ACS 5.x: esempio di configurazione dell'autenticazione e dell'autorizzazione dei comandi TACACS+ in base all'appartenenza al gruppo AD

Opzioni per il download

PDF (724.1 KB)
Visualizza con Adobe Reader su diversi dispositivi
ePub (736.6 KB)
Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (2.2 MB)
Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi

Aggiornato:29 giugno 2012

ID documento:113590

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Sommario

Introduzione

Prerequisiti

Requisiti

Componenti usati

Convenzioni

Configurazione

Configurazione di ACS 5.x per autenticazione e autorizzazione

Configurare il dispositivo Cisco IOS per l'autenticazione e l'autorizzazione

Verifica

Informazioni correlate

Introduzione

Questo documento offre un esempio di configurazione dell'autenticazione TACACS+ e dell'autorizzazione dei comandi in base all'appartenenza al gruppo AD di un utente con Cisco Secure Access Control System (ACS) 5.x e versioni successive. ACS utilizza Microsoft Active Directory (AD) come archivio identità esterno per archiviare risorse quali utenti, computer, gruppi e attributi.

Prerequisiti

Requisiti

Prima di provare questa configurazione, accertarsi di soddisfare i seguenti requisiti:

ACS 5.x è completamente integrato nel dominio AD desiderato. Se ACS non è integrato con il dominio Active Directory desiderato, per ulteriori informazioni sull'esecuzione dell'attività di integrazione, fare riferimento all'esempio di configurazione di ACS 5.x e versioni successive: Integrazione con Microsoft Active Directory.

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

Cisco Secure ACS 5.3
Software Cisco IOS^® versione 12.2(44)SE6.

Nota: questa configurazione può essere eseguita su tutti i dispositivi Cisco IOS.
Dominio di Microsoft Windows Server 2003

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Convenzioni

Fare riferimento a Cisco Technical Tips Conventions per ulteriori informazioni sulle convenzioni dei documenti.

Configurazione

Configurazione di ACS 5.x per autenticazione e autorizzazione

Prima di iniziare la configurazione di ACS 5.x per l'autenticazione e l'autorizzazione, ACS avrebbe dovuto essere integrato correttamente con Microsoft AD. Se ACS non è integrato con il dominio Active Directory desiderato, per ulteriori informazioni sull'esecuzione dell'attività di integrazione, fare riferimento all'esempio di configurazione di ACS 5.x e versioni successive: Integrazione con Microsoft Active Directory.

In questa sezione vengono mappati due gruppi AD a due set di comandi diversi e a due profili Shell, uno con accesso completo e l'altro con accesso limitato sui dispositivi Cisco IOS.

Accedere alla GUI di ACS utilizzando le credenziali di amministratore.
Scegliere Utenti e archivi identità > Archivi identità esterni > Active Directory e verificare che l'ACS sia stato aggiunto al dominio desiderato e che lo stato della connettività sia indicato come connesso.

Fare clic sulla scheda Gruppi di directory.
Fare clic su Seleziona.
Scegliere i gruppi da mappare ai profili e ai set di comandi della shell nella parte successiva della configurazione. Fare clic su OK.
Fare clic su Salva modifiche.
Scegliere Policy di accesso > Servizi di accesso > Regole di selezione dei servizi e identificare il servizio di accesso che elabora l'autenticazione TACACS+. Nell'esempio, questo valore è Default Device Admin.
Scegliere Criteri di accesso > Servizi di accesso > Amministrazione predefinita dispositivi > Identità e fare clic su Seleziona accanto a Origine identità.
Scegliere AD1 e fare clic su OK.
Fare clic su Salva modifiche.
Scegliere Criteri di accesso > Servizi di accesso > Amministrazione predefinita dispositivi > Autorizzazione e fare clic su Personalizza.
Copiare AD1:ExternalGroups dalla sezione Disponibile a Selezionato di Personalizza condizioni e quindi spostare il profilo della shell e i set di comandi dalla sezione Disponibile a Selezionato di Personalizza risultati. Fare clic su OK.
Per creare una nuova regola, fare clic su Create (Crea).
Fare clic su Seleziona nella condizione AD1:ExternalGroups.
Selezionare il gruppo a cui si desidera concedere l'accesso completo sul dispositivo Cisco IOS. Fare clic su OK.
Fare clic su Seleziona nel campo Profilo shell.
Per creare un nuovo profilo di shell per gli utenti con accesso completo, fare clic su Crea.
Specificare Name and Description (facoltativo) nella scheda General e fare clic sulla scheda Common Tasks.
Modificare i valori Privilegio predefinito e Privilegio massimo in Statico con Valore 15. Fare clic su Invia.
Scegliere il nuovo profilo di shell ad accesso completo (in questo esempio Privilegio completo) e fare clic su OK.
Fare clic su Seleziona nel campo Set comandi.
Per creare un nuovo set di comandi per gli utenti ad accesso completo, fare clic su Crea.
Specificare un Nome e verificare che la casella di controllo accanto a Consenti comandi non presenti nella tabella seguente sia selezionata. Fare clic su Invia.

