Configurar um roteador Cisco com autenticação TACACS+

Opções de download

PDF (214.2 KB)
Ver no Adobe Reader em vários dispositivos
ePub (80.3 KB)
Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
Mobi (Kindle) (77.4 KB)
Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos

Atualizado:21 de julho de 2006

ID do documento:13865

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Índice

Introdução

Pré-requisitos

Requisitos

Componentes Utilizados

Convenções

Autenticação

Adicionar a autorização

Adicionar relatório

Arquivo de teste

Informações Relacionadas

Introdução

Este documento descreve como configurar um roteador Cisco para autenticação com o TACACS+ que executa em UNIX. O TACACS+ não oferece tantas características como o, comercialmente disponível, Cisco Secure ACS for Windows ou o Cisco Secure ACS UNIX.

O software TACACS+ fornecido previamente pelo Cisco Systems foi interrompido e é apoiado já não pelo Cisco Systems.

Hoje, você pode encontrar muitas versões do freeware disponíveis TACACS+ quando você procura “pelo freeware TACACS+” em seu Engine de busca dos internet favorita. Cisco não recomenda especificamente nenhuma aplicação particular do freeware TACACS+.

O Serviço de controle de acesso Cisco Secure (ACS) está disponível para a compra através das vendas Cisco e dos canais de distribuição regulares no mundo inteiro. O Cisco Secure ACS for Windows inclui todos os componentes necessários necessários para uma instalação independente em uma estação de trabalho de Microsoft Windows. A solution engine do Cisco Secure ACS é enviada com uma licença do software instalada do Cisco Secure ACS. Visite Cisco que pede o Home Page (clientes registrados somente) para colocar uma ordem.

Nota: Você precisa uma conta CCO com um contrato de serviço associado obter a versão de teste de 90-dia para o Cisco Secure ACS for Windows.

A configuração de roteador neste documento foi desenvolvida em um roteador que executasse o Software Release 11.3.3 de Cisco IOS®. O Cisco IOS Software Release 12.0.5.T e Mais Recente usa o TACACS+ de grupo em vez de tacacs+, assim que as indicações tais como o TACACS+ padrão da autentificação de login aaa permitem aparecem enquanto o grupo padrão tacacs+ da autentificação de login aaa permite.

Refira a documentação do Cisco IOS Software para informações mais completas sobre dos comandos router.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

A informação neste documento é baseada no Cisco IOS Software Release 11.3.3 e no Cisco IOS Software Release 12.0.5.T e Mais Recente.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Autenticação

Conclua estes passos:

Certifique-se de você ter compilado o código TACACS+ (TAC+) no servidor Unix.

As configurações do servidor aqui supõem que você usa o código de server de Cisco TAC+. As configurações de roteador devem trabalhar mesmo se o código de server é código de servidor Cisco. O TAC+ deve ser executado como a raiz; SU a enraizar caso necessário.
Copie o test_file na extremidade deste documento, coloque-o no server TAC+, e nomeie-o test_file.

Verifique para ter certeza os começos tac_plus_executable do demónio com o test_file. Neste comando, - As verificações da opção P para compilam erros mas não começam o demónio:
```
tac_plus_executable -P -C test_file
```
Você pôde ver os índices de test_file enrolar para baixo o indicador, mas você não deve ver que as mensagens tais como não podem encontrar o arquivo, texto não criptografado esperado--texto não criptografado, ou inesperado encontrado}. Se há uns erros, verifique trajetos a test_file, verifique novamente sua datilografia, e contraprova antes que você continue.

Comece configurar o TAC+ no roteador.

Incorpore o modo enable e o tipo configura o terminal antes do comando set. Esta sintaxe de comando assegura-se de que você não esteja travado fora do roteador inicialmente, fornecendo o tac_plus_executable não esteja sendo executado:

!--- Turn on TAC+.   aaa new-model   enable password whatever   !--- These are lists of authentication methods. !--- "linmethod", "vtymethod", "conmethod", and !--- so on are names of lists, and the methods !--- listed on the same lines are the methods !--- in the order to be tried. As used here, if !--- authentication fails due to the !--- tac_plus_executable not being started, the !--- enable password is accepted because !--- it is in each list.         !        aaa authentication login linmethod tacacs+ enable   aaa authentication login vtymethod tacacs+ enable   aaa authentication login conmethod tacacs+ enable   !   !--- Point the router to the server, where #.#.#.# !--- is the server IP address.   !                tacacs-server host #.#.#.#   line con 0        password whatever                      !--- No time-out to prevent being locked out !--- during debugging.                     exec-timeout 0 0        login authentication conmethod   line 1 8        login authentication linmethod        modem InOut        transport input all        rxspeed 38400        txspeed 38400        flowcontrol hardware   line vty 0 4        password whatever        !--- No time-out to prevent being locked out !--- during debugging.           exec-timeout 0 0        login authentication vtymethod

Teste para ter certeza você pode ainda alcançar o roteador com telnet e através da porta de Console antes que você continue. Porque o tac_plus_executable não está sendo executado, a senha da possibilidade deve ser aceitada.

Nota: Mantenha a sessão de porta de Console ativa e permaneça no modo enable. Esta sessão não deve cronometrar para fora. O acesso ao roteador é limitado neste momento, e você precisa de poder fazer alterações de configuração sem travar-se para fora.

Emita estes comandos ver a interação de servidor a roteador no roteador:
```
terminal monitor  debug aaa authentication
```
Como a raiz, comece o TAC+ no server:
```
tac_plus_executable -C test_file -d 16
```
Verifique para ter certeza o TAC+ começado:
```
ps -aux | grep tac_plus_executable
```
ou
```
ps -ef | grep tac_plus_executable
```
Se o TAC+ não começa, é geralmente um problema com sintaxe no test_file. Retorne a etapa 1 para corrigir isto.
Datilografe o tail -f /var/tmp/tac_plus.log para ver a interação do roteador-à-server no server.

Nota: - A opção d 16 na etapa 5 envia a saída de todas as transações a /var/tmp/tac_plus.log.
Os usuários do telnet (VTY) devem agora ter que autenticar com o TAC+.

Com debugar entrar no roteador e no server (etapas 4 e 7), telnet no roteador de outro parte da rede.

O roteador produz uma alerta do nome de usuário e senha, a que você responde:
```
'authenuser'   (username from test_file)'admin'   (password from test_file)
```
O authenuser do usuário está no grupo admin, que tem a senha admin.

Olhe o server e o roteador onde você pode ver a interação TAC+? o que é enviado onde, respostas, pedidos, e assim por diante. Corrija todos os problemas antes que você continue.
Se você igualmente quer seus usuários autenticar com o TAC+ a fim obter no modo enable, certifique-se que sua sessão de porta de Console é ainda active e se adicionar deste comando ao roteador:
```
!--- For enable mode, list 'default' looks to TAC+ !--- then enable password if TAC+ does not run.  aaa authentication enable default tacacs+ enable
```
Os usuários agora têm que permitir com o TAC+.
Com debugar entrar no roteador e no server (etapas 4 e 7), telnet no roteador de outro parte da rede. O roteador produz uma alerta do nome de usuário e senha, a que você responde:
```
'authenuser'   (username from test_file)'admin'   (password from test_file)
```
Quando você incorporar o modo enable, as requisições de roteador uma senha, a que você responde:
```
'cisco'  ($enable$ password from test_file)
```
Olhe o server e o roteador onde você deve ver a interação TAC+? o que é enviado onde, respostas, pedidos, e assim por diante. Corrija todos os problemas antes que você continue.
Derrube o processo TAC+ no server quando ainda conectado à porta de Console para ter certeza que seus usuários podem ainda alcançar o roteador se o TAC+ está para baixo:
```
ps -aux | grep tac_plus_executable
```
ou
```
ps -ef | grep tac_plus_executable)  kill -9 pid_of_tac_plus_executable
```
Repita o telnet e permita-o da etapa precedente. O roteador então realiza que o processo TAC+ não está respondendo e permite que os usuários entrem e permitam com as senhas padrão.
Verifique para ver se há a autenticação de seus usuários da porta de Console com o TAC+. A fim fazer isto, traga acima o server TAC+ outra vez (etapas 5 e 6), e estabeleça uma sessão de Telnet ao roteador (que deve autenticar com o TAC+).

