Configurazione del router Cisco per l'autenticazione di composizione con TACACS+

Opzioni per il download

  • PDF     (142.5 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (90.6 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (78.7 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:14 maggio 2009
ID documento:13866

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento viene descritto come configurare un router Cisco per l'autenticazione di composizione con TACACS+ in esecuzione su UNIX. TACACS+ non offre tante funzionalità quante ne offre Cisco Secure ACS per Windows o Cisco Secure ACS per UNIX.

Il software TACACS+ precedentemente fornito da Cisco Systems è stato sospeso e non è più supportato da Cisco Systems.

Oggi, è possibile trovare molte versioni freeware TACACS+ disponibili quando si cerca "TACACS+ freeware" sul proprio motore di ricerca Internet preferito. Cisco non consiglia specificamente un'implementazione specifica del freeware TACACS+.

Cisco Secure Access Control Server (ACS) è disponibile per l'acquisto tramite i normali canali di vendita e distribuzione Cisco in tutto il mondo. Cisco Secure ACS for Windows include tutti i componenti necessari per un'installazione indipendente su una workstation Microsoft Windows. Cisco Secure ACS Solution Engine è fornito con una licenza software Cisco Secure ACS preinstallata. Per i numeri dei prodotti, consultare il bollettino sui prodotti Cisco Secure ACS 4.0. Per inoltrare un ordine, visitare la home page Ordini Cisco (solo utenti registrati).

Nota: Per ottenere la versione di prova di 90 giorni per Cisco Secure ACS per Windows (solo utenti registrati), è necessario un account CCO con un contratto di assistenza associato.

La configurazione del router descritta in questo documento è stata sviluppata su un router con software Cisco IOS® versione 11.3.3. Software Cisco IOS versione 12.0.5.T e successive. Usare group tacacs+ anziché tacacs+. Le istruzioni come aaa authentication login default tacacs+ enable vengono visualizzate come aaa authentication login default group tacacs+ enable.

È possibile scaricare TACACS+ freeware and User's Guide (Guida dell'utente e freeware TACACS+) da ftp anonimo all'indirizzo ftp-eng.cisco.com nella directory /pub/tacacs.

Prerequisiti

Requisiti

Nessun requisito specifico previsto per questo documento.

Componenti usati

Il documento può essere consultato per tutte le versioni software o hardware.

Convenzioni

Per ulteriori informazioni sulle convenzioni usate, consultare il documento Cisco sulle convenzioni nei suggerimenti tecnici.

Configurazioni

In questa sezione vengono presentate le informazioni necessarie per configurare le funzionalità descritte più avanti nel documento.

Nota: per ulteriori informazioni sui comandi menzionati in questo documento, usare lo strumento di ricerca dei comandi (solo utenti registrati).

Nel documento vengono usate queste configurazioni:

Configurazione router 
!
aaa new-model
aaa authentication login default tacacs+ enable
aaa authentication ppp default if-needed tacacs+
aaa authorization exec default tacacs+ if-authenticated
aaa authorization commands 1 default tacacs+ if-authenticated 
aaa authorization commands 15 default tacacs+ if-authenticated 
aaa authorization network default tacacs+ 
enable password ww
!
chat-script default "" at&fls0=1&h1&r2&c1&d2&b1e0q2 OK
!
interface Ethernet0
 ip address 10.6.1.200 255.255.255.0
! 

!--- Challenge Handshake Authentication Protocol !--- (CHAP/PPP) authentication user.

  interface Async1
  ip unnumbered Ethernet0
  encapsulation ppp
  async mode dedicated
  peer default ip address pool async
  no cdp enable
  ppp authentication chap
 !
 
!--- Password Authentication Protocol (PAP/PPP) authentication user.

  interface Async2
  ip unnumbered Ethernet0
  encapsulation ppp
  async mode dedicated
  peer default ip address pool async
  no cdp enable
  ppp authentication pap
 !
 
!--- Authentication user with autocommand PPP.

  interface Async3
  ip unnumbered Ethernet0
  encapsulation ppp
  async mode interactive
  peer default ip address pool async
  no cdp enable
 !
 ip local pool async 10.6.100.101 10.6.100.103
 tacacs-server host 171.68.118.101
 tacacs-server timeout 10
 tacacs-server key cisco
 !
 line 1
  session-timeout 20
  exec-timeout 120 0
  autoselect during-login
  script startup default
  script reset default
  modem Dialin
  transport input all
  stopbits 1
  rxspeed 115200
  txspeed 115200
  flowcontrol hardware
 !
 line 2
  session-timeout 20
  exec-timeout 120 0
  autoselect during-login
  script startup default
  script reset default
  modem Dialin
  transport input all
  stopbits 1
  rxspeed 115200
  txspeed 115200
  flowcontrol hardware
 !
 line 3
  session-timeout 20
  exec-timeout 120 0
  autoselect during-login
  autoselect ppp
  script startup default
  script reset default
  modem Dialin
  autocommand ppp
  transport input all
  stopbits 1
  rxspeed 115200
  txspeed 115200
  flowcontrol hardware
 !
 end

