本文档提供了使用思科安全访问控制系统(ACS) 5.x及更高版本配置基于用户AD组成员身份的TACACS+身份验证和命令授权的示例。ACS使用Microsoft Active Directory (AD)作为外部身份库来存储用户、计算机、组和属性等资源。
尝试进行此配置之前,请确保满足以下要求:
ACS 5.x已完全集成到所需的AD域。如果ACS未与所需的AD域集成,请参阅ACS 5.x及更高版本:与Microsoft Active Directory集成的配置示例获取详细信息,以便执行集成任务。
本文档中的信息基于以下软件和硬件版本:
思科安全ACS 5.3
思科IOS®软件版本12.2(44)SE6。
注意:可以在所有Cisco IOS设备上完成此配置。
Microsoft Windows Server 2003域
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
有关文档约定的更多信息,请参考 Cisco 技术提示约定。
在开始配置ACS 5.x以进行身份验证和授权之前,ACS应已成功与Microsoft AD集成。如果ACS未与所需的AD域集成,请参阅ACS 5.x及更高版本:与Microsoft Active Directory集成的配置示例获取详细信息,以便执行集成任务。
在本节中,您将两个AD组映射到两个不同的命令集和两个Shell配置文件,一个在Cisco IOS设备上具有完全访问权限,另一个具有有限访问权限。
使用管理员凭证登录ACS GUI。
选择Users and Identity Stores > External Identity Stores > Active Directory,并验证ACS是否已加入所需的域,以及连接状态是否显示为connected。
单击Directory Groups选项卡。
单击选择。
在配置的后面部分选择需要映射到Shell配置文件和命令集的组。Click OK.
点击Save Changes。
选择Access Policies > Access Services > Service Selection Rules 并标识处理TACACS+身份验证的访问服务。在本示例中,它是Default Device Admin。
选择Access Policies > Access Services > Default Device Admin > Identity,然后单击Identity Source旁边的Select。
选择AD1并单击OK。
点击Save Changes。
选择Access Policies > Access Services > Default Device Admin > Authorization,然后单击Customize。
将AD1:ExternalGroups从Available复制到Customize Conditions的Selected部分,然后将Shell Profile和Command Sets从Available移动到Customize Results的Selected部分。现在请单击 OK。
单击Create以创建新规则。
在AD1:ExternalGroups条件中点击选择。
选择要在Cisco IOS设备上提供完全访问权限的组。Click OK.
在Shell Profile字段中单击Select。
单击Create为完全访问用户创建一个新的Shell配置文件。
在常规选项卡中提供名称和说明(可选),然后单击常见任务选项卡。
将Default Privilege和Maximum Privilege更改为Static,将值15更改。单击“Submit”。
现在选择新创建的完全访问Shell配置文件(本示例中为Full-Privilege),然后单击OK。
在Command Sets字段中单击Select。
单击Create为Full-Access用户创建新的命令集。
提供名称,并确保选中Permit any command that is not in the table below复选框。单击“Submit”。
注意:有关命令集的详细信息,请参阅创建、复制和编辑用于设备管理的命令集。
Click OK.
Click OK.这将完成Rule-1的配置。
点击创建,为有限访问用户创建新规则。
选择AD1:ExternalGroups,然后单击Select。
选择要提供有限访问权限的组(或)组并单击OK。
在Shell Profile字段中单击Select。
单击Create以创建一个新的Shell配置文件进行有限访问。
在常规选项卡中提供名称和说明(可选),然后单击常见任务选项卡。
将Default Privilege和Maximum Privilege更改为Static,分别使用值1和15。单击“Submit”。
Click OK.
在Command Sets字段中单击Select。
单击Create为有限访问组创建新的命令集。
提供名称,并确保未选中允许不在下表中的任何命令旁边的复选框。在命令部分提供的空白处键入show后,单击Add,并在授予部分中选择Permit,以便仅允许有限访问组中的用户使用show命令。
类似地,使用Add为有限访问组中的用户添加允许的任何其他命令。单击“Submit”。
注意:有关命令集的详细信息,请参阅创建、复制和编辑用于设备管理的命令集。
Click OK.
Click OK.
点击Save Changes。
单击Create,以便将Cisco IOS设备添加为ACS上的AAA Client。
为TACACS+提供名称、IP地址、共享密钥,然后单击提交。
完成以下步骤以配置Cisco IOS设备和ACS以进行身份验证和授权。
如下所示,使用username命令创建一个对回退具有完全权限的本地用户:
username admin privilege 15 password 0 cisco123!
提供ACS的IP地址以启用AAA并添加ACS 5.x作为TACACS服务器。
aaa new-model tacacs-server host 192.168.26.51 key cisco123
注意:密钥应该与ACS上为此Cisco IOS设备提供的共享密钥匹配。
如下所示,使用test aaa 命令测试TACACS服务器的可达性。
test aaa group tacacs+ user1 xxxxx legacy Attempting authentication test to server-group tacacs+ using tacacs+ User was successfully authenticated.
上述命令的输出显示TACACS服务器可访问,并且用户已成功通过身份验证。
注意:用户1和密码xxx属于AD。如果测试失败,请确保上一步中提供的共享密钥正确。
配置登录和启用身份验证,然后使用Exec和命令授权,如下所示:
aaa authentication login default group tacacs+ local aaa authentication enable default group tacacs+ enable aaa authorization exec default group tacacs+ local aaa authorization commands 0 default group tacacs+ local aaa authorization commands 1 default group tacacs+ local aaa authorization commands 15 default group tacacs+ local aaa authorization config-commands
注意:如果TACACS服务器无法访问,Local和Enable关键字分别用于回退到Cisco IOS本地用户和启用密钥。
为了验证身份验证和授权,请通过Telnet登录到Cisco IOS设备。
以user1身份通过Telnet连接到Cisco IOS设备,该用户属于AD中的完全访问组。Network Admins group是AD中映射到ACS上设置的完全特权外壳配置文件和完全访问命令的组。尝试运行任何命令以确保您具有完全访问权限。
以user2身份通过Telnet登录到Cisco IOS设备,该用户属于AD中的有限访问组。(网络维护团队组是AD中映射到ACS上的有限权限外壳配置文件和Show-Access命令集的组)。如果您尝试运行Show-Access命令集中提到的命令以外的任何命令,应该会收到Command Authorization Failed错误,说明用户2具有有限的访问权限。
登录ACS GUI并启动Monitoring and Reports viewer。选择AAA Protocol > TACACS+Authorization以验证user1和user2执行的活动。
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
20-Jun-2012 |
初始版本 |