El software Cisco Secure ACS para UNIX (CSU) ayuda a garantizar la seguridad de la red y realiza un seguimiento de la actividad de las personas que se conectan correctamente a la red. CSU actúa como un servidor TACACS+ o RADIUS y utiliza autenticación, autorización y contabilidad (AAA) para proporcionar seguridad de red.
La CSU admite estas opciones de base de datos para almacenar perfiles de grupo y de usuario, así como información de cuentas:
SQLAnywhere (incluido con CSU).
Esta versión de Sybase SQLAnywhere no es compatible con cliente/servidor. Sin embargo, está optimizado para realizar servicios AAA esenciales con CSU.
Precaución: la opción de base de datos SQLAnywhere no admite bases de datos de perfiles que superen los 5000 usuarios, replicación de información de perfiles entre sitios de base de datos o la función Cisco Secure Distribute Session Manager (DSM).
Oracle o Sybase Relational Database Management System (RDBMS).
Para admitir las bases de datos de perfiles de Cisco Secure de 5000 usuarios o más, la replicación de la base de datos o la función Cisco Secure DSM, debe preinstalar un RDBMS de Oracle (versión 7.3.2, 7.3.3 u 8.0.3) o de Sybase SQL Server (versión 11) para guardar la información de perfil de Cisco Secure. La replicación de la base de datos requiere una configuración adicional de RDBMS una vez finalizada la instalación de Cisco Secure.
La actualización de una base de datos existente desde una versión anterior (2.x) de CSU.
Si actualiza desde una versión anterior 2.x de Cisco Secure, el programa de instalación de Cisco Secure actualiza automáticamente la base de datos de perfiles para que sea compatible con CSU 2.3 para UNIX.
Importando una base de datos Profile existente.
Puede convertir las bases de datos de perfiles o archivos planos de RADIUS o TACACS+ freeware existentes para usarlos con esta versión de la CSU.
No hay requisitos específicos para este documento.
La información de este documento se basa en Cisco Secure ACS 2.3 para UNIX.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.
For more information on document conventions, refer to the Cisco Technical Tips Conventions.
Utilice estos procedimientos para configurar la CSU.
Utilice este procedimiento para iniciar sesión en Cisco Secure Administrator.
Desde cualquier estación de trabajo con una conexión web al ACS, inicie su navegador web.
Introduzca una de estas direcciones URL para el sitio Web de Cisco Secure Administrator:
Si la función de capa de socket de seguridad del navegador no está activada, introduzca:
http://your_server/cs
donde su_servidor es el nombre de host (o el nombre de dominio completo (FQDN), si el nombre de host y FQDN son diferentes) de la estación SPARC en la que instaló CSU. También puede sustituir la dirección IP de la estación SPARC por your_server.
Si la función de capa de socket de seguridad del navegador está activada, especifique "https" en lugar de "http" como protocolo de transmisión de hipertexto. Escriba:
https://your_server/cs
donde su_servidor es el nombre de host (o FQDN, si el nombre de host y FQDN son diferentes) de la estación SPARC en la que instaló CSU. También puede sustituir la dirección IP de la estación SPARC por your_server.
Nota: Las URL y los nombres de servidor distinguen entre mayúsculas y minúsculas. Se deben escribir con letras mayúsculas y minúsculas exactamente como se muestra.
Se muestra la página Inicio de sesión en CSU.
Ingrese su nombre de usuario y contraseña. Haga clic en Submit (Enviar).
Nota: El nombre de usuario predeterminado inicial es "superuser". La contraseña predeterminada inicial es "changeme". Después de su inicio de sesión inicial, debe cambiar el nombre de usuario y la contraseña inmediatamente para obtener la máxima seguridad.
Después de iniciar sesión, se muestra la página principal de la CSU con la barra de menús principal en la parte superior. La página del menú principal de la CSU sólo se muestra si el usuario proporciona un nombre y una contraseña con privilegios de administrador. Si el usuario proporciona un nombre y una contraseña que sólo tienen privilegios de nivel de usuario, se muestra una pantalla diferente.
