: Falsch
Attribut in Protokoll einschließen: Aktiviert
Attributtyp: Zeichenfolge
Klicken Sie auf Senden.
Dictionary-Typ | RADIUS-Attribut | Attributtyp | Attributwert |
---|---|---|---|
RADIUS-BlueCoat | Packeteer-AVPair |
String | access=look |
Dictionary-Typ | RADIUS-Attribut | Attributtyp | Attributwert |
---|---|---|---|
RADIUS-BlueCoat | Packeteer-AVPair |
String | access=touch |
RADIUS (Autorisierungsprofil)
Attribut(e): Tunnel-Private-Group-ID
Wert(e): U:<VLAN1>; T:<VLAN2>
Syntax: Legen Sie <VLAN1> auf den Wert des Daten-VLAN fest. <VLAN2> auf den Wert des Sprach-VLANs festlegen. In diesem Beispiel ist das Daten-VLAN VLAN 10 und das Sprach-VLAN VLAN 21.
Beispiel: Hinzufügen eines Attributs zu einem AutorisierungsprofilDictionary-Typ | RADIUS-Attribut | Attributtyp | Attributwert |
---|---|---|---|
RADIUS-IETF | Tunnel-Private-Group-ID |
Markierte Zeichenfolge | U:10;T:21 |
RADIUS (Autorisierungsprofil)
Attribut(e): cisco-av-pair
Wert(e): fndn:groups=<Gruppenname>
Syntax: <Gruppenname> ist der Name der Gruppe mit den Berechtigungen, die Sie dem Benutzer erteilen möchten. Diese Gruppe muss in Cisco Unity Express (CUE) konfiguriert werden.
Beispiel: Hinzufügen eines Attributs zu einem AutorisierungsprofilDictionary-Typ | RADIUS-Attribut | Attributtyp | Attributwert |
---|---|---|---|
RADIUS - Cisco | cisco-av-pair |
String | fndn:groups=Administrators |
RADIUS (Autorisierungsprofil)
Attribut(e): Infoblox-Gruppe-Info
Wert(e): <Gruppenname>
Syntax: <Gruppenname> ist der Name der Gruppe mit den Berechtigungen, die Sie dem Benutzer erteilen möchten. Diese Gruppe muss auf dem Infoblox-Gerät konfiguriert werden. In diesem Konfigurationsbeispiel lautet der Gruppenname MyGroup.
Die Infoblox VSA ist in den ACS-Wörterbüchern standardmäßig nicht vorhanden. Um das Infoblox-Attribut in einem Autorisierungsprofil zu verwenden, müssen Sie ein Infoblox-Wörterbuch erstellen und diesem Wörterbuch die Infoblox-Attribute hinzufügen.
Dictionary erstellen:
Navigieren Sie zu System Administration > Configuration > Dictionaries > Protocols > RADIUS > RADIUS VSA (Systemverwaltung > Konfiguration > Wörterbücher > Protokolle > RADIUS VSA).
Klicken Sie auf Erstellen.
Klicken Sie auf den kleinen Pfeil neben Erweiterte Herstelleroptionen verwenden.
Geben Sie die Details des Wörterbuchs ein:
Name: Infoblox
Anbieter-ID: 7779
Herstellerlänge - Feldgröße: 1
Anbietertyp - Feldgröße: 1
Klicken Sie auf Senden.
Erstellen Sie ein Attribut im neuen Wörterbuch:
Navigieren Sie zu System Administration > Configuration > Dictionaries > Protocols > RADIUS > RADIUS VSA > Infoblox.
Klicken Sie auf Erstellen.
Geben Sie die Details des Attributs ein:
Attribut: Infoblox-Group-Info
Kreditorenattribut-ID: 009
Richtung: AUSGEHEND
Mehrere zulässig: Falsch
Attribut in Protokoll einschließen: Aktiviert
Attributtyp: Zeichenfolge
Klicken Sie auf Senden.
Dictionary-Typ | RADIUS-Attribut | Attributtyp | Attributwert |
---|---|---|---|
RADIUS-Infoblox | Infoblox-Group-Info |
String | MyGroup |
RADIUS (Autorisierungsprofil)
Attribut(e): IPS-Rolle
Wert(e): <Rollenname>
Syntax: Der Wert <Rollenname> kann eine der vier IPS-Benutzerrollen (Intrusion Prevention System) sein: Viewer, Operator, Administrator oder Dienst. Weitere Informationen zu den Berechtigungen für die einzelnen Benutzerrollentypen finden Sie im Konfigurationsleitfaden für Ihre IPS-Version.
Cisco Intrusion Prevention System Device Manager - Konfigurationsleitfaden für IPS 7.0
Cisco Intrusion Prevention System Device Manager - Konfigurationsleitfaden für IPS 7.1
Dictionary-Typ | RADIUS-Attribut | Attributtyp | Attributwert |
---|---|---|---|
RADIUS - Cisco | cisco-av-pair |
String | ips-role:administrator |
TACACS+ (Shell-Profil)
Attribut(e): allow-commands ; allow-configuration ; local-user-name ; deny-commands ; deny-configuration; user-rights
Wert(e): <allow-commands-regex> ; <allow-configuration-regex> ; <local-username> ; <deny-commands-regex> ; <deny-configuration-regex>
Syntax: Legen Sie den Wert von <local-username> (d. h. den Wert des Attributs "local-user-name") auf einen Benutzernamen fest, der lokal auf dem Juniper-Gerät vorhanden ist. Beispielsweise können Sie einen Benutzer (z. B. USER1) so konfigurieren, dass ihm die gleiche Benutzervorlage wie einem Benutzer (z. B. JUSER) zugewiesen wird, der lokal auf dem Juniper-Gerät vorhanden ist, wenn Sie den Wert des Attributs "local-user-name" auf JUSER festlegen. Die Werte der Attribute allow-commands, allow-configuration, deny-commands und deny-configuration können im regulären Format eingegeben werden. Die Werte, auf die diese Attribute festgelegt sind, werden zusätzlich zu den Befehlen im Betriebs-/Konfigurationsmodus festgelegt, die durch die Berechtigungsbits der Anmeldungsklasse des Benutzers autorisiert wurden.
Beispiel - Attribute zu einem Schalenprofil hinzufügen 1Attribut | Anforderung | Attributwert |
---|---|---|
allow-commands |
Optional | "(request system) | (show rip neighbor)" |
allow-configuration |
Optional | |
local-user-name |
Optional | sales |
deny-commands |
Optional | "<^clear" |
deny-configuration |
Optional |
Attribut | Anforderung | Attributwert |
---|---|---|
allow-commands |
Optional | "monitor | help | show | ping | traceroute" |
allow-configuration |
Optional | |
local-user-name |
Optional | engineering |
deny-commands |
Optional | "configure" |
deny-configuration |
Optional |
RADIUS (Autorisierungsprofil)
Attribut(e): cisco-av-pair
Wert(e): shell:roles="<role1> <role2>"
Syntax: Legen Sie die Werte von <role1> und <role2> auf die Namen der Rollen fest, die lokal auf dem Switch definiert sind. Wenn Sie mehrere Rollen hinzufügen, trennen Sie diese durch ein Leerzeichen. Wenn mehrere Rollen vom AAA-Server an den Nexus-Switch zurückgegeben werden, hat der Benutzer Zugriff auf Befehle, die durch die Vereinigung aller drei Rollen definiert werden.
Die integrierten Rollen werden in Configuring User Accounts and RBAC (Konfigurieren von Benutzerkonten und RBAC) definiert.
Beispiel: Hinzufügen eines Attributs zu einem AutorisierungsprofilDictionary-Typ | RADIUS-Attribut | Attributtyp | Attributwert |
---|---|---|---|
RADIUS - Cisco | cisco-av-pair |
String | shell:roles="network-admin vdc-admin vdc-operator" |
TACACS+ (Shell-Profil)
Attribut(e): Dienst ; lokaler Benutzername
Wert(e): rbt-exec ; <Benutzername>
Syntax: Um dem Benutzer schreibgeschützten Zugriff zu gewähren, muss der Wert <username> auf "Monitor" gesetzt werden. Um dem Benutzer Lese- und Schreibzugriff zu gewähren, muss der Wert <benutzername> auf admin festgelegt werden. Wenn Sie neben "admin and monitor" ein weiteres Konto definiert haben, konfigurieren Sie, dass dieser Name zurückgegeben wird.
Beispiel - Attribute zu einem Shell-Profil hinzufügen (für schreibgeschützten Zugriff)Attribut | Anforderung | Attributwert |
---|---|---|
service |
Mandatory (Obligatorisch) | rbt-exec |
local-user-name |
Mandatory (Obligatorisch) | monitor |
Attribut | Anforderung | Attributwert |
---|---|---|
service |
Mandatory (Obligatorisch) | rbt-exec |
local-user-name |
Mandatory (Obligatorisch) | admin |
RADIUS (Autorisierungsprofil)
Attribut(e): Servicetyp
Wert(e): Administrativ (6) / NAS-Prompt (7)
Syntax: Um dem Benutzer Lese-/Schreibzugriff auf den Wireless LAN Controller (WLC) zu gewähren, muss der Wert "Administrative" lauten. Für den schreibgeschützten Zugriff muss der Wert "NAS-Prompt" lauten.
Weitere Informationen finden Sie unter Konfigurationsbeispiel für die RADIUS-Serverauthentifizierung von Verwaltungsbenutzern auf dem Wireless LAN-Controller (WLC).
Beispiel: Hinzufügen des Attributs zu einem Autorisierungsprofil (für schreibgeschützten Zugriff)Dictionary-Typ | RADIUS-Attribut | Attributtyp | Attributwert |
---|---|---|---|
RADIUS-IETF | Service-Type |
Aufzählung | NAS-Prompt |
Dictionary-Typ | RADIUS-Attribut | Attributtyp | Attributwert |
---|---|---|---|
RADIUS-IETF | Service-Type |
Aufzählung | Administrative |
Data Center Network Manager (DCNM)
DCNM muss neu gestartet werden, nachdem die Authentifizierungsmethode geändert wurde. Andernfalls kann statt network-admin eine Netzwerkbetreiberberechtigung zugewiesen werden.
DCNM-Rolle | RADIUS Cisco-AV-Pair | TACACS Cisco-AV-Pair |
---|---|---|
Benutzer | shell:roles = "network-operator" |
cisco-av-pair=shell:roles="network-operator" |
Administrator | shell:roles = "network-admin" |
cisco-av-pair=shell:roles="network-admin" |
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
22-Jan-2013 |
Erstveröffentlichung |