ACS 5.x:基于AD组成员身份的TACACS+身份验证和命令授权配置示例

下载选项

  • PDF     (1.0 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (724.6 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (2.2 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2012 年 6 月 29 日
文档 ID:113590

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档提供了使用思科安全访问控制系统(ACS) 5.x及更高版本配置基于用户AD组成员身份的TACACS+身份验证和命令授权的示例。ACS使用Microsoft Active Directory (AD)作为外部身份库来存储用户、计算机、组和属性等资源。

先决条件

要求

尝试进行此配置之前,请确保满足以下要求:

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 思科安全ACS 5.3

  • 思科IOS®软件版本12.2(44)SE6。

    注意:可以在所有Cisco IOS设备上完成此配置。

  • Microsoft Windows Server 2003域

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档约定的更多信息,请参考 Cisco 技术提示约定。

配置

配置ACS 5.x以进行身份验证和授权

在开始配置ACS 5.x以进行身份验证和授权之前,ACS应已成功与Microsoft AD集成。如果ACS未与所需的AD域集成,请参阅ACS 5.x及更高版本:与Microsoft Active Directory集成的配置示例获取详细信息,以便执行集成任务。

在本节中,您将两个AD组映射到两个不同的命令集和两个Shell配置文件,一个在Cisco IOS设备上具有完全访问权限,另一个具有有限访问权限。

  1. 使用管理员凭证登录ACS GUI。

  2. 选择Users and Identity Stores > External Identity Stores > Active Directory,并验证ACS是否已加入所需的域,以及连接状态是否显示为connected

    单击Directory Groups选项卡。

    acs5-tacas-config-01.gif

  3. 单击选择

    acs5-tacas-config-02.gif

  4. 在配置的后面部分选择需要映射到Shell配置文件和命令集的组。Click OK.

    acs5-tacas-config-03.gif

  5. 点击Save Changes

    acs5-tacas-config-04.gif

  6. 选择Access Policies > Access Services > Service Selection Rules 并标识处理TACACS+身份验证的访问服务。在本示例中,它是Default Device Admin

    acs5-tacas-config-05.gif

  7. 选择Access Policies > Access Services > Default Device Admin > Identity,然后单击Identity Source旁边的Select

    acs5-tacas-config-06.gif

  8. 选择AD1并单击OK

    acs5-tacas-config-07.gif

  9. 点击Save Changes

    acs5-tacas-config-08.gif

  10. 选择Access Policies > Access Services > Default Device Admin > Authorization,然后单击Customize

    acs5-tacas-config-09.gif

  11. 将AD1:ExternalGroups从Available复制到Customize Conditions的Selected部分,然后将Shell Profile和Command Sets从Available移动到Customize Results的Selected部分。现在请单击 OK

    acs5-tacas-config-10.gif

  12. 单击Create以创建新规则。

    acs5-tacas-config-11.gif

  13. AD1:ExternalGroups条件中点击选择

    acs5-tacas-config-12.gif

  14. 选择要在Cisco IOS设备上提供完全访问权限的组。Click OK.

