Configurações de exemplo de PIX, TACACS+ e RADIUS: 4.2.x

Introdução

A autenticação RADIUS e TACACS+ pode ser feita para conexões FTP, Telnet e HTTP. A autorização TACACS+ é suportada; a autorização RADIUS não é.

A sintaxe da autenticação foi ligeiramente alterada no software PIX 4.2.2. Este documento usa a sintaxe para as versões de software 4.2.2.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

pix2# write terminal
Building configuration
: Saved
:
PIX Version 4.2(2)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd OnTrBUG1Tp0edmkr encrypted
hostname pix2
fixup protocol http 80
fixup protocol smtp 25
no fixup protocol ftp 21
no fixup protocol h323 1720
no fixup protocol rsh 514
no fixup protocol sqlnet 1521
no failover
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address  0.0.0.0
names
pager lines 24
logging console debugging
no logging monitor
logging buffered debugging
logging trap debugging
logging facility 20
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto
ip address outside 9.9.9.12 255.255.255.0
ip address inside 171.68.118.103 255.255.255.0
ip address  0.0.0.0 0.0.0.0
arp timeout 14400
global (outside) 1 9.9.9.1-9.9.9.9 netmask 255.0.0.0
static (inside,outside) 9.9.9.10 171.68.118.100 netmask 255.255.255.255 0 0
conduit permit icmp any any 
conduit permit tcp host 9.9.9.10 eq telnet any 
no rip outside passive
no rip outside default
no rip inside passive
no rip inside default
timeout xlate 3:00:00 conn 1:00:00 udp 0:02:00
timeout rpc 0:10:00 h323 0:05:00
timeout uauth 0:00:00 absolute
!

!--- The next entry depends on whether TACACS+ or RADIUS is used.

!
tacacs-server (inside) host 171.68.118.101 cisco timeout 5
radius-server (inside) host 171.68.118.101 cisco timeout 10
!

!--- The focus of concern is with hosts on the inside network !--- accessing a particular outside host.

!
aaa authentication any outbound 171.68.118.0 255.255.255.0 9.9.9.11
   255.255.255.255 tacacs+|radius
!

!--- It is possible to be less granular and authenticate !--- all outbound FTP, HTTP, Telnet traffic with:

aaa authentication ftp outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 
   tacacs+|radius
aaa authentication http outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
   tacacs+|radius
aaa authentication telnet outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
   tacacs+|radius
!

!--- Accounting records are sent for !--- successful authentications to the TACACS+ or RADIUS server.

!
aaa accounting any outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tacacs+|radius
!
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
telnet 171.68.118.100 255.255.255.255
mtu outside 1500
mtu inside 1500
mtu  1500
Smallest mtu: 1500
floodguard 0
tcpchecksum silent
Cryptochecksum:be28c9827e13baf89a937c617cfe6da0
: end
[OK]

Conventions

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Autenticação vs. Autorização

• A autenticação é quem é o usuário.

• Autorização é o que o usuário pode fazer.

• A autenticação é válida sem autorização.

• A autorização não é válida sem autenticação.

Por exemplo, suponha que você tenha cem usuários dentro e deseje que apenas seis desses usuários possam fazer FTP, Telnet ou HTTP fora da rede. Diga ao PIX para autenticar o tráfego de saída e forneça aos seis usuários IDs no servidor de segurança TACACS+/RADIUS. Com autenticação simples, esses seis usuários podem ser autenticados com nome de usuário e senha e, em seguida, sair. Os outros noventa e quatro usuários não podem sair. O PIX solicita o nome de usuário/senha aos usuários e, em seguida, passa o nome de usuário e a senha para o servidor de segurança TACACS+/RADIUS. Além disso, dependendo da resposta, ele abre ou nega a conexão. Esses seis usuários podem fazer FTP, Telnet ou HTTP.

