[toc:faq] Введение Cisco Secure ACS — основной компонент решений по сетевой безопасности в системах доверительных отношений и идентификации Cisco. Он расширяет безопасный доступ, объединяя аутентификацию, пользовательский и административный доступ и управление политиками на базе централизованной сетевой инфраструктуры идентификации, что обеспечивает дополнительную гибкость и мобильность, повышая уровень безопасности и увеличивая результативность работы пользователей. Настроем разграниченный доступ для администрации IOS устройств. Настройка авторизации/аутентификации для IOS устройств на ACS 5 1. Создание устройства на ACS: Необходимо задать имя, адрес, и пароль для протокола который мы будем использовать, в данном случае TACACS. Для этого перейдем в Network Resources > Network Devices and AAA Clients Нажмем Create. Мы можем поместить устройство в группы по местоположению или по типу устройств, это позволит в дальнейшем настраивать гибкую систему авторизации. 2. Создадим двух пользователей, одного администратора, и второго с ограниченными правами. Необходимо задать Имя и пароль пользователя. Для этого перейдем в Users and Identity Stores > Internal Identity Stores > Users Нажмем Create. 3. По умолчанию создано правило, которое по протоколу (RADIUS/TACACS) определяет в какую сервис группу мы попадем. 4. Настроим для двух пользователей Privilege level. Для пользователя admin Privilege Level будет 15, для пользователя user Privilege level будет 10. Для этого перейдем в Policy Elements > Authorization and Permissions  > Network Access > Authorization Profiles Нажмем Create. Нам понадобится вкладка Common Tasks 5. Разрешим пользователю admin, использовать полный набор доступных команд, а пользователю user только просматривать интерфейсы, и свой privilege level. Для этого перейдем в Policy Elements > Authorization and Permissions  > Device Administration > Command Sets Нажмем Create. 6. Теперь настроим правило, которое по имени пользователя определит в какую группу попадет пользователь и какими правами он будет обладать. Для этого перейдем в Access Policies >  Access Services >  Default Device Admin >  Authorization Нажмем Create. Настройка авторизации/аутентификации/аккаунтинга на IOS устройствах 1. Настроим tacacs-server с помощью следующих команд: tacacs server TACACS   address ipv4 192.168.1.3   key cisco 2. Настройка аутентификации. Для этого создадим лист аутентификации AUTH, и назначим его на line vty 0 4. Помимо этого будем аутентифицировать enable режим. aaa authentication login AUTH group tacacs+ local aaa authentication enable default group tacacs+ enable line vty 0 4 login authentication AUTH 3. Настройка авторизации. Для этого создадим лист авторизации команд COM и назначим его на line vty 0 4. aaa authorization exec default group tacacs+ local aaa authorization commands 1 COM group tacacs+ local aaa authorization commands 10 COM group tacacs+ local aaa authorization commands 15 COM group tacacs+ local aaa authorization config-commands line vty 0 4 authorization commands 1 COM authorization commands 10 COM   authorization commands 15 COM 4. С такими настройками мы получаем следующий результат: Телнет подключение к маршрутизатору пользователя admin: Trying 1.1.1.1 ... Open username: admin password: R1#sh priv R1#sh privilege Current privilege level is 15 R1#conf t Enter configuration commands, one per line.  End with CNTL/Z. R1(config)#router eigr R1(config)#router eigrp 1 R1(config-router)#net R1(config-router)#network 3.3.3.0 5. Телнет подключение к маршрутизатору пользователя user: Trying 1.1.1.1 ... Open username: user password: R1#sh priv R1#sh privilege Current privilege level is 10 R1#sh ip int br Interface                  IP-Address      OK? Method Status                Protocol Embedded-Service-Engine0/0 unassigned      YES NVRAM  administratively down down    GigabitEthernet0/0         1.1.1.1         YES NVRAM  up                    up      ISM0/0                     unassigned      YES unset  up                    up      ISM0/1                     127.0.0.1       YES unset  up                    up      GigabitEthernet0/1         3.3.3.3         YES NVRAM  up                    up      Virtual-Access1            3.3.3.3         YES unset  up                    up      R1#ping 3.3.3.3 Command authorization failed. ... View more