ACS 5.x:ADグループメンバーシップに基づくTACACS+認証およびコマンド認可の設定例

はじめに

このドキュメントでは、Cisco Secure Access Control System(ACS)5.x以降を使用するユーザのADグループメンバーシップに基づくTACACS+認証およびコマンド認可の設定例を紹介します。ACS は外部 ID ストアとしてユーザ、マシン、グループ、および属性を保存するために Microsoft Active Directory（AD）を使用します。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

• ACS 5.xは、目的のADドメインに完全に統合されています。ACSが必要なADドメインと統合されていない場合、統合タスクを実行するための詳細については、『ACS 5.x以降：Microsoft Active Directoryとの統合の設定例』を参照してください。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• Cisco Secure ACS 5.3

• Cisco IOS^®ソフトウェアリリース12.2(44)SE6。

  注：この設定は、すべてのCisco IOSデバイスで実行できます。

• Microsoft Windows Server 2003 ドメイン

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。

コンフィギュレーション

認証および認可のためのACS 5.xの設定

認証と認可のためのACS 5.xの設定を開始する前に、ACSはMicrosoft ADと正常に統合されている必要があります。ACSが必要なADドメインと統合されていない場合、統合タスクを実行するための詳細については、『ACS 5.x以降：Microsoft Active Directoryとの統合の設定例』を参照してください。

このセクションでは、2つのADグループを、2つの異なるコマンドセットと2つのシェルプロファイルにマッピングします。一方はフルアクセスを使用し、もう一方はCisco IOSデバイス上で制限付きアクセスを使用します。

1. 管理者クレデンシャルを使用してACS GUIにログインします。

2. Users and Identity Stores > External Identity Stores > Active Directoryの順に選択し、ACSが目的のドメインに参加していること、および接続ステータスがconnectedと表示されていることを確認します。

   Directory Groupsタブをクリックします。

   

3. [Select] をクリックします。

   

4. 設定の後半で、シェルプロファイルとコマンドセットにマッピングする必要があるグループを選択します。[OK] をクリックします。

   

5. [Save Changes] をクリックします。

   

6. Access Policies > Access Services > Service Selection Rulesの順に選択し、TACACS+認証を処理するアクセスサービスを識別します。この例では、Default Device Adminです。

   

7. Access Policies > Access Services > Default Device Admin > Identityの順に選択し、Identity Sourceの横にあるSelectをクリックします。

   

8. [AD1] を選択し、[OK] をクリックします。

   

9. [Save Changes] をクリックします。

   

10. Access Policies > Access Services > Default Device Admin > Authorizationの順に選択し、Customizeをクリックします。

    

11. AD1:ExternalGroupsをAvailableから Customize ConditionsのSelectedセクションにコピーし、次にシェルプロファイルとコマンドセットをCustomize ResultsのAvailableからSelectedセクションに移動します。ここで、[OK] をクリックします。

    

12. 新しいルールを作成するには、[Create] をクリックします。

    

13. AD1:ExternalGroups条件でSelectをクリックします。

    

14. Cisco IOSデバイスでフルアクセスを提供するグループを選択します。[OK] をクリックします。

    

15. Shell ProfileフィールドでSelectをクリックします。

    

16. Createをクリックして、フルアクセスユーザ用の新しいシェルプロファイルを作成します。

    

17. GeneralタブでNameとDescription（オプション）を指定し、Common Tasksタブをクリックします。

    

18. デフォルト権限と最大権限を値15の静的に変更します。[Submit] をクリックします。

    

19. 新しく作成したフルアクセスシェルプロファイル（この例ではFull-Privilege）を選択し、OKをクリックします。

    

20. Command SetsフィールドでSelectをクリックします。

    

21. Createをクリックして、フルアクセスユーザ用の新しいコマンドセットを作成します。

    

22. 名前を入力し、Permit any command that is not in the table belowの横にあるチェックボックスにチェックマークが付いていることを確認します。[Submit] をクリックします。

    注：コマンドセットの詳細については、『デバイス管理用コマンドセットの作成、複製、および編集』を参照してください。

    

23. [OK] をクリックします。

    

24. [OK] をクリックします。これで、Rule-1の設定は完了です。

    

25. Createをクリックして、制限付きアクセスユーザ用の新しいルールを作成します。

    

26. AD1:ExternalGroupsを選択して、Selectをクリックします。

    

27. 制限付きアクセスを提供するグループを選択し、OKをクリックします。

    

28. Shell ProfileフィールドでSelectをクリックします。

    

29. Createをクリックして、制限付きアクセス用の新しいシェルプロファイルを作成します。

    

30. GeneralタブでNameとDescription（オプション）を指定し、Common Tasksタブをクリックします。

    

31. デフォルト権限と最大権限をそれぞれ値1と15で静的に変更します。[Submit] をクリックします。

    

32. [OK] をクリックします。

    

33. Command SetsフィールドでSelectをクリックします。

    

34. Createをクリックして、制限付きアクセスグループ用の新しいコマンドセットを作成します。

    

35. 名前を入力し、次の表に記載されていないコマンドを許可の横にあるチェックボックスが選択されていないことを確認します。Addをクリックし、commandセクションにあるスペースでshowと入力して、GrantセクションでPermitを選択し、制限付きアクセスグループのユーザにshowコマンドだけが許可されるようにします。

    

36. 同様に、Addを使用して、制限付きアクセスグループのユーザに許可するその他のコマンドを追加します。[Submit] をクリックします。

    注：コマンドセットの詳細については、『デバイス管理用コマンドセットの作成、複製、および編集』を参照してください。

    

37. [OK] をクリックします。

    

38. [OK] をクリックします。

    

39. [Save Changes] をクリックします。

    

40. Createをクリックして、Cisco IOSデバイスをAAAクライアントとしてACSに追加します。

    

41. TACACS+に対してName, IP Address, Shared Secretを指定し、Submitをクリックします。

    

認証および認可のためのCisco IOSデバイスの設定

認証と認可のためにCisco IOSデバイスとACSを設定するには、次の手順を実行します。

1. 次に示すように、フォールバックの完全な権限を持つローカルユーザをusernameコマンドで作成します。

   username admin privilege 15 password 0 cisco123!

2. AAAを有効にして、TACACSサーバとしてACS 5.xを追加するために、ACSのIPアドレスを指定します。

   aaa new-model
   tacacs-server host 192.168.26.51 key cisco123

   注：キーは、このCisco IOSデバイス用にACSで提供される共有秘密と一致する必要があります。

3. 次に示すように、aaa コマンド により、TACACS サーバの到達可能性をテストします。

   test aaa group tacacs+ user1 xxxxx legacy
   Attempting authentication test to server-group tacacs+ using tacacs+
   User was successfully authenticated.

   前のコマンドの出力では、TACACS サーバが到達可能であり、ユーザが正常に認証されたことを示しています。

   注：User1とパスワードxxxはADに属しています。テストに失敗した場合は、前の手順で指定した共有秘密が正しいことを確認してください。

4. ログインを設定して認証を有効にし、次に示すようにExecおよびコマンド認可を使用します。

   aaa authentication login default group tacacs+ local
   aaa authentication enable default group tacacs+ enable
   aaa authorization exec default group tacacs+ local
   aaa authorization commands 0 default group tacacs+ local
   aaa authorization commands 1 default group tacacs+ local
   aaa authorization commands 15 default group tacacs+ local
   aaa authorization config-commands

   注：TACACSサーバに到達できない場合、LocalおよびEnableキーワードは、Cisco IOSローカルユーザおよびenable secretへのフォールバックにそれぞれ使用されます。

確認

認証と認可を確認するには、Telnetを使用してCisco IOSデバイスにログインします。

1. ADのフルアクセスグループに属するuser1としてCisco IOSデバイスにTelnet接続します。Network Adminsグループは、ACSで設定されるFull-Privilege Shell ProfileとFull-Access CommandにマッピングされるADのグループです。フルアクセス権があることを確認するために、任意のコマンドを実行してみてください。

   

2. ADの制限付きアクセスグループに属するuser2としてCisco IOSデバイスにTelnet接続します(Network Maintenance Teamグループは、ACSでLimited-PrivilegeシェルプロファイルとShow-AccessコマンドセットにマッピングされるADのグループです)。Show-Accessコマンドセットに記載されているコマンド以外のコマンドを実行しようとすると、「Command Authorization Failed」エラーが発生し、user2によるアクセスが制限されていることが示されます。

   

3. ACS GUIにログインし、モニタリングとレポートビューアを起動します。AAA Protocol > TACACS+Authorizationの順に選択して、user1とuser2が実行したアクティビティを確認します。

   

関連情報

• Cisco Secure Access Control System
• テクニカル サポートとドキュメント - Cisco Systems