Come configurare Cisco VPN 3000 Concentrator per supportare l'autenticazione TACACS+ per gli account di gestione

Opzioni per il download

  • PDF     (288.1 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (303.0 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (394.4 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:31 ottobre 2006
ID documento:12088

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

Questo documento offre istruzioni dettagliate per configurare i Cisco VPN serie 3000 concentrator per il supporto dell'autenticazione TACACS+ per gli account di gestione.

Non appena si configura un server TACACS+ sul concentratore VPN 3000, i nomi di account e le password configurati localmente, come admin, config, isp e così via, non vengono più utilizzati. Tutti i login al VPN 3000 Concentrator vengono inviati al server TACACS+ esterno configurato per la verifica di utenti e password.

La definizione di un livello di privilegio per ciascun utente sul server TACACS+ determina le autorizzazioni sul concentratore VPN 3000 per ciascun nome utente TACACS+. Quindi, associarlo al livello di accesso AAA definito nel nome utente configurato localmente sul concentratore VPN 3000. Questo è un punto importante perché, non appena si definisce un server TACACS+, i nomi utente configurati localmente su VPN 3000 Concentrator non sono più validi. Tuttavia, vengono ancora utilizzati solo per far corrispondere il livello di privilegio restituito dal server TACACS+ al livello di accesso AAA restituito dall'utente locale. Al nome utente TACACS+ vengono quindi assegnati i privilegi definiti dall'utente VPN 3000 Concentrator configurato localmente nel relativo profilo.

Ad esempio, come descritto in dettaglio nelle sezioni di configurazione, un utente/gruppo TACACS+ è configurato in modo da restituire un livello di privilegio TACACS+ di 15. Nella sezione Administrators di VPN 3000 Concentrator, anche l'utente amministratore ha il livello di accesso AAA impostato su 15. A questo utente è consentito modificare la configurazione in tutte le sezioni e leggere/scrivere file. Poiché il livello di privilegio TACACS+ e il livello di accesso AAA corrispondono, all'utente TACACS+ vengono concesse queste autorizzazioni sul concentratore VPN 3000.

Ad esempio, se si decide che un utente deve essere in grado di modificare la configurazione ma non i file di lettura/scrittura, assegnare loro un livello di privilegio di 12 sul server TACACS+. È possibile scegliere un numero qualsiasi compreso tra uno e 15. Quindi, nel concentratore VPN 3000, scegliere uno degli altri amministratori configurati localmente. Quindi, impostare il livello di accesso AAA su 12 e impostare le autorizzazioni sull'utente per consentirgli di modificare la configurazione ma non di leggere/scrivere file. A causa del livello di accesso/privilegio corrispondente, l'utente ottiene tali autorizzazioni al momento dell'accesso.

I nomi utente configurati localmente su VPN 3000 Concentrator non sono più utilizzati. Tuttavia, i diritti di accesso e i livelli di accesso AAA di ciascuno di questi utenti sono usati per definire i privilegi che un particolare utente TACACS+ ottiene quando si esegue il login.

Prerequisiti

Requisiti

Prima di provare questa configurazione, accertarsi di soddisfare i seguenti requisiti:

  • Verificare la presenza di connettività IP al server TACACS+ dal concentratore VPN 3000. Se il server TACACS+ è diretto all'interfaccia pubblica, non dimenticare di aprire TACACS+ (porta TCP 49) sul filtro pubblico.

  • Garantire l'accesso ai backup tramite la console. È facile bloccare accidentalmente tutti gli utenti fuori dalla configurazione quando questa è stata configurata per la prima volta. L'unico modo per ripristinare l'accesso è tramite la console, che utilizza ancora i nomi utente e le password configurati localmente.

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

  • Software Cisco VPN 3000 Concentrator versione 4.7.2.B (in alternativa, è possibile usare qualsiasi versione del software del sistema operativo 3.0 o versioni successive).

  • Cisco Secure Access Control Server per server Windows versione 4.0 (in alternativa, può funzionare qualsiasi versione del software 2.4 o successive).

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Convenzioni

Per ulteriori informazioni sulle convenzioni usate, consultare il documento Cisco sulle convenzioni nei suggerimenti tecnici.

Configurazione del server TACACS+

Aggiungere una voce per VPN 3000 Concentrator nel server TACACS+

Completare questa procedura per aggiungere una voce per il concentratore VPN 3000 nel server TACACS+.

  1. Fare clic su Network Configuration (Configurazione rete) nel pannello sinistro. In Client AAA, fare clic su Add Entry (Aggiungi voce).

  2. Nella finestra successiva, compilare il modulo per aggiungere il concentratore VPN come client TACACS+. In questo esempio vengono utilizzati:

    • Nome host client AAA = VPN3000

    • Indirizzo IP client AAA = 10.1.1.2

    • Chiave = csacs123

    • Autentica con = TACACS+ (Cisco IOS)

    Fare clic su Invia + Riavvia.

    vpn_tacacs_radius_01.gif

Aggiungere un account utente nel server TACACS+

Completare questa procedura per aggiungere un account utente nel server TACACS+.

  1. Creare un account utente nel server TACACS+ da utilizzare successivamente per l'autenticazione TACACS+. Fare clic su User Setup (Impostazione utente) nel pannello a sinistra, aggiungere l'utente "johnsmith" (fabbisogni utente) e fare clic su Add/Edit (Aggiungi/Modifica) per eseguire questa operazione.

  2. Aggiungere una password per questo utente e assegnare l'utente a un gruppo ACS che contiene gli altri amministratori di VPN 3000 Concentrator.

