[toc:faq] Введение Cisco Secure ACS — основной компонент решений по сетевой безопасности в системах доверительных отношений и идентификации Cisco. Он расширяет безопасный доступ, объединяя аутентификацию, пользовательский и административный доступ и управление политиками на базе централизованной сетевой инфраструктуры идентификации, что обеспечивает дополнительную гибкость и мобильность, повышая уровень безопасности и увеличивая результативность работы пользователей. Настроем разграниченный доступ для администрации IOS устройств. Настройка авторизации/аутентификации для IOS устройств на ACS 5 1. Создание устройства на ACS: Необходимо задать имя, адрес, и пароль для протокола который мы будем использовать, в данном случае TACACS. Для этого перейдем в Network Resources > Network Devices and AAA Clients Нажмем Create. Мы можем поместить устройство в группы по местоположению или по типу устройств, это позволит в дальнейшем настраивать гибкую систему авторизации. 2. Создадим двух пользователей, одного администратора, и второго с ограниченными правами. Необходимо задать Имя и пароль пользователя. Для этого перейдем в Users and Identity Stores > Internal Identity Stores > Users Нажмем Create. 3. По умолчанию создано правило, которое по протоколу (RADIUS/TACACS) определяет в какую сервис группу мы попадем. 4. Настроим для двух пользователей Privilege level. Для пользователя admin Privilege Level будет 15, для пользователя user Privilege level будет 10. Для этого перейдем в Policy Elements > Authorization and Permissions > Network Access > Authorization Profiles Нажмем Create. Нам понадобится вкладка Common Tasks 5. Разрешим пользователю admin, использовать полный набор доступных команд, а пользователю user только просматривать интерфейсы, и свой privilege level. Для этого перейдем в Policy Elements > Authorization and Permissions > Device Administration > Command Sets Нажмем Create. 6. Теперь настроим правило, которое по имени пользователя определит в какую группу попадет пользователь и какими правами он будет обладать. Для этого перейдем в Access Policies > Access Services > Default Device Admin > Authorization Нажмем Create. Настройка авторизации/аутентификации/аккаунтинга на IOS устройствах 1. Настроим tacacs-server с помощью следующих команд: tacacs server TACACS address ipv4 192.168.1.3 key cisco 2. Настройка аутентификации. Для этого создадим лист аутентификации AUTH, и назначим его на line vty 0 4. Помимо этого будем аутентифицировать enable режим. aaa authentication login AUTH group tacacs+ local aaa authentication enable default group tacacs+ enable line vty 0 4 login authentication AUTH 3. Настройка авторизации. Для этого создадим лист авторизации команд COM и назначим его на line vty 0 4. aaa authorization exec default group tacacs+ local aaa authorization commands 1 COM group tacacs+ local aaa authorization commands 10 COM group tacacs+ local aaa authorization commands 15 COM group tacacs+ local aaa authorization config-commands line vty 0 4 authorization commands 1 COM authorization commands 10 COM authorization commands 15 COM 4. С такими настройками мы получаем следующий результат: Телнет подключение к маршрутизатору пользователя admin: Trying 1.1.1.1 ... Open username: admin password: R1#sh priv R1#sh privilege Current privilege level is 15 R1#conf t Enter configuration commands, one per line. End with CNTL/Z. R1(config)#router eigr R1(config)#router eigrp 1 R1(config-router)#net R1(config-router)#network 3.3.3.0 5. Телнет подключение к маршрутизатору пользователя user: Trying 1.1.1.1 ... Open username: user password: R1#sh priv R1#sh privilege Current privilege level is 10 R1#sh ip int br Interface IP-Address OK? Method Status Protocol Embedded-Service-Engine0/0 unassigned YES NVRAM administratively down down GigabitEthernet0/0 1.1.1.1 YES NVRAM up up ISM0/0 unassigned YES unset up up ISM0/1 127.0.0.1 YES unset up up GigabitEthernet0/1 3.3.3.3 YES NVRAM up up Virtual-Access1 3.3.3.3 YES unset up up R1#ping 3.3.3.3 Command authorization failed.
... View more