    acs5-tacas-config-13.gif

  15. 在Shell Profile字段中单击Select

    acs5-tacas-config-14.gif

  16. 单击Create为完全访问用户创建一个新的Shell配置文件

    acs5-tacas-config-15.gif

  17. 常规选项卡中提供名称说明(可选),然后单击常见任务选项卡。

    acs5-tacas-config-16.gif

  18. Default PrivilegeMaximum Privilege更改为Static,将值15更改。单击“Submit”。

    acs5-tacas-config-17.gif

  19. 现在选择新创建的完全访问Shell配置文件(本示例中为Full-Privilege),然后单击OK

    acs5-tacas-config-18.gif

  20. 在Command Sets字段中单击Select

    acs5-tacas-config-19.gif

  21. 单击CreateFull-Access用户创建新的命令集

    acs5-tacas-config-20.gif

  22. 提供名称,并确保选中Permit any command that is not in the table below复选框。单击“Submit”。

    注意:有关命令集的详细信息,请参阅创建、复制和编辑用于设备管理的命令集

    acs5-tacas-config-21.gif

  23. Click OK.

    acs5-tacas-config-22.gif

  24. Click OK.这将完成Rule-1的配置。

    acs5-tacas-config-23.gif

  25. 点击创建,为有限访问用户创建新规则。

    acs5-tacas-config-24.gif

  26. 选择AD1:ExternalGroups,然后单击Select

    acs5-tacas-config-25.gif

  27. 选择要提供有限访问权限的组(或)组并单击OK

    acs5-tacas-config-26.gif

  28. 在Shell Profile字段中单击Select

    acs5-tacas-config-27.gif

  29. 单击Create以创建一个新的Shell配置文件进行有限访问。

    acs5-tacas-config-28.gif

  30. 常规选项卡中提供名称说明(可选),然后单击常见任务选项卡。

    acs5-tacas-config-29.gif

  31. 将Default Privilege和Maximum Privilege更改为Static,分别使用值115。单击“Submit”。

    acs5-tacas-config-30.gif

  32. Click OK.

    acs5-tacas-config-31.gif

  33. 在Command Sets字段中单击Select

    acs5-tacas-config-32.gif

  34. 单击Create为有限访问组创建新的命令集

    acs5-tacas-config-33.gif

  35. 提供名称,并确保未选中允许不在下表中的任何命令旁边的复选框。在命令部分提供的空白处键入show后,单击Add,并在授予部分中选择Permit,以便仅允许有限访问组中的用户使用show命令。

    acs5-tacas-config-34.gif

  36. 类似地,使用Add为有限访问组中的用户添加允许的任何其他命令。单击“Submit”。

    注意:有关命令集的详细信息,请参阅创建、复制和编辑用于设备管理的命令集

    acs5-tacas-config-35.gif

  37. Click OK.

    acs5-tacas-config-36.gif

  38. Click OK.

    acs5-tacas-config-37.gif

  39. 点击Save Changes

    acs5-tacas-config-38.gif

  40. 单击Create,以便将Cisco IOS设备添加为ACS上的AAA Client

    acs5-tacas-config-39.gif

  41. TACACS+提供名称、IP地址、共享密钥,然后单击提交

    acs5-tacas-config-40.gif

配置Cisco IOS设备进行身份验证和授权

完成以下步骤以配置Cisco IOS设备和ACS以进行身份验证和授权。

  1. 如下所示,使用username命令创建一个对回退具有完全权限的本地用户:

    username admin privilege 15 password 0 cisco123!

  2. 提供ACS的IP地址以启用AAA并添加ACS 5.x作为TACACS服务器。

    aaa new-model
tacacs-server host 192.168.26.51 key cisco123

    注意:密钥应该与ACS上为此Cisco IOS设备提供的共享密钥匹配。

  3. 如下所示,使用test aaa 命令测试TACACS服务器的可达性。

    test aaa group tacacs+ user1 xxxxx legacy
Attempting authentication test to server-group tacacs+ using tacacs+
User was successfully authenticated.

    上述命令的输出显示TACACS服务器可访问,并且用户已成功通过身份验证。

    注意:用户1和密码xxx属于AD。如果测试失败,请确保上一步中提供的共享密钥正确。

  4. 配置登录和启用身份验证,然后使用Exec和命令授权,如下所示:

    aaa authentication login default group tacacs+ local
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ local
aaa authorization commands 0 default group tacacs+ local
aaa authorization commands 1 default group tacacs+ local
aaa authorization commands 15 default group tacacs+ local
aaa authorization config-commands

    注意:如果TACACS服务器无法访问,Local和Enable关键字分别用于回退到Cisco IOS本地用户和启用密钥。

验证

为了验证身份验证和授权,请通过Telnet登录到Cisco IOS设备。

  1. 以user1身份通过Telnet连接到Cisco IOS设备,该用户属于AD中的完全访问组。Network Admins group是AD中映射到ACS上设置的完全特权外壳配置文件和完全访问命令的组。尝试运行任何命令以确保您具有完全访问权限。

    acs5-tacas-config-41.gif

  2. 以user2身份通过Telnet登录到Cisco IOS设备,该用户属于AD中的有限访问组。(网络维护团队组是AD中映射到ACS上的有限权限外壳配置文件Show-Access命令集的组)。如果您尝试运行Show-Access命令集中提到的命令以外的任何命令,应该会收到Command Authorization Failed错误,说明用户2具有有限的访问权限。

    acs5-tacas-config-42.gif

  3. 登录ACS GUI并启动Monitoring and Reports viewer。选择AAA Protocol > TACACS+Authorization以验证user1和user2执行的活动。

    acs5-tacas-config-43.gif

相关信息

修订历史记录

版本 发布日期 备注
1.0
20-Jun-2012
初始版本

此文档是否有帮助?

Feedback反馈

联系我们