Inicie el programa Cisco Secure Administrator Advanced Configuration basado en Java desde cualquiera de las páginas web de CSU Administrator. En la barra de menús de la interfaz web de la CSU, haga clic en Advanced y, a continuación, en Advanced de nuevo.
Se muestra el programa de configuración avanzada de Cisco Secure Administrator. Es posible que la carga tarde unos minutos.
Utilice el programa de configuración avanzada de Cisco Secure Administrator para crear y configurar perfiles de grupo. Cisco recomienda crear perfiles de grupo para configurar requisitos detallados de AAA para un gran número de usuarios similares. Una vez definido el perfil de grupo, utilice la página web Agregar un usuario de CSU para agregar rápidamente perfiles de usuario al perfil de grupo. Los requisitos avanzados configurados para el grupo se aplican a cada usuario miembro.
Utilice este procedimiento para crear un perfil de grupo.
En el programa de configuración avanzada de Cisco Secure Administrator, seleccione la ficha Members. En el panel Navegador, desactive la casilla de verificación Examinar. Se muestra el icono Create New Profile (Crear nuevo perfil).
En el panel Navegador, realice una de estas acciones:
Para crear un perfil de grupo sin padre, localice y haga clic en el icono de carpeta [Raíz].
Para crear el perfil de grupo como secundario de otro perfil de grupo, busque el grupo que desee como principal y haga clic en él.
Si el grupo que desea que sea el grupo principal es un grupo secundario, haga clic en la carpeta del grupo principal para mostrarlo.
Haga clic en Create New Profile. Aparece el cuadro de diálogo Nuevo perfil.
Active la casilla de verificación Grupo, escriba el nombre del grupo que desea crear y haga clic en Aceptar. El nuevo grupo se muestra en el árbol.
Después de crear el perfil de grupo, asigne atributos TACACS+ o RADIUS para configurar propiedades AAA específicas.
Utilice el modo de configuración avanzada de Cisco Secure Administrator para crear y configurar un perfil de usuario. Puede hacer esto para personalizar los atributos relacionados con la autorización y la contabilidad del perfil de usuario con más detalle de lo que es posible con la página Agregar un usuario.
Utilice este procedimiento para crear un perfil de usuario:
En el programa de configuración avanzada de Cisco Secure Administrator, seleccione la ficha Members. En el panel Navegador, localice y desactive la opción Examinar. Se muestra el icono Create New Profile (Crear nuevo perfil).
En el panel Navegador, realice una de estas acciones:
Busque y haga clic en el grupo al que pertenece el usuario.
Si no desea que el usuario pertenezca a un grupo, haga clic en el icono de carpeta [Raíz].
Haga clic en Create Profile. Aparece el cuadro de diálogo Nuevo perfil.
Asegúrese de que la casilla de verificación Grupo está desactivada.
Introduzca el nombre del usuario que desea crear y haga clic en Aceptar. El nuevo usuario se muestra en el árbol.
Después de crear el perfil de usuario, asigne atributos TACACS+ o RADIUS específicos para configurar propiedades AAA específicas:
Para asignar perfiles TACACS+ al perfil de usuario, consulte Asignar atributos TACACS+ a un grupo o perfil de usuario.
Para asignar perfiles RADIUS al perfil de usuario, consulte Asignar atributos RADIUS a un grupo o perfil de usuario.
Utilice la función de perfil de grupo CSU y los atributos TACACS+ y RADIUS para implementar la autenticación y autorización de usuarios de red a través de CSU.
La función de perfil de grupo de CSU permite definir un conjunto común de requisitos AAA para un gran número de usuarios.
Puede asignar un conjunto de valores de atributo TACACS+ o RADIUS a un perfil de grupo. Estos valores de atributo asignados al grupo se aplican a cualquier usuario que sea miembro o que se agregue como miembro de ese grupo.
Para configurar CSU para administrar grandes cantidades y diversos tipos de usuarios con requisitos AAA complejos, Cisco recomienda que utilice las funciones del programa Cisco Secure Administrator Advanced Configuration para crear y configurar perfiles de grupo.
El perfil de grupo debe contener todos los atributos que no son específicos del usuario. Esto normalmente significa todos los atributos excepto la contraseña. A continuación, puede utilizar la página Add a User (Agregar un usuario) de Cisco Secure Administrator para crear perfiles de usuario simples con atributos de contraseña y asignar estos perfiles de usuario al perfil de grupo adecuado. Las funciones y los valores de atributos definidos para un grupo determinado se aplican a sus usuarios miembros.
Puede crear una jerarquía de grupos. Dentro de un perfil de grupo, puede crear perfiles de grupo secundarios. Los valores de atributo asignados al perfil de grupo principal son valores por defecto para los perfiles de grupo secundarios.
Un administrador del sistema de Cisco Secure puede asignar el estado de administrador de grupo a usuarios individuales de Cisco Secure. El estado de administrador de grupo permite a los usuarios individuales administrar cualquier perfil de grupo secundario y perfiles de usuario subordinados a su grupo. Sin embargo, no les permite administrar ningún grupo o usuario que se encuentre fuera de la jerarquía del grupo. Por lo tanto, el administrador del sistema parcela la tarea de administrar una red grande a otras personas sin otorgarles a cada una de ellas la misma autoridad.
Cisco recomienda que asigne a cada usuario valores de atributo de autenticación básicos que sean exclusivos para el usuario, como atributos que definan el nombre de usuario, la contraseña, el tipo de contraseña y el privilegio web. Asigne valores de atributos de autenticación básicos a los usuarios mediante las páginas Editar un usuario o Agregar un usuario de la CSU.
Cisco recomienda que defina los atributos relacionados con la calificación, la autorización y la contabilidad en el nivel de grupo.
En este ejemplo, al perfil de grupo denominado "Usuarios de marcado de entrada" se le asignan los pares atributo-valor Frame-Protocol=PPP y Service-Type=Framed.
A un subconjunto de los atributos TACACS+ y RADIUS en CSU se le puede asignar el estado absoluto en el nivel de perfil de grupo. Un valor de atributo activado para el estado absoluto en el nivel de perfil de grupo sustituye cualquier valor de atributo contendiente en un nivel de perfil de grupo secundario o de perfil de usuario miembro.
En redes de varios niveles con varios niveles de administradores de grupo, los atributos absolutos permiten al administrador del sistema establecer los valores de atributos de grupo seleccionados que los administradores de grupo de niveles inferiores no pueden omitir.
Los atributos a los que se puede asignar el estado absoluto muestran una casilla de verificación Absoluto en el cuadro Atributos del programa de configuración avanzada de Cisco Secure Administrator. Active la casilla de verificación para habilitar el estado absoluto.
La resolución de conflictos entre los valores de atributo asignados a perfiles de grupo principal, perfiles de grupo secundarios y perfiles de usuario miembro depende de si los valores de atributo son absolutos y de si son atributos TACACS+ o RADIUS:
Los valores de atributo TACACS+ o RADIUS asignados a un perfil de grupo con estado absoluto invalidan cualquier valor de atributo contendiente definido en un grupo secundario o en el nivel de perfil de usuario.
Si el estado absoluto de un valor de atributo TACACS+ no está habilitado en el nivel de perfil de grupo, cualquier valor de atributo contendiente establecido en un nivel de grupo secundario o de perfil de usuario lo invalida.
Si el estado absoluto de un valor de atributo RADIUS no está activado en el nivel de grupo padre, cualquier valor de atributo contendiente definido en un grupo hijo dará como resultado un resultado impredecible. Cuando defina valores de atributo RADIUS para un grupo y sus usuarios miembros, evite asignar el mismo atributo a los perfiles de usuario y de grupo.