Remain conectou com o telnet no roteador no modo enable até que você esteja certo que você pode entrar ao roteador através da porta de Console.

A saída de sua conexão original ao roteador através da porta de Console, reconecta então à porta de Console. Autenticação de porta de Console a entrar e permitir usando o usuário - os ids e as senhas (mostrados na etapa 10) devem agora ser com o TAC+.
Quando você permanecer conectado através ou de uma sessão de Telnet ou a porta de Console e com debuga ir no roteador e no server (etapas 4 e 7), estabeleça uma conexão de modem para alinhar 1.

A linha usuários agora tem que entrar e permitir com o TAC+.

O roteador produz uma alerta do nome de usuário e senha, a que você responde:
```
'authenuser'   (username from test_file)'admin'   (password from test_file)
```
Quando você incorporar o modo enable, as requisições de roteador uma senha.

Resposta:
```
'cisco'   ($enable$ password from test_file)
```
Olhe o server e o roteador onde você vê a interação TAC+? o que é enviado onde, respostas, pedidos, e assim por diante. Corrija todos os problemas antes que você continue.

Os usuários agora têm que permitir com o TAC+.

Adicionar a autorização

Adicionar a autorização é opcional.

À revelia, há três níveis de comando no roteador:

o nível de privilégio 0 que inclui o desabilitação, permite, retira, ajuda, e saída
a alerta do nível de privilégio 1 - normal em nível em um telnet - diz o Roteador>
a alerta do nível de privilégio 15 - permita o nível - diz o router-

Desde que os comandos disponíveis dependem do conjunto de recursos IO, versão do Cisco IOS, modelo do roteador, e assim por diante, não há uma lista abrangente dos comandos all a níveis 1 e 15. Por exemplo, a rota IPX da mostra não está atual em um conjunto de recursos IP somente, o transporte nat da mostra IP não está no Cisco IOS Software Release 10.2.x porque o NAT não foi introduzido naquele tempo, e o ambiente da mostra não está atual nos modelos do roteador sem fonte de alimentação e monitoramento de temperatura. Os comandos disponíveis em um roteador particular a nível particular podem ser encontrados quando você incorpora a? na alerta no roteador quando a esse nível de privilégio.

A autorização da porta de Console não foi adicionada como uma característica até que a identificação de bug Cisco CSCdi82030 (clientes registrados somente) esteve executada. A autorização da porta de Console é fora à revelia diminuir a probabilidade que você se torna travado acidentalmente fora do roteador. Se um usuário tem o acesso físico ao roteador através do console, a autorização da porta de Console não é extremamente eficaz. Contudo, a autorização da porta de Console pode ser girada sobre sob a linha engodo 0 em uma imagem que a identificação de bug Cisco CSCdi82030 (clientes registrados somente) esteve executada dentro com o comando:

authorization exec default|WORD

O roteador pode ser configurado para autorizar comandos com o TAC+ de todo ou alguns níveis.

Esta configuração de roteador permite que todos os usuários tenham a autorização do por-comando estabelecida no server. Aqui nós autorizamos comandos all com o TAC+, mas se o server está para baixo, nenhuma autorização é necessária.
```
aaa authorization commands 1 default tacacs+ none  aaa authorization commands 15 default tacacs+ none
```
Quando o server TAC+ for executado, telnet no roteador com authenuser userid.

Porque o authenuser tem o serviço padrão = a licença em test_file, este usuário deve poder executar todas as funções.

Quando no roteador, incorpore o modo enable, e gire sobre a eliminação de erros da autorização:
```
terminal monitor  debug aaa authorization
```
Telnet no roteador com authoruser userid e na senha de operador.

Este usuário não pode fazer o traceroute e uma saída de dois comandos show (veja o test_file).

Olhe o server e o roteador onde você deve ver a interação TAC+ (o que é enviado onde, respostas, pedidos, e assim por diante). Corrija todos os problemas antes que você continue.
Se você quer configurar um usuário para um comando automático, elimine o usuário transitório comentado-para fora no test_file, e põe um destino do endereço IP válido no lugar do #.#.#.#.

Pare e ligue o server TAC+.

No roteador:
```
aaa authorization exec default tacacs+
```
Telnet ao roteador com transeunte e senha transitória userid. O telnet #.#.#.# executa e o usuário transitório é enviado ao outro lugar.

Adicionar relatório

Os relatórios de adição são opcionais.

A referência ao arquivo de contabilidade está em test_file? arquivo de contabilidade = /var/log/tac.log. Mas a contabilidade não ocorre a menos que configurado no roteador (fornecido o roteador executa uma versão de Cisco IOS Software mais tarde de 11.0).

Permita a contabilidade no roteador:
```
aaa accounting exec default start-stop tacacs+  aaa accounting connection default start-stop tacacs+  aaa accounting network default start-stop tacacs+  aaa accounting system default start-stop tacacs+
```
Nota: A contabilidade AAA não faz a contabilidade do por-comando em algumas versões. Uma ação alternativa é usar a autorização do por-comando e registrar a ocorrência no arquivo de contabilidade. (Refira a identificação de bug Cisco CSCdi44140.) Se você se usa uma imagem em que esta fixada é usada [Cisco IOS Software Release 11.2(1.3)F, 11.2(1.2), 11.1(6.3), 11.1(6.3)AA01, 11.1(6.3)CA em setembro 24, 1997] você pode igualmente permitir a comando-contabilidade.
Quando o TAC+ for executado no server, incorpore este comando no server ver as entradas que entram no arquivo de contabilidade:
```
tail -f /var/log/tac.log
```
Então log e fora do roteador, telnet fora do roteador, e assim por diante. Caso necessário, no roteador entre:
```
terminal monitor  debug aaa accounting
```

Arquivo de teste

- - - - - - - (cut here) - - - - - - -# Set up accounting file if enabling accounting on NASaccounting file = /var/log/tac.log# Enable password setup for everyone:user = $enable$ {        login = cleartext "cisco"        }# Group listings must be first:group = admin {# Users in group 'admin' have cleartext password        login = cleartext "admin"        expires = "Dec 31 1999"}group = operators {# Users in group 'operators' have cleartext password        login = cleartext "operator"        expires = "Dec 31 1999"}group = transients {# Users in group 'transient' have cleartext password        login = cleartext "transient"        expires = "Dec 31 1999"}# This user is a member of group 'admin' & uses that group's password to log in.#  The $enable$ password is used to enter enable mode.  The user can perform all commands. user = authenuser {        default service = permit        member = admin        }# This user is limitted in allowed commands when aaa authorization is enabled: user = telnet {        login = cleartext "telnet"        cmd = telnet {        permit .*        }        cmd = logout {        permit .*        }        }# user = transient {#       member = transients#       service = exec {        # When transient logs on to the NAS, he's immediately        # zipped to another site#       autocmd = "telnet #.#.#.#"#       }#       }# This user is a member of group 'operators' # & uses that group's password to log in  user = authenuser {        member = operators# Since this user does not have 'default service = permit' when command # authorization through TACACS+ is on at the router, this user's commands# are limited to:        cmd = show {         permit ver        permit ip        }        cmd = traceroute {        permit .*        }        cmd = logout {        permit .*        }}- - - - (end cut here) - - - -

Nota: Este Mensagem de Erro é gerado se seu servidor de TACACS não é alcançável: %AAAA-3-DROPACCTSNDFAIL: o registro de contabilidade deixado cair, envia ao server falhado: sistema-início. Verifique que o server TACACS+ é operacional.