Nota: per ulteriori informazioni sui set di comandi, consultare il documento sulla creazione, la duplicazione e la modifica dei set di comandi per l'amministrazione dei dispositivi.
Fare clic su OK.
Fare clic su OK. La configurazione della regola 1 è stata completata.
Fare clic su Create (Crea) per creare una nuova regola per gli utenti con accesso limitato.
Scegliere AD1:ExternalGroups e fare clic su Seleziona.
Scegliere il gruppo o i gruppi a cui si desidera concedere l'accesso limitato e fare clic su OK.
Fare clic su Seleziona nel campo Profilo shell.
Per creare un nuovo profilo di shell per l'accesso limitato, fare clic su Crea.
Specificare Nome e Descrizione (facoltativo) nella scheda Generale e fare clic sulla scheda Attività comuni.
Modificare Privilegio predefinito e Privilegio massimo in Statico con i valori 1 e 15 rispettivamente. Fare clic su Invia.
Fare clic su OK.
Fare clic su Seleziona nel campo Set comandi.
Fare clic su Crea per creare un nuovo set di comandi per il gruppo di accesso limitato.
Specificare un Nome e verificare che la casella di controllo accanto a Consenti comandi non presenti nella tabella seguente non sia selezionata. Fare clic su Add dopo aver digitato show nello spazio disponibile nella sezione command e scegliere Permit nella sezione Grant in modo che solo i comandi show siano consentiti per gli utenti nel gruppo di accesso limitato.
Analogamente, aggiungere altri comandi da consentire agli utenti del gruppo ad accesso limitato con l'uso di Add. Fare clic su Invia.

Nota: per ulteriori informazioni sui set di comandi, consultare il documento sulla creazione, la duplicazione e la modifica dei set di comandi per l'amministrazione dei dispositivi.
Fare clic su OK.
Fare clic su OK.
Fare clic su Salva modifiche.
Per aggiungere il dispositivo Cisco IOS come client AAA sull'ACS, fare clic su Create (Crea).
Specificare un nome, un indirizzo IP e un segreto condiviso per TACACS+ e fare clic su Submit (Invia).

Configurare il dispositivo Cisco IOS per l'autenticazione e l'autorizzazione

Completare questa procedura per configurare il dispositivo Cisco IOS e l'ACS per l'autenticazione e l'autorizzazione.

Creare un utente locale con privilegi completi per il fallback utilizzando il comando username, come mostrato di seguito:
```
username admin privilege 15 password 0 cisco123!
```
Fornire l'indirizzo IP del server ACS per abilitare il server AAA e aggiungere ACS 5.x come server TACACS.
```
aaa new-model
tacacs-server host 192.168.26.51 key cisco123
```
Nota: la chiave deve corrispondere al segreto condiviso fornito sull'ACS per questo dispositivo Cisco IOS.
Verificare la raggiungibilità del server TACACS con il comando test aaa, come mostrato.
```
test aaa group tacacs+ user1 xxxxx legacy
Attempting authentication test to server-group tacacs+ using tacacs+
User was successfully authenticated.
```
L'output del comando precedente mostra che il server TACACS è raggiungibile e che l'utente è stato autenticato correttamente.

Nota: l'utente 1 e la password xxx appartengono ad AD. Se il test non riesce, verificare che il valore di Shared-Secret fornito nel passaggio precedente sia corretto.

Configurare l'accesso e abilitare le autenticazioni, quindi utilizzare le autorizzazioni di esecuzione e di comando come mostrato di seguito:

aaa authentication login default group tacacs+ local
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ local
aaa authorization commands 0 default group tacacs+ local
aaa authorization commands 1 default group tacacs+ local
aaa authorization commands 15 default group tacacs+ local
aaa authorization config-commands

Nota: le parole chiave Local e Enable vengono usate per il fallback all'utente locale Cisco IOS e per abilitare il segreto rispettivamente se il server TACACS non è raggiungibile.

Verifica

Per verificare l'autenticazione e l'autorizzazione, accedere al dispositivo Cisco IOS tramite Telnet.

Telnet su dispositivo Cisco IOS come utente1 appartenente al gruppo ad accesso completo in Active Directory. Il gruppo Network Admins è il gruppo in Active Directory mappato al profilo della shell con privilegi completi e al comando ad accesso completo impostato su ACS. Provare a eseguire qualsiasi comando per assicurarsi di disporre dell'accesso completo.
Telnet per il dispositivo Cisco IOS come utente2 che appartiene al gruppo ad accesso limitato in Active Directory. (Il gruppo del team di manutenzione della rete è il gruppo in Active Directory mappato al profilo della shell con privilegi limitati e al set di comandi Show-Access su ACS). Se si tenta di eseguire un comando diverso da quelli indicati nel set di comandi Show-Access, viene visualizzato il messaggio di errore Command Authorization Failed (Autorizzazione comando non riuscita), che indica che l'utente 2 dispone di accesso limitato.
Accedere alla GUI di ACS e avviare il visualizzatore di report e monitoraggio. Scegliere Protocollo AAA > TACACS+Authorization per verificare le attività eseguite dall'utente 1 e dall'utente 2.