No entanto, suponha que um desses três usuários, "Terry", não seja confiável. Você gostaria de permitir que Terry fizesse FTP, mas não HTTP ou Telnet para o exterior. Isso significa que você precisa adicionar autorização. Ou seja, autorizar o que os usuários podem fazer, além de autenticar quem são. Quando você adiciona autorização ao PIX, o PIX envia primeiro o nome de usuário e a senha de Terry ao servidor de segurança e, em seguida, envia uma solicitação de autorização que informa ao servidor de segurança qual "comando" Terry está tentando executar. Com o servidor configurado corretamente, Terry pode ter permissão para "FTP 1.2.3.4", mas não tem permissão para "HTTP" ou "Telnet" em qualquer lugar.

O que o usuário visualiza com o modo de autenticação/autorização Ligado

Quando você tenta ir de dentro para fora (ou vice-versa) com autenticação/autorização ativada:

• Telnet - O usuário vê um prompt de nome de usuário exibido, seguido de uma solicitação de senha. Se a autenticação (e autorização) for bem-sucedida no PIX/servidor, o usuário está pronto para obter nome de usuário e senha pelo host de destino.

• FTP - O usuário vê a exibição de um prompt de nome de usuário. O usuário precisa inserir local_username@remote_username para nome de usuário e local_password@remote_password para senha. O PIX envia "local_username" e "local_password" para o servidor de segurança local e, se a autenticação (e autorização) for bem-sucedida no PIX/servidor, "remote_username" e "remote_password” vão mais além do servidor FTP de destino.

• HTTP - Uma janela é exibida no navegador solicitando um nome de usuário e uma senha. Se a autenticação (e autorização) for concluída com sucesso, o usuário chega ao web site de destino. Lembre-se de que os navegadores armazenam nomes de usuário e senhas no cache. Se parecer que o PIX deveria estar atingindo o tempo limite de uma conexão HTTP, mas não estiver fazendo isso, é provável que a reautenticação esteja realmente ocorrendo com o navegador "disparando" o nome de usuário e a senha em cache para o PIX. Em seguida, ele encaminha isso ao servidor de autenticação. As depurações de syslog e/ou servidor de PIX mostram esse fenômeno. Se o Telnet e o FTP parecerem funcionar normalmente, mas as conexões HTTP não, esse é o motivo.

Configurações do servidor utilizadas para todos os cenários

Nos exemplos de configuração do servidor TACACS+, se somente a autenticação estiver ativada, todos os usuários "all", "telnetonly", "httponly" e "ftponly" funcionarão. Nos exemplos de configuração do servidor RADIUS, o usuário "all" funciona.

Quando a autorização é adicionada ao PIX, além de enviar o nome de usuário e a senha para o servidor de autenticação TACACS+, o PIX envia comandos (Telnet, HTTP ou FTP) para o servidor TACACS+. O servidor TACACS+ então verifica se o usuário está autorizado para esse comando.

Em um exemplo posterior, o usuário em 171.68.118.100 emite o comando telnet 9.9.9.11. Quando isso é recebido no PIX, o PIX passa o nome de usuário, a senha e o comando para o servidor TACACS+ para processamento.

Assim, com a autorização ativada, além da autenticação, o usuário "telnetonly" pode executar operações Telnet através do PIX. No entanto, os usuários "httponly" e "ftponly" não podem executar operações Telnet através do PIX.

(Novamente, a autorização não é suportada com o RADIUS devido à natureza da especificação do protocolo).

Configuração do servidor Cisco Secure UNIX TACACS+

Cisco Secure 2.x

• As estrofes do usuário são exibidas aqui.

• Adicione o endereço IP do PIX ou o nome de domínio totalmente qualificado e a chave ao CSU.cfg.

  user = all {
  password = clear "all"
  default service = permit
  }
  
  user = telnetonly {
  password = clear "telnetonly"
  service = shell {
  cmd = telnet {
  permit .*
  }
  }
  }
  
  user = ftponly {
  password = clear "ftponly"
  service = shell {
  cmd = ftp {
  permit .*
  }
  }
  }
  
  user = httponly {
  password = clear "httponly"
  service = shell {
  cmd = http {
  permit .*
  }
  }
  }

Configuração do servidor Cisco Secure UNIX RADIUS

Use a interface gráfica de usuário (GUI) avançada para adicionar o IP e a chave do PIX à lista do NAS (servidor de acesso à rede). A estrofe do usuário aparece como visto aqui:

all Password="all"
User-Service-Type = Shell-User

Cisco Secure NT 2.x RADIUS

A seção Configurações de exemplo da documentação on-line e da Web do CiscoSecure 2.1 descreve a configuração; o atributo 6 (Tipo de serviço) seria Login ou Administrative.

Adicione o IP do PIX na seção de configuração de NAS usando a GUI.

EasyACS TACACS+

A documentação do EasyACS fornece informações de configuração.

1. Na seção de grupo, clique em Shell exec (para conceder privilégios de exec).

2. Para adicionar autorização ao PIX, clique em Negar comandos IOS não correspondentes na parte inferior da configuração do grupo.

3. Selecione Add/Edit para cada comando que você deseja permitir (Telnet, por exemplo).

4. Se quiser permitir Telnet para sites específicos, insira o(s) IP(s) na seção de argumento. Para permitir Telnet para todos os sites, clique em Allow all unlisted arguments.

5. Clique em concluir a edição do comando.

6. Execute as etapas de 1 a 5 para cada um dos comandos permitidos (Telnet, HTTP e/ou FTP, por exemplo).

7. Adicione o IP do PIX na seção de configuração de NAS usando a GUI.

Cisco Secure NT 2.x TACACS+

A documentação do Cisco Secure 2.x fornece informações de configuração.

1. Na seção de grupo, clique em Shell exec (para conceder privilégios de exec).

2. Para adicionar autorização ao PIX, clique em Negar comandos IOS não correspondentes na parte inferior da configuração do grupo.

3. Marque a caixa de seleção command na parte inferior e insira o comando que deseja permitir (Telnet, por exemplo).

4. Se quiser permitir Telnet para sites específicos, insira o IP na seção de argumento (por exemplo, "permit 1.2.3.4"). Para permitir Telnet para todos os sites, clique em Permitir argumentos não listados.

5. Clique em Submit.

6. Execute as etapas de 1 a 5 para cada um dos comandos permitidos (Telnet, FTP e/ou HTTP, por exemplo).

7. Adicione o IP do PIX na seção de configuração de NAS usando a GUI.

Configuração de servidor Livingston RADIUS

Adicione o PIX IP e a chave ao arquivo de clientes.

all Password="all"
User-Service-Type = Shell-User

Configuração de servidor Merit RADIUS

Adicione o PIX IP e a chave ao arquivo de clientes.

all Password="all"
Service-Type = Shell-User

TACACS+ Configuração do programa gratuito de servidor

# Handshake with router--PIX needs 'tacacs-server host #.#.#.# cisco':
key = "cisco"

user = all {
default service = permit
login = cleartext "all"
}

user = telnetonly {
login = cleartext "telnetonly"
cmd = telnet { 
permit .*
}
}

user = httponly {
login = cleartext "httponly"
cmd = http { 
permit .*
}
}

user = ftponly {
login = cleartext "ftponly"
cmd = ftp { 
permit .*
}
}

Etapas de depuração

• Certifique-se de que as configurações de PIX estejam funcionando antes de adicionar autenticação, autorização e contabilização (AAA).

  • Se você não puder passar o tráfego antes de instituir AAA, não poderá fazê-lo posteriormente.

• Ative o registro no PIX:

  • O comando logging console debugging não deve ser usado em um sistema muito carregado.

  • O comando logging buffered debugging poder ser utilizado. A saída dos comandos show logging ou logging pode então ser enviada a um Servidor syslog e examinada.

• Certifique-se de que a depuração esteja ativada para os servidores TACACS+ ou RADIUS. Todos os servidores possuem esta opção.

Exemplos de debug de autenticação a partir de PIX

Depuração de PIX - boa autenticação - RADIUS

Este é um exemplo de uma depuração de PIX com boa autenticação:

109001: Auth start for user '???' from 171.68.118.100/1116 to 9.9.9.11/23
 109011: Authen Session Start: user 'bill', sid 1
 109005: Authentication succeeded for user 'bill' 
   from 171.68.118.100/1116 to 9.9.9.11/23
 109012: Authen Session End: user 'bill', sid 1, elapsed 1 seconds
 302001: Built TCP connection 1 for faddr 9.9.9.11/23 gaddr 9.9.9.10/1116 
   laddr 171.68.118.100/1116 (bill) 

Depuração de PIX - Autenticação Incorreta (Nome de Usuário ou Senha) - RADIUS

Este é um exemplo de uma depuração de PIX com autenticação incorreta (nome de usuário ou senha). O usuário vê quatro conjuntos de nome de usuário/senha. A mensagem "Erro: número máximo de tentativas excedido" é exibida.

Observação: se esta for uma tentativa de FTP, uma tentativa é permitida. Para HTTP, são permitidas repetições infinitas.

109001: Auth start for user '???' from 171.68.118.100/1132 to 9.9.9.11/23
 109006: Authentication failed for user '' from 
   171.68.118.100/1132 to 9.9.9.11/23 

Depuração de PIX - Servidor inoperante - RADIUS

Este é um exemplo de uma depuração de PIX com o servidor inoperante. O usuário vê o nome de usuário uma vez. O servidor então "trava" e solicita uma senha (três vezes).

109001: Auth start for user '???' from 171.68.118.100/1151 to 9.9.9.11/23
 109002: Auth from 171.68.118.100/1151 to 9.9.9.11/23 failed 
   (server 171.68.118.101 failed)
 109002: Auth from 171.68.118.100/1151 to 9.9.9.11/23 failed 
   (server 171.68.118.101 failed) 

Depuração de PIX - boa autenticação - TACACS+

Este é um exemplo de uma depuração de PIX com boa autenticação:

109001: Auth start for user '???' from 171.68.118.100/1200 to 9.9.9.11/23
 109011: Authen Session Start: user 'cse', sid 3
 109005: Authentication succeeded for user 'cse'
   from 171.68.118.100/1200 to 9.9.9.11/23
 109012: Authen Session End: user 'cse', sid 3, elapsed 1 seconds
 302001: Built TCP connection 3 for faddr 9.9.9.11/23 gaddr 9.9.9.10/1200 
  laddr 171.68.118.100/1200 (cse) 

Depuração de PIX - Autenticação Incorreta (Nome de Usuário ou Senha) - TACACS+

Este é um exemplo de uma depuração de PIX com autenticação incorreta (nome de usuário ou senha). O usuário vê quatro conjuntos de nome de usuário/senha. A mensagem "Erro: número máximo de tentativas excedido" é exibida.

Observação: se esta for uma tentativa de FTP, uma tentativa é permitida. Para HTTP, são permitidas repetições infinitas.

109001: Auth start for user '???' from 171.68.118.100/1203 to 9.9.9.11/23
 109006: Authentication failed for user ''
   from 171.68.118.100/1203 to 9.9.9.11/23 

Depuração de PIX - Servidor inoperante - TACACS+

Este é um exemplo de uma depuração de PIX com o servidor inoperante. O usuário vê o nome de usuário uma vez. Imediatamente, a mensagem "Erro: número máximo de tentativas excedidas" será exibida.

109001: Auth start for user '???' from 171.68.118.100/1212 to 9.9.9.11/23
 109002: Auth from 171.68.118.100/1212 to 9.9.9.11/23 failed 
   (server 171.68.118.101 failed)
 109002: Auth from 171.68.118.100/1212 to 9.9.9.11/23 failed 
   (server 171.68.118.101 failed)
 109002: Auth from 171.68.118.100/1212 to 9.9.9.11/23 failed 
   (server 171.68.118.101 failed)
 109006: Authentication failed for user '' from 171.68.118.100/1212 to 9.9.9.11/23 

Autorização de adição

Como a autorização não é válida sem autenticação, a autorização é necessária para a mesma origem e o mesmo destino:

aaa authorization any outbound 171.68.118.0 255.255.255.0 9.9.9.11 
   255.255.255.255 tacacs+|radius

Ou, se todos os três serviços de saída tiverem sido autenticados originalmente:

aaa authorization http outbound 0.0.0.0 0.0.0.0 0.0.0.0 
   0.0.0.0 tacacs+|radius
aaa authorization ftp outbound 0.0.0.0 0.0.0.0 0.0.0.0 
   0.0.0.0 tacacs+|radius
aaa authorization telnet outbound 0.0.0.0 0.0.0.0 0.0.0.0 
   0.0.0.0 tacacs+|radius

Exemplos de depuração de autenticação e de autorização do PIX

Depuração de PIX - boa autenticação e autorização - TACACS+

Este é um exemplo de uma depuração de PIX com boa autenticação e autorização:

109001: Auth start for user '???' from 171.68.118.100/1218 to 9.9.9.11/23
 109011: Authen Session Start: user 'telnetonly', sid 5
 109005: Authentication succeeded for user 'telnetonly' from 
   171.68.118.100/1218 to 9.9.9.11/23
 109011: Authen Session Start: user 'telnetonly', sid 5
 109007: Authorization permitted for user 'telnetonly' from 
   171.68.118.100/1218 to 9.9.9.11/23
 109012: Authen Session End: user 'telnetonly', sid 5, elapsed 1 seconds
 302001: Built TCP connection 4 for faddr 9.9.9.11/23 gaddr 9.9.9.10/1218 
   laddr 171.68.118.100/1218 (telnetonly) 

Depuração de PIX - boa autenticação, mas falha na autorização - TACACS+

Este é um exemplo de uma depuração de PIX com boa autenticação, mas falha na autorização:

109001: Auth start for user '???' from 171.68.118.100/1223 to 9.9.9.11/23
 109011: Authen Session Start: user 'httponly', sid 6
 109005: Authentication succeeded for user 'httponly' 
   from 171.68.118.100/1223 to 9.9.9.11/23
 109008: Authorization denied for user 'httponly' 
   from 171.68.118.100/1223 to 9.9.9.11/23 

Depuração de PIX - Autenticação Incorreta, Autorização Não Tentada - TACACS+

Este é um exemplo de uma depuração de PIX com autenticação e autorização, mas não houve tentativa de autorização devido a autenticação incorreta (nome de usuário ou senha). O usuário vê quatro conjuntos de nome de usuário/senha. A mensagem "Erro: número máximo de tentativas excedido" é exibida

Observação: se esta for uma tentativa de FTP, uma tentativa é permitida. Para HTTP, são permitidas repetições infinitas.

109001: Auth start for user '???' from 171.68.118.100/1228 to 9.9.9.11/23
 109006: Authentication failed for user '' from 171.68.118.100/1228 
   to 9.9.9.11/23 

Depuração de PIX - Autenticação/Autorização, Servidor Desativado - TACACS+

Este é um exemplo de uma depuração de PIX com autenticação e autorização. O servidor está inoperante. O usuário vê o nome de usuário uma vez. Imediatamente, o "Erro: número máximo de tentativas excedido" é exibido.

109001: Auth start for user '???' from 171.68.118.100/1237 to 9.9.9.11/23
 109002: Auth from 171.68.118.100/1237 to 9.9.9.11/23 failed 
   (server 171.68.118.101 failed)
 109002: Auth from 171.68.118.100/1237 to 9.9.9.11/23 failed 
   (server 171.68.118.101 failed)
 109002: Auth from 171.68.118.100/1237 to 9.9.9.11/23 failed 
   (server 171.68.118.101 failed)
 109006: Authentication failed for user '' from 171.68.118.100/1237 
   to 9.9.9.11/23 

Adicionar relatório

TACACS+

aaa accounting any outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0: tacacs+

A depuração tem a mesma aparência se a contabilidade estiver ativada ou desativada. No entanto, no momento em que o relatório foi "Desenvolvido", um registro contábil de "início" será enviado. Além disso, no momento da "Desmontagem", um registro contábil de "interrupção" é enviado:

109011: Authen Session Start: user 'telnetonly', sid 13
 109005: Authentication succeeded for user 'telnetonly' 
   from 171.68.118.100/1299 to 9.9.9.11/23
 109011: Authen Session Start: user 'telnetonly', sid 13
 109007: Authorization permitted for user 'telnetonly' 
   from 171.68.118.100/1299 to 9.9.9.11/23
 109012: Authen Session End: user 'telnetonly', sid 13, elapsed 1 seconds
 302001: Built TCP connection 11 for faddr 9.9.9.11/23 gaddr 9.9.9.10/1299 
  laddr 171.68.118.100/1299 (telnetonly)
 302002: Teardown TCP connection 11 faddr 9.9.9.11/23 gaddr 9.9.9.10/1299 
  laddr 171.68.118.100/1299 duration 0:00:02 bytes 112

Os registros de contabilização TACACS+ se parecem com esta saída (eles são do CiscoSecure UNIX; os registros no Cisco Secure Windows podem ser delimitados por vírgula):

Tue Sep 29 11:00:18 1998 redclay cse PIX 171.68.118.103 
   start task_id=0x8 foreign_ip=9.9.9.11 
  local_ip=171.68.118.100 cmd=telnet
 Tue Sep 29 11:00:36 1998 redclay cse PIX 171.68.118.103 
   stop task_id=0x8 foreign_ip=9.9.9.11 
  local_ip=171.68.118.100 cmd=telnet elapsed_time=17 
   bytes_in=1198 bytes_out=62
 Tue Sep 29 11:02:08 1998 redclay telnetonly PIX 171.68.118.103 
   start task_id=0x9 foreign_ip=9.9.9.11 
  local_ip=171.68.118.100 cmd=telnet
 Tue Sep 29 11:02:27 1998 redclay telnetonly PIX 171.68.118.103 
   stop task_id=0x9 foreign_ip=9.9.9.11 
  local_ip=171.68.118.100 cmd=telnet elapsed_time=19 
   bytes_in=2223 bytes_out=64

Os campos são divididos como visto aqui:

DAY MO DATE TIME YEAR NAME_OF_PIX USER SENDER PIX_IP START/STOP  
   UNIQUE_TASK_ID DESTINATION SOURCE 
   SERVICE <TIME> <BYTES_IN> <BYTES_OUT> 

RADIUS

aaa accounting any outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 radius

A depuração tem a mesma aparência se a contabilidade estiver ativada ou desativada. No entanto, no momento em que o relatório foi "Desenvolvido", um registro contábil de "início" será enviado. Além disso, no momento da "Desmontagem", um registro contábil de "interrupção" é enviado:

109001: Auth start for user '???' from 171.68.118.100/1316 to 9.9.9.11/23
 109011: Authen Session Start: user 'bill', sid 16
 109005: Authentication succeeded for user 'bill' 
   from 171.68.118.100/1316 to 9.9.9.11/23
 109012: Authen Session End: user 'bill', sid 16, elapsed 1 seconds
 302001: Built TCP connection 14 for faddr 9.9.9.11/23 gaddr 9.9.9.10/1316 
  laddr 171.68.118.100/1316 (bill)
 302002: Teardown TCP connection 14 faddr 9.9.9.11/23 gaddr 9.9.9.10/1316 
  laddr 171.68.118.100/1316 duration 0:00:03 bytes 112

Os registros de tarifação RADIUS se parecem com esta saída (eles são do Cisco Secure UNIX; os do Cisco Secure Windows são delimitados por vírgula):

Mon Sep 28 10:47:01 1998
Acct-Status-Type = Start
Client-Id = 171.68.118.103
Login-Host = 171.68.118.100
Login-TCP-Port = 23
Acct-Session-Id = "0x00000004"
User-Name = "bill"

Mon Sep 28 10:47:07 1998
Acct-Status-Type = Stop
Client-Id = 171.68.118.103
Login-Host = 171.68.118.100
Login-TCP-Port = 23
Acct-Session-Id = "0x00000004"
User-Name = "bill"
Acct-Session-Time = 5

Os campos são divididos como visto aqui:

Acct-Status-Type = START or STOP
Client-ID = IP_OF_PIX
Login_Host = SOURCE_OF_TRAFFIC
Login-TCP-Port = #
Acct-Session-ID = UNIQUE_ID_PER_RADIUS_RFC
User-name = <whatever>
<Acct-Session-Time = #>

Max-sessions e visualização de usuários que fizeram login

Alguns servidores TACACS e RADIUS têm recursos de "sessão máxima" ou "visualizar usuários conectados". A habilidade de realizar max-sessions ou verificar usuários que fizeram login depende dos registros de contabilidade. Quando há um registro de "início" de contabilização gerado, mas nenhum registro de "parada", o servidor TACACS ou RADIUS supõe que a pessoa ainda está conectada (isto é, tem uma sessão através do PIX). Isto funciona bem para conexões Telnet e FTP devido à natureza das conexões. Como um exemplo:

O usuário executa telnet de 171.68.118.100 para 9.9.9.25 através do PIX, autenticando no caminho:

(pix) 109001: Auth start for user '???' from 171.68.118.100/1200 
   to 9.9.9.25/23
(pix) 109011: Authen Session Start: user 'cse', sid 3
(pix) 109005: Authentication succeeded for user 'cse' from 171.68.118.100/12
00 to 9.9.9.25/23
(pix) 302001: Built TCP connection 5 for faddr 9.9.9.25/23 gaddr 9.9.9.10/12
00 laddr 171.68.118.100/1200 (cse)
(server start account) Sun Nov  8 16:31:10 1998 rtp-pinecone.rtp.cisco.com
    cse PIX     171.68.118.100  start   task_id=0x3     foreign_ip=9.9.9.25
    local_ip=171.68.118.100     cmd=telnet

Como o servidor viu um registro de "início", mas não um registro de "interrupção" (nesse momento), o servidor mostra que o usuário "Telnet" está conectado. Se o usuário tentar outra conexão que exija autenticação (talvez de outro PC) e se max-sessions estiver definido como "1" no servidor para esse usuário, a conexão será recusada pelo servidor.

O usuário realiza negócios no host de destino e depois sai (passa 10 minutos ali).

(pix) 302002: Teardown TCP connection 5 faddr 9.9.9.25/80 gaddr 9.9.9.10/128 1 
  laddr 171.68.118.100/1281 duration 0:00:00 bytes 1907 (cse)

 (server stop account) Sun Nov  8 16:41:17 1998  
   rtp-pinecone.rtp.cisco.com cse PIX
   171.68.118.100  stop task_id=0x3 foreign_ip=9.9.9.25 
   local_ip=171.68.118.100 
   cmd=telnet elapsed_time=5  bytes_in=98 bytes_out=36 

Se o uauth for 0 (ou seja, autenticar sempre) ou mais (autenticar uma vez e não novamente durante o período de uauth), haverá um registro contábil recortado para cada site acessado.

Mas o HTTP funciona de forma diferente devido à natureza do protocolo. Este é um exemplo:

O usuário navega de 171.68.118.100 a 9.9.9.25 pelo PIX.

(pix) 109001: Auth start for user '???' from 171.68.118.100/1281    
   to 9.9.9.25 /80 (pix) 109011: Authen Session Start: user 'cse', sid 5 

 (pix) 109005: Authentication succeeded for user 'cse' 
   from 171.68.118.100/12 81 to 9.9.9.25/80

 (pix) 302001: Built TCP connection 5 for faddr 9.9.9.25/80 gaddr 9.9.9.10/12 81 
   laddr 171.68.118.100/1281 (cse)

 (server start account) Sun Nov  8 16:35:34 1998 rtp-pinecone.rtp.cisco.com     
   cse PIX     171.68.118.100  start   task_id=0x9     foreign_ip=9.9.9.25     
   local_ip=171.68.118.100     cmd=http

 (pix) 302002: Teardown TCP connection 5 faddr 9.9.9.25/80 gaddr 9.9.9.10/128 1 
   laddr 171.68.118.100/1281 duration 0:00:00 bytes 1907 (cse)

 (server stop account) Sun Nov  8 16:35.35 1998 rtp-pinecone.rtp.cisco .com      
   cse     PIX     171.68.118.100  stop  task_id=0x9   foreign_ip =9.9.9.25 
     
   local_ip=171.68.118.100 cmd=http   elapsed_time=0  
      bytes_ in=1907   bytes_out=223 

O usuário lê uma página da Web baixada.

Anote a hora. Esse download levou um segundo (houve menos de um segundo entre o início e o fim do registro). O usuário ainda está conectado ao site e a conexão ainda está aberta? No.

Max-sessions ou visualizar usuários que fizeram login funcionará aqui? Não, porque o tempo de conexão em HTTP é muito curto. O tempo entre "Built" e "Teardown" (o registro "start" e "stop") é de subsegundos. Não haverá um registro de "início" sem um registro de "interrupção", uma vez que os registros ocorrem virtualmente no mesmo instante. Ainda haverá o registro de "start" e "stop" enviado ao servidor em cada transação se uauth for definido como 0 ou um número superior. No entanto, as sessões máximas e os usuários conectados da visualização não funcionarão devido à natureza das conexões HTTP.

Usar o comando de exceção

Em nossa rede, se decidirmos que um usuário de saída (171.68.118.100) não precisa ser autenticado, podemos fazer o seguinte:

aaa authentication any outbound 171.68.118.0 255.255.255.0 9.9.9.11 
   255.255.255.255 tacacs+
aaa authentication except outbound 171.68.118.100 255.255.255.255 9.9.9.11 
   255.255.255.255 tacacs+

Autenticação para o próprio PIX

A discussão anterior é sobre a autenticação do tráfego Telnet (e HTTP, FTP) através do PIX. Com a versão 4.2.2, as conexões Telnet com o PIX também podem ser autenticadas. Aqui, definimos os IPs de caixas que podem fazer Telnet para o PIX:

telnet 171.68.118.100 255.255.255.255

Em seguida, forneça a senha Telnet: passwd ww.

Adicione o novo comando para autenticar usuários que utilizam Telnet para o PIX:

aaa authentication telnet console tacacs+|radius

Quando os usuários executam Telnet para o PIX, é solicitada a senha Telnet ("ww"). O PIX também solicita o nome de usuário e a senha TACACS+ ou RADIUS.

Alterando o prompt visto pelos usuários

Se você adicionar o comando: auth-prompt YOU_ARE_AT_THE_PIX, os usuários que passarem pelo PIX verão a sequência:

YOU_ARE_AT_THE_PIX [at which point you enter the username]
 Password:[at which point you enter the password]

Ao chegar ao destino final, os prompts "Nome de usuário:" e "Senha:" serão exibidos. Esse prompt afeta apenas os usuários que passam pelo PIX, não o PIX.

Observação: não há registros contábeis cortados para acesso ao PIX.

Informações Relacionadas

• Suporte ao software Cisco PIX Firewall
• Referências do comando Cisco Secure PIX Firewall
• Solicitações de Comentários (RFCs)
• Suporte Técnico e Documentação - Cisco Systems