Para TACACS+, reemplace la disponibilidad de los valores de servicio heredados anteponiendo la palabra clave ban o permit a la especificación de servicio. La palabra clave permit permite servicios especificados. La palabra clave ban no permite los servicios especificados. Con el uso conjunto de estas palabras clave, puede construir configuraciones de "todo excepto". Por ejemplo, esta configuración permite el acceso desde todos los servicios excepto X.25:
default service = permit prohibit service = x25
Para asignar servicios y atributos específicos de TACACS+ a un grupo o perfil de usuario, siga estos pasos:
En el programa de configuración avanzada de Cisco Secure Administrator, seleccione la ficha Members. En el panel del navegador, haga clic en el icono del grupo o perfil de usuario al que se asignan atributos TACACS+.
Si es necesario, en el panel Perfil, haga clic en el icono Perfil para expandirlo.
En la parte inferior derecha de la pantalla se muestra una lista o cuadro de diálogo que contiene atributos aplicables al perfil o servicio seleccionado. La información de esta ventana cambia en función del perfil o servicio que seleccione en el panel Perfil.
Haga clic en el servicio o protocolo que desea agregar y haga clic en Aplicar. El servicio se agrega al perfil.
Introduzca o seleccione el texto necesario en la ventana Atributo.
Las entradas válidas se explican en la sección Estrategias para aplicar atributos de la Guía de referencia de CSU 2.3 para UNIX.
Nota: Si asigna un valor de atributo en el nivel de perfil de grupo y el atributo que especifique muestra una casilla de control Absoluto, seleccione dicha casilla para asignar el estado absoluto del valor. Ningún valor contendiente asignado en los niveles de perfil de grupo o perfil de usuario subordinado puede anular un estado absoluto asignado a un valor.
Repita los pasos del 1 al 2 para cada servicio o protocolo adicional que necesite agregar.
Una vez realizados todos los cambios, haga clic en Submit.
Para asignar atributos RADIUS específicos a un grupo o perfil de usuario:
Asigne un diccionario RADIUS al perfil de grupo:
En la página Miembros del programa de configuración avanzada de Cisco Secure Administrator, haga clic en el icono Grupo o Usuario y, a continuación, haga clic en el icono Perfil en el panel Perfiles. En el panel Atributos, se muestra el menú Opciones.
En el menú Opciones, haga clic en el nombre del diccionario RADIUS que desea que utilice el grupo o usuario. (Por ejemplo, RADIUS - Cisco.) Haga clic en Apply (Aplicar).
Agregue los elementos de comprobación y los atributos de respuesta necesarios al perfil RADIUS:
Nota: Los elementos de verificación son atributos necesarios para la autenticación, como el ID de usuario y la contraseña. Los atributos de respuesta son atributos que se envían al servidor de acceso a la red (NAS) después de que el perfil haya pasado el procedimiento de autenticación, como Framed-Protocol. Para obtener listas y explicaciones de Verificar elementos y Atributos de respuesta, refiérase a RADIUS Attribute-Value Pairs and Dictionary Management en la Guía de Referencia de CSU 2.3 para UNIX.
En la ventana Perfil, haga clic en el icono de carpeta RADIUS - dictionaryname. (Probablemente necesite hacer clic en el símbolo + del perfil para expandir la carpeta RADIUS.) Las opciones Comprobar Elementos y Atributos de Respuesta se muestran en la ventana Grupo de Atributos.
Para utilizar uno o varios de estos atributos, haga clic en los atributos que desea utilizar y, a continuación, haga clic en Aplicar. Puede agregar más de un atributo a la vez.
Haga clic en el símbolo + del nombre de diccionario RADIUS - para expandir la carpeta.
Nota: Si selecciona la opción RADIUS-Cisco11.3, asegúrese de que Cisco IOS® Software Release 11.3.3(T) o posterior esté instalado en sus NAS de conexión y agregue nuevas líneas de comandos a sus configuraciones de NAS. Consulte Habilitación Completa del Diccionario RADIUS-Cisco11.3 en la Guía de Referencia de CSU 2.3 para UNIX.
Especifique valores para los elementos de comprobación y atributos de respuesta agregados:
Precaución: Para el protocolo RADIUS, la herencia es aditiva en lugar de jerárquica. (El protocolo TACACS+ utiliza la herencia jerárquica). Por ejemplo, si asigna los mismos atributos de respuesta a los perfiles de usuario y de grupo, la autorización falla porque el NAS recibe el doble de atributos. No tiene sentido para los atributos de respuesta. No asigne el mismo elemento de comprobación o atributo de respuesta a los perfiles de grupo y de usuario.
Haga clic en Comprobar elementos o Atributos de respuesta, o haga clic en ambos. En la ventana inferior derecha aparece una lista de los valores de elementos de comprobación y atributos de respuesta aplicables. Haga clic en el símbolo + para expandir la carpeta.
Haga clic en los valores que desee asignar y, a continuación, haga clic en Aplicar. Para obtener más información sobre los valores, refiérase a RADIUS Attribute-Value Pairs and Dictionary Management en la Guía de Referencia de CSU 2.3 para UNIX.
Nota: Si asigna un valor de atributo en el nivel de perfil de grupo y el atributo que especifique muestra una casilla de control Absoluto, seleccione dicha casilla para asignar el estado absoluto del valor. Los valores contendientes asignados en los niveles de perfil de grupo subordinado o de perfil de usuario no pueden reemplazar un valor con el estado absoluto asignado.
Cuando haya terminado de realizar cambios, haga clic en Enviar.
Para utilizar uno o varios de estos atributos, haga clic en los atributos que desea utilizar y, a continuación, haga clic en Aplicar. Puede aplicar más de un atributo a la vez.
El administrador del superusuario utiliza el atributo de privilegio web para asignar un nivel de privilegio de control de acceso a los usuarios de Cisco Secure.
En el programa Configuración avanzada de Cisco Secure Administrator, haga clic en el usuario cuyo privilegio de control de acceso desea asignar y, a continuación, haga clic en el icono Perfil en el panel Perfiles.
En el menú Opciones, haga clic en Privilegio Web y seleccione uno de estos valores.
0: deniega al usuario cualquier privilegio de control de acceso que incluya la capacidad de cambiar la contraseña de Cisco Secure del usuario.
1 - Otorga al usuario acceso a la página web de CSUser. Esto permite a los usuarios de Cisco Secure cambiar sus contraseñas de Cisco Secure. Para obtener detalles sobre cómo cambiar contraseñas, consulte Funciones de nivel de usuario (cambio de una contraseña) en Administración simple de usuarios y ACS.
12 - Otorga privilegios de administrador al grupo de usuarios.
15 - Otorga al usuario privilegios de administrador del sistema.
Nota: Si selecciona cualquier opción de privilegio Web distinta de 0, también debe especificar una contraseña. Para satisfacer el requisito de contraseña de privilegio web, un único espacio en blanco es mínimamente aceptable.
Normalmente, la CSU se inicia automáticamente cuando se inicia o se reinicia la estación SPARC en la que está instalada. Sin embargo, puede iniciar la CSU manualmente o apagarla sin apagar toda la SPARCStation.
Inicie sesión como [Root] en la estación SPARCStation en la que instaló la CSU.
Para iniciar CSU manualmente, escriba:
# /etc/rc2.d/S80CiscoSecure
Para detener la CSU manualmente, escriba:
# /etc/rc0.d/K80CiscoSecure
Actualmente, no hay un procedimiento de verificación disponible para esta configuración.
Actualmente, no hay información específica de troubleshooting disponible para esta configuración.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
10-Dec-2001 |
Versión inicial |