File di configurazione TACACS+ su Freeware Server 

!--- Handshake with router !--- AS needs 'tacacs-server key cisco'.

key = "cisco"


!--- User who can Telnet in to configure.

user = admin {
        default service = permit
        login = cleartext "admin"
        }

 
!--- CHAP/PPP authentication line 1 - !--- password must be cleartext per CHAP specifications.

  user = chapuser {
         chap = cleartext "chapuser"
         service = ppp protocol = ip {
                 default attribute = permit
                 }
         }
 
 
!--- PPP/PAP authentication line 2.

  user = papuser {
         login = file /etc/passwd
         service = ppp protocol = ip {
                 default attribute = permit
                 }
         }

 
!--- Authentication user line 3.

  user = authauto {
         login = file /etc/passwd
         service = ppp protocol = ip {
                 default attribute = permit
                 }
         }

Installazione di Microsoft Windows

Installazione di Microsoft Windows per gli utenti 1 e 2

In questa sezione vengono presentate le informazioni necessarie per configurare le funzionalità descritte più avanti nel documento.

Istruzioni dettagliate

Attenersi alla seguente procedura.

Nota: la configurazione del PC può variare leggermente in base alla versione del sistema operativo in uso.

  1. Selezionare Start > Programmi > Accessori > Connessione remota per aprire la finestra Connessione remota.

  2. Scegliere Crea nuova connessione dal menu Connessioni e immettere un nome per la connessione.

  3. Immettere le informazioni specifiche del modem e fare clic su Configura.

  4. Nella pagina Proprietà generali selezionare la velocità massima del modem, ma non selezionare la casella di controllo Connetti solo a questa velocità...

  5. Nella pagina Proprietà configurazione/connessione utilizzare 8 bit di dati, nessuna parità e 1 bit di stop. Le preferenze di chiamata da utilizzare sono Attendi il segnale prima di comporre e Annulla la chiamata se non è connessa dopo 200 secondi.

  6. Nella pagina Connessione fare clic su Avanzate. In Impostazioni di connessione avanzate, selezionare solo Controllo di flusso hardware e Tipo di modulazione Standard.

    Nella pagina delle proprietà Configura/Opzioni è consigliabile selezionare solo la casella di controllo Controllo stato.

  7. Fare clic su OK, quindi su Avanti.

  8. Immettere il numero di telefono della destinazione, fare di nuovo clic su Avanti e quindi su Fine.

  9. Una volta visualizzata l'icona della nuova connessione, fare clic con il pulsante destro del mouse su di essa e scegliere Proprietà > Tipo server.

  10. Scegliere PPP:WINDOWS 95, WINDOWS NT 3.5, Internet e non selezionare le opzioni Avanzate.

  11. Selezionare TCP/IP in Protocolli di rete consentiti.

  12. In Impostazioni TCP/IP..., scegliere Indirizzo IP assegnato dal server, Nomi assegnati dal server e Usa gateway predefinito nella rete remota e quindi fare clic su OK.

  13. Quando l'utente fa doppio clic sull'icona per visualizzare la finestra Connetti a per comporre il numero, deve compilare i campi Nome utente e Password e quindi fare clic su Connetti.

Installazione di Microsoft Windows per l'utente 3

La configurazione per l'utente 3 (utente di autenticazione con autocommand PPP) è la stessa degli utenti 1 e 2, con le eccezioni seguenti:

  • Nella pagina delle proprietà Configura/Opzioni (passaggio 6), selezionare Attiva la finestra del terminale dopo la connessione.

  • Quando l'utente fa doppio clic sull'icona per aprire la finestra Connetti a per comporre il numero (passaggio 13), non compila i campi Nome utente e Password. L'utente fa clic su Connetti. Una volta stabilita la connessione al router, l'utente digita il nome utente e la password nella finestra nera che viene visualizzata. Dopo l'autenticazione, l'utente preme Continue (F7).

Verifica

Attualmente non è disponibile una procedura di verifica per questa configurazione.

Risoluzione dei problemi

Router

consultare le informazioni importanti sui comandi di debug prima di usare i comandi di debug.

  • terminal monitor: visualizza l'output del comando debug e i messaggi di errore del terminale e della sessione correnti.

  • debug ppp negotiation: visualizza i pacchetti PPP inviati durante l'avvio di PPP, in cui le opzioni PPP vengono negoziate.

  • debug ppp packet: visualizza i pacchetti PPP inviati e ricevuti. (Questo comando visualizza i dump di pacchetti di basso livello.)

  • debug ppp chap: visualizza le informazioni che indicano se un client supera l'autenticazione (per le versioni software Cisco IOS precedenti alla 11.2).

  • debug aaa authentication: visualizza le informazioni sull'autenticazione, l'autorizzazione e l'accounting (AAA)/TACACS+.

  • debug aaa authorization: visualizza le informazioni sull'autorizzazione AAA/TACACS+.

Server

Nota:  In questo caso, si presume che il codice server TACACS+ Freeware di Cisco sia.

tac_plus_executable -C config.file -d 16
  tail -f /var/tmp/tac_plus.log

Informazioni correlate

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
14-May-2009
Versione iniziale

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci