Cisco-router voor kiesverificatie met TACACS+ configureren

Inleiding

Dit document beschrijft hoe u een Cisco-router kunt configureren voor verificatie van toetsen met de TACACS+ die op UNIX draait. TACACS+ biedt niet zoveel functies aan als de commercieel beschikbare Cisco Secure ACS voor Windows of Cisco Secure ACS voor UNIX.

De eerder door Cisco Systems verstrekte TACACS+ software is stopgezet en wordt niet langer ondersteund door Cisco Systems.

Vandaag de dag kunt u veel beschikbare versies van TACACS+ vrijware vinden wanneer u op "TACACS+ freeware" op uw favoriete zoekmachine van Internet zoekt. Cisco adviseert niet specifiek een bepaalde TACACS+ software-implementatie.

Cisco Secure Access Control Server (ACS) is beschikbaar voor aankoop via wereldwijde verkoop- en distributiekanalen van Cisco. Cisco Secure ACS voor Windows bevat alle benodigde onderdelen voor een onafhankelijke installatie op een Microsoft Windows-werkstation. De Cisco Secure ACS Solutions Engine wordt verzonden met een vooraf geïnstalleerde Cisco Secure ACS-softwarelicentie. Raadpleeg het Cisco Secure ACS 4.0-productbericht voor productnummers. Bezoek de Cisco Bestellen startpagina (alleen geregistreerde klanten) om een bestelling te plaatsen.

Opmerking: U hebt een CCO-account met een gekoppeld servicecontract nodig om de 90-daagse proefversie te krijgen voor Cisco Secure ACS voor Windows (alleen geregistreerd klanten).

De routerconfiguratie in dit document is ontwikkeld op een router die Cisco IOS®-softwarerelease 11.3.3 draait. Cisco IOS-softwarereleases 12.0.5.T en daarna groepstacacs+ in plaats van tacacs+. Statements zoals aaa-standaardinstellingen voor de authenticatie van tacacs+ maken het mogelijk om te verschijnen als AAA aanmelding standaardinstelling van tacacs+ mogelijk maakt.

U kunt de TACACS+-vrieware en gebruikersgids met anonieme ftp-eng.cisco.com downloaden in de /pub/tacacs-map.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Configuraties

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

N.B.: Gebruik het Opdrachtupgereedschap (alleen geregistreerde klanten) om aanvullende informatie te vinden over de opdrachten die in dit document worden gebruikt.

Dit document gebruikt deze configuraties:

• Routerconfiguratie

• Configuratiebestand van TACACS+ op server

!
aaa new-model
aaa authentication login default tacacs+ enable
aaa authentication ppp default if-needed tacacs+
aaa authorization exec default tacacs+ if-authenticated
aaa authorization commands 1 default tacacs+ if-authenticated 
aaa authorization commands 15 default tacacs+ if-authenticated 
aaa authorization network default tacacs+ 
enable password ww
!
chat-script default "" at&fls0=1&h1&r2&c1&d2&b1e0q2 OK
!
interface Ethernet0
 ip address 10.6.1.200 255.255.255.0
! 

!--- Challenge Handshake Authentication Protocol !--- (CHAP/PPP) authentication user.

  interface Async1
  ip unnumbered Ethernet0
  encapsulation ppp
  async mode dedicated
  peer default ip address pool async
  no cdp enable
  ppp authentication chap
 !
 
!--- Password Authentication Protocol (PAP/PPP) authentication user.

  interface Async2
  ip unnumbered Ethernet0
  encapsulation ppp
  async mode dedicated
  peer default ip address pool async
  no cdp enable
  ppp authentication pap
 !
 
!--- Authentication user with autocommand PPP.

  interface Async3
  ip unnumbered Ethernet0
  encapsulation ppp
  async mode interactive
  peer default ip address pool async
  no cdp enable
 !
 ip local pool async 10.6.100.101 10.6.100.103
 tacacs-server host 171.68.118.101
 tacacs-server timeout 10
 tacacs-server key cisco
 !
 line 1
  session-timeout 20
  exec-timeout 120 0
  autoselect during-login
  script startup default
  script reset default
  modem Dialin
  transport input all
  stopbits 1
  rxspeed 115200
  txspeed 115200
  flowcontrol hardware
 !
 line 2
  session-timeout 20
  exec-timeout 120 0
  autoselect during-login
  script startup default
  script reset default
  modem Dialin
  transport input all
  stopbits 1
  rxspeed 115200
  txspeed 115200
  flowcontrol hardware
 !
 line 3
  session-timeout 20
  exec-timeout 120 0
  autoselect during-login
  autoselect ppp
  script startup default
  script reset default
  modem Dialin
  autocommand ppp
  transport input all
  stopbits 1
  rxspeed 115200
  txspeed 115200
  flowcontrol hardware
 !
 end

!--- Handshake with router !--- AS needs 'tacacs-server key cisco'.

key = "cisco"


!--- User who can Telnet in to configure.

user = admin {
        default service = permit
        login = cleartext "admin"
        }

 
!--- CHAP/PPP authentication line 1 - !--- password must be cleartext per CHAP specifications.

  user = chapuser {
         chap = cleartext "chapuser"
         service = ppp protocol = ip {
                 default attribute = permit
                 }
         }
 
 
!--- PPP/PAP authentication line 2.

  user = papuser {
         login = file /etc/passwd
         service = ppp protocol = ip {
                 default attribute = permit
                 }
         }

 
!--- Authentication user line 3.

  user = authauto {
         login = file /etc/passwd
         service = ppp protocol = ip {
                 default attribute = permit
                 }
         }

Microsoft Windows Setup

Microsoft Windows Setup voor gebruikers 1 en 2

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

Stapsgewijze instructies

Voer de volgende stappen uit.

Opmerking: De PC-configuratie kan licht variëren afhankelijk van de door u gebruikte versie van het besturingssysteem.

1. Selecteer Start > Programma's > Accessoires > Inbelnetwerken om het venster voor inbelnetwerken te openen.

2. Kies Nieuwe verbinding maken in het menu Connecties en voer een naam in voor de verbinding.

3. Voer uw modemspecifieke informatie in en klik op Configureren.

4. Selecteer op de pagina Algemene eigenschappen de hoogste snelheid van uw modem, maar controleer niet de optie Alleen verbinding maken met deze snelheid...

5. Op de pagina Configuration/Connection Properties gebruikt u 8 gegevensbits, geen parity en 1 stopbit. De voorkeur van de vraag om te gebruiken is Wacht op kiestoon alvorens te draaien en Annuleren de vraag indien niet aangesloten na 200 seconden.

6. Klik op de verbindingspagina op Geavanceerd. Selecteer in de Instellingen voor geavanceerde verbinding alleen de standaard Hardware Flow Control en Modulatie.

   Op de pagina met de eigenschappen Configure/Opties moet er niets worden gecontroleerd behalve het vakje onder Status Control.

7. Klik op OK en vervolgens op Volgende.

8. Voer het telefoonnummer van de bestemming in, klik op Volgende en klik vervolgens op Voltooien.

9. Klik met de rechtermuisknop op het nieuwe verbindingspictogram en kies Eigenschappen > Type server.

10. Kies PPP:WINDOWS 95, WINDOWS NT 3.5, Internet en controleer geen geavanceerde opties.

11. Controleer TCP/IP onder toegestane netwerkprotocollen.

12. Kies onder TCP/IP-instellingen... server toegewezen IP-adres, server toegewezen naamserveradressen en gebruik standaardgateway op een extern netwerk en klik vervolgens op OK.

13. Wanneer de gebruiker op het pictogram dubbelklikt om het venster Connect To toe te voegen om te bellen, moet de gebruiker de velden Gebruikersnaam en wachtwoord invullen en vervolgens op Connect klikken.

Microsoft Windows Setup voor gebruiker 3

Configuratie voor Gebruiker 3 (authenticatie gebruiker met automatische opdracht PPP) is hetzelfde als voor Gebruikers 1 en 2, met deze uitzonderingen:

• Klik in de pagina Eigenschappen Configuration/Opties (stap 6) op de optie Snelvenster na het draaien.

• Wanneer de gebruiker op het pictogram dubbelklikt om het venster Connect To terug te draaien (Stap 13), vult de gebruiker de velden Gebruikersnaam en Wachtwoord niet in. De gebruiker klikt op Connect. Na de verbinding met de router wordt gemaakt, de gebruikerstypen in de gebruikersnaam en het wachtwoord in het zwarte venster dat verschijnt. Na verificatie drukt de gebruiker op Doorgaan (F7).

Verifiëren

Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.

Problemen oplossen

router

Raadpleeg Belangrijke informatie over Debug Commands voordat u debug-opdrachten geeft.

• de terminal monitor-displays debug van de opdrachtoutput en de systeemfoutmeldingen voor de huidige terminal en sessie.

• debug PPP onderhandeling-displays PPP-pakketten die tijdens PPP-opstarten worden verzonden, waar PPP-opties worden onderhandeld.

• debug PPP-pakketten—PPP die worden verzonden en ontvangen. (Deze opdracht geeft pakjes op een laag niveau weer.)

• debug ppp chap-displays informatie over de vraag of een client authenticatie passeert (voor Cisco IOS softwarereleases eerder dan 11.2).

• debug van verificatie—informatie over verificatie, autorisatie en accounting (AAA)/TACACS+ verificatie.

• debug van autorisatie—informatie over AAA/TACACS+ autorisatie wordt weergegeven.

Server

OPMERKING:  Dit veronderstelt de TACACS+ Freeware-servercode van Cisco.

tac_plus_executable -C config.file -d 16
  tail -f /var/tmp/tac_plus.log

Gerelateerde informatie

• Pagina voor TACACS+ ondersteuning
• TACACS+ in IOS-documentatie
• Cisco Secure Access Control Server
• Installatie en verwijdering van Cisco Secure 2.x TACACS+
• Technische ondersteuning en documentatie – Cisco Systems