本檔案將提供根據使用思科安全存取控制系統(ACS) 5.x和更新版本之使用者的AD群組成員身分設定TACACS+驗證和命令授權的範例。ACS使用Microsoft Active Directory (AD)作為外部身份庫來儲存使用者、電腦、組和屬性等資源。
嘗試此組態之前,請確保符合以下要求:
ACS 5.x已完全整合到所需的AD域。如果ACS未與所需的AD域整合,請參閱ACS 5.x及更高版本:與Microsoft Active Directory整合配置示例以獲取詳細資訊,以便執行整合任務。
本文中的資訊係根據以下軟體和硬體版本:
Cisco安全ACS 5.3
Cisco IOS®軟體版本12.2(44)SE6。
注意:此配置可以在所有Cisco IOS裝置上完成。
Microsoft Windows Server 2003域
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
在開始配置ACS 5.x進行身份驗證和授權之前,ACS應已成功與Microsoft AD整合。如果ACS未與所需的AD域整合,請參閱ACS 5.x及更高版本:與Microsoft Active Directory整合配置示例以獲取詳細資訊,以便執行整合任務。
在本節中,您將兩個AD組對映到兩個不同的命令集和兩個Shell配置檔案,一個在Cisco IOS裝置上具有完全訪問許可權,另一個具有有限訪問許可權。
使用管理員憑證登入到ACS GUI。
選擇Users and Identity Stores > External Identity Stores > Active Directory,並驗證ACS是否已加入所需的域,以及連線狀態是否顯示為connected。
按一下Directory Groups頁籤。
按一下選擇。
選擇需要對映到配置後面部分的Shell配置檔案和命令集的組。按一下「OK」(確定)。
按一下Save Changes。
選擇Access Policies > Access Services > Service Selection Rules並標識處理TACACS+身份驗證的訪問服務。在本示例中,它是Default Device Admin。
選擇Access Policies > Access Services > Default Device Admin > Identity,然後按一下Identity Source旁邊的Select。
選擇AD1並按一下OK。
按一下Save Changes。
選擇Access Policies > Access Services > Default Device Admin > Authorization,然後按一下Customize。
將AD1:ExternalGroups從可用複製到自訂條件的選取區段,然後將Shell設定檔和指令集從可用移動到自訂結果區段的選取區段中。現在請按一下OK。
按一下Create以建立新規則。
在AD1:ExternalGroups條件中按一下Select。
選擇要在Cisco IOS裝置上提供完全訪問許可權的組。按一下「OK」(確定)。
在「Shell Profile」欄位中按一下Select。
按一下Create為擁有完全訪問許可權的使用者建立新的Shell配置檔案。
在常規頁籤中提供名稱和說明(可選),然後按一下常見任務頁籤。
將Default Privilege和Maximum Privilege更改為Static,值15。按一下Submit。
現在選擇新建立的完全訪問Shell配置檔案(在本示例中為Full-Privilege),然後按一下OK。
在Command Sets欄位中按一下Select。
按一下Create為Full-Access使用者建立一個新的命令集。
提供名稱,並確保選中Permit any command that is not in the table below覈取方塊。按一下Submit。
註:有關命令集的詳細資訊,請參閱建立、複製和編輯用於裝置管理的命令集。
按一下「OK」(確定)。
按一下「OK」(確定)。這將完成Rule-1的配置。
點選建立為有限訪問使用者建立新規則。
選擇AD1:ExternalGroups,然後按一下Select。
選擇要提供有限訪問許可權的組(或)組,然後按一下OK。
在「Shell Profile」欄位中按一下Select。
按一下Create為受限訪問建立新的Shell配置檔案。
在常規頁籤中提供名稱和說明(可選),然後按一下常見任務頁籤。
分別將預設許可權和最大許可權更改為靜態,值為1和15。按一下Submit。
按一下「OK」(確定)。
在Command Sets欄位中按一下Select。
按一下Create為受限訪問組建立新的命令集。
提供名稱,並確保未選中Permit any command that not in the table旁邊的覈取方塊。在命令部分提供的空白處鍵入show後,按一下Add,然後在Grant部分中選擇Permit,以便僅允許有限訪問組中的使用者使用show命令。
類似地,使用Add增加任何其他要允許有限訪問組內的使用者使用的命令。按一下Submit。
註:有關命令集的詳細資訊,請參閱建立、複製和編輯用於裝置管理的命令集。
按一下「OK」(確定)。
按一下「OK」(確定)。
按一下Save Changes。
按一下Create以將Cisco IOS裝置增加為ACS上的AAA Client。
為TACACS+提供名稱、IP地址、共用金鑰,然後按一下提交。
完成以下步驟以配置Cisco IOS裝置和ACS以進行身份驗證和授權。
使用username命令建立一個具有完全回退許可權的本地使用者,如下所示:
username admin privilege 15 password 0 cisco123!
提供ACS的IP地址以啟用AAA並增加ACS 5.x作為TACACS伺服器。
aaa new-model tacacs-server host 192.168.26.51 key cisco123
注意:金鑰應與ACS上為此Cisco IOS裝置提供的共用金鑰匹配。
使用test aaa命令測試TACACS伺服器可接通性,如下所示。
test aaa group tacacs+ user1 xxxxx legacy Attempting authentication test to server-group tacacs+ using tacacs+ User was successfully authenticated.
上一個命令的輸出顯示,TACACS伺服器可訪問,並且使用者已成功透過身份驗證。
注意:User1和密碼xxx屬於AD。如果測試失敗,請確保上一步中提供的共用金鑰正確。
配置登入並啟用身份驗證,然後使用Exec和命令授權,如下所示:
aaa authentication login default group tacacs+ local aaa authentication enable default group tacacs+ enable aaa authorization exec default group tacacs+ local aaa authorization commands 0 default group tacacs+ local aaa authorization commands 1 default group tacacs+ local aaa authorization commands 15 default group tacacs+ local aaa authorization config-commands
注意:如果TACACS伺服器無法訪問,則Local和Enable關鍵字分別用於回退到Cisco IOS本地使用者和啟用金鑰。
為了驗證身份驗證和授權,請透過Telnet登入到Cisco IOS裝置。
以user1的身份透過Telnet連線到Cisco IOS裝置,該使用者屬於AD中的完全訪問組。Network Admins組是AD中對映到ACS上設定的完全許可權外殼配置檔案和完全訪問命令的組。嘗試運行任何命令以確保您具有完全訪問許可權。
以user2身份透過Telnet連線到Cisco IOS裝置,該使用者屬於AD中的有限訪問組。(網路維護團隊組是AD中對映到ACS上有限許可權外殼配置檔案和Show-Access命令集的組)。如果您嘗試運行Show-Access命令集中提到的命令以外的任何命令,您應該收到Command Authorization Failed錯誤,其中顯示user2具有有限的訪問許可權。
登入到ACS GUI並啟動Monitoring and Reports viewer。選擇AAA Protocol > TACACS+Authorization以驗證user1和user2所執行的活動。
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
20-Jun-2012 |
初始版本 |