    Nota: questo esempio definisce il livello di privilegio in questo particolare profilo di gruppo ACS dell'utente. Se l'operazione deve essere eseguita per singolo utente, scegliere Configurazione interfaccia > TACACS+ (Cisco IOS) e selezionare la casella Utente per il servizio Shell (exec). Solo allora le opzioni TACACS+ descritte in questo documento sono disponibili in ciascun profilo utente.

Modifica del gruppo sul server TACACS+

Completare questa procedura per modificare il gruppo sul server TACACS+.

  1. Fare clic su Group Setup nel pannello sinistro.

  2. Dal menu a discesa, scegliere il gruppo a cui è stato aggiunto l'utente nella sezione Add a User Account in TACACS+ Server, che in questo esempio è Group 1, e fare clic su Edit Settings.

  3. Nella finestra successiva, verificare che questi attributi siano selezionati in TACACS+ Settings:

    • Shell (esegui)

    • Livello di privilegio = 15

    Al termine, fare clic su Invia + Riavvia.

    vpn3k_tacacs_02.gif

Configurazione di VPN 3000 Concentrator

Aggiungere una voce per il server TACACS+ nel concentratore VPN 3000

Completare questa procedura per aggiungere una voce per il server TACACS+ nel concentratore VPN 3000.

  1. Scegliere Amministrazione > Diritti di accesso > Server AAA > Autenticazione nella struttura di navigazione nel pannello sinistro, quindi fare clic su Aggiungi nel pannello destro.

    Non appena si fa clic su Add (Aggiungi) per aggiungere il server, il nome utente e le password configurati localmente su VPN 3000 Concentrator non vengono più utilizzati. Garantire l'accesso ai backup tramite la console in caso di blocco.

  2. Nella finestra successiva, compilare il modulo come illustrato di seguito:

    • Server di autenticazione = 10.1.1.1 (indirizzo IP del server TACACS+)

    • Porta server = 0 (predefinita)

    • Timeout = 4

    • Tentativi = 2

    • Segreto server = csacs123

    • Verify = csacs123

    vpn_tacacs_radius_04.gif

Modificare l'account Admin sul concentratore VPN per l'autenticazione TACACS+

Completare questa procedura per modificare l'account admin sul concentratore VPN per l'autenticazione TACACS+.

  1. Per modificare le proprietà dell'utente, fare clic su Modifica per l'amministratore utente.

    vpn3k_tacacs_04.gif

  2. Selezionare il livello di accesso AAA come 15.

    Questo valore può essere un numero qualsiasi compreso tra uno e 15. Notare che deve corrispondere al livello di privilegio TACACS+ definito nel profilo utente/gruppo sul server TACACS+. L'utente TACACS+ riceve quindi le autorizzazioni definite in questo utente VPN 3000 Concentrator per la modifica della configurazione, la lettura/scrittura dei file e così via.

    vpn3k_tacacs_05.gif

Verifica

Attualmente non è disponibile una procedura di verifica per questa configurazione.

Risoluzione dei problemi

Completare la procedura descritta in queste istruzioni per risolvere i problemi relativi alla configurazione.

  1. Per verificare l'autenticazione:

      Per server TACACS+

    1. Scegliere Amministrazione > Diritti di accesso > Server AAA > Autenticazione.

    2. Selezionare il server e quindi fare clic su Test.

      vpn_tacacs_radius_06.gif

      Nota: quando il server TACACS+ è configurato nella scheda Amministrazione, non è possibile configurare l'utente per l'autenticazione sul database locale VPN 3000. È possibile eseguire il fallback solo utilizzando un altro database esterno o server TACACS.

    3. Immettere il nome utente e la password TACACS+ e fare clic su OK.

      vpn_tacacs_radius_07.gif

      Viene visualizzata un'autenticazione riuscita.

      vpn_tacacs_radius_08.gif

  2. In caso di errore, si è verificato un problema di configurazione o di connettività IP. Controllare il registro dei tentativi non riusciti sul server ACS per i messaggi relativi all'errore.

    • Se in questo registro non viene visualizzato alcun messaggio, è probabile che si sia verificato un problema di connettività IP. La richiesta TACACS+ non raggiunge il server TACACS+. Verificare che i filtri applicati all'interfaccia VPN 3000 Concentrator appropriata consentano l'ingresso e l'uscita dei pacchetti TACACS+ (porta TCP 49).

    • Se l'errore viene visualizzato come servizio negato nel log, il servizio Shell (exec) non è stato abilitato correttamente nel profilo utente o di gruppo sul server TACACS+.

  3. Se il test di autenticazione ha esito positivo, ma il login a VPN 3000 Concentrator continua a non riuscire, controllare il registro eventi filtrabile tramite la porta della console.

    Se viene visualizzato un messaggio simile: 

    65 02/09/2005 13:14:40.150 SEV=5 AUTH/32 RPT=2 
User [ johnsmith ] Protocol [ HTTP ] attempted ADMIN logon.
Status: <REFUSED> authorization failure. NO Admin Rights

    Questo messaggio indica che il livello di privilegio assegnato sul server TACACS+ non ha un livello di accesso AAA corrispondente su nessuno degli utenti VPN 3000 Concentrator. Ad esempio, l'utente johnsmith ha un livello di privilegio TACACS+ di 7 sul server TACACS+, ma nessuno dei cinque amministratori VPN 3000 Concentrator ha un livello di accesso AAA di 7.

Informazioni correlate

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
31-Oct-2006
Versione iniziale

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci