суббота, 2 августа 2014 г.

Настройка Cisco Access Control Server (ACS)

Заходим на сервер и запускаем ACS. Должно открыться главное окно. Если у вас возникают проблемы при открытии страниц (не открываются элементы страницы, вообще не открывается), то проверьте наличие установленной Java. Она должна быть :).
Итак, продолжаем. Справа видно меню. Для начала, давайте создадим учетную запись для администратора ACS (она понадобится для того, чтобы можно было залезть на сервер ACS по веб-интерфейсу из сети, а не локально). Для этого переходим на вкладку «Administration Control»:



Видно, что на данный момент у нас нет ни одного администратора. На вкладках «Access policy», «Session policy», «Password policy» задаются правила, с каких IP адресов можно заходить, время сессий и простоя, время действия пароля и так далее. Пока оставим все по умолчанию. Нажимаем на вкладку «Add Administrator»:



Тут добавляем нового администратора, задаем ему пароль, делаем отметку, что пароль никогда не устареет. Далее, если вы хотите дать администратору права на любую конфигурацию ACS, то нажмите кнопку «Grant all». Если же вам нужно разделять права между несколькими администраторами, то для каждого из них нужно будет выбрать нужные правила. Далее нажимаем «Submit» и созданный администратор должен появиться в списке.
Далее создадим новую группу для будущих пользователей (хотя никто не запрещает использовать Default Group). Переходим на вкладку «Group Setup»:



Переименуем группу через вкладку 1 и затем зайдем в свойства группы 2. Там идем в самый низ и выставляем параметры как на картинке (если вам не надо выдавать IP адреса):



Выше находятся параметры для ограничения доступа к группе согласно различных критериев. Нам их править не требуется, так что оставляйте по умолчанию. Изменения параметров группы требуют перезапуска ACS, поэтому нажимаем на кнопку «Submit+Restart».
Группа создана, переходим на вкладку «User Setup» для создания первого пользователя:



Прописываем ему имя и нажимаем на «Add/Edit».



В свойствах пользователя задаем ему пароль, с которым он будет аутентифицироваться на устройствах и определяем ему группу, созданную ранее. Нажимаем «Submit».
Теперь необходимо добавить первого AAA клиента (коммутатор или роутер) на ACS. Для этого сначала организуем сетевую доступность между устройством и ACS. Вот небольшая схема:



Сделаем первоначальную настройку Test_Router:

  • R1>en
    R1#conf t
    R1(config)#hostname Test_Router
    Test_Router(config)#int fa 0/0
    Test_Router(config-if)#ip address 10.10.10.1 255.255.255.0
    Test_Router(config-if)#no shutdown
    Test_Router(config-if)#exit
    Test_Router(config)#service password-encryption
    Test_Router(config)#exit
    Test_Router#wr
Проверим сетевую доступность с сервера:



Сетевая доступность присутствует, переходим к добавлению клиента на ACS. Переходим на вкладку «Network Configuration»:



Нажимаем на «Add Entry».



Указываем имя группы и ключ. Нажимаем «Submit» и после этого нажимаем на вновь созданную группу в списке. Должно открыться следующее окно:



Вначале добавим сервер. Нажимаем на 1.



Здесь прописываем название сервера, его IP-адрес, ключ, определяем группу, к которой он будет относиться (созданная ранее), тип сервера (в нашем случае TACACS+) и тип трафика. Нажимаем «Submit+Apply». Сервер должен появиться в списке. Затем добавляем AAA клиента(ов). Нажимаем 2.



Здесь прописываем название клиентов (устройств), их IP адреса по которым они доступны для ACS (обратите внимание что множество адресов задается через «*»), ключ, группу и способ аутентификации. Нажимаем «Submit+Apply». Устройство должно появиться в списке. Вот что должно в итоге получиться:



На сервере ACS все готово, теперь возвращаемся на роутер и настраиваем аутентификацию через ACS по протоколу TACACS+.

  • Test_Router#conf t
    Test_Router(config)#aaa new-model – включаем глобально функцию Authentication, Authorization, and Accounting на устройстве;
    Test_Router(config)#aaa authentication login admingroup group tacacs+ local –прописываем правило, согласно которому все, кто хочет зайти на устройство должны проверятся и принадлежать группе «admingroup», созданной на ACS посредством протокола TACACS+. Если сервер ACS не доступен, то будет использоваться локальная база пользователей на устройстве (параметр «local»);
    Test_Router(config)#aaa authentication enable default group tacacs+ enable –прописываем правило, что вход в привилегированный режим на всех интерфейсах (параметр «default») тоже проверяется на ACS посредством TACACS+. Если сервер не доступен, используется локальный пароль на «enable»;
    Test_Router(config)#username admin password ciscocisco – создадим локального администратора. Он будет использоваться, если сервер ACS не доступен;
    Test_Router(config)#enable secret cisco – задаем пароль для входа в привилегированный режим. Используется при недоступности ACS;
    Test_Router(config)#tacacs-server host 10.10.10.201 key ciscokey – прописываем IP – адрес и ключ TACACS+ сервера (сервер ACS);
    Test_Router(config)#line console 0
    Test_Router(config-line)#login authentication admingroup – применяем параметры аутентификации на интерфейс console. Прописываем использование группы с ACS «admingroup»;
    Test_Router(config-line)#exit
    Test_Router(config)#line vty 0 15
    Test_Router(config-line)#login authentication admingroup - применяем параметры аутентификации на интерфейс vty (telnet, ssh). Прописываем использование группы с ACS «admingroup»;
    Test_Router(config-line)#exit
    Test_Router(config)#exit
    Test_Router#wr
    Test_Router#
Теперь можно проверить наши настройки. Попробуем зайти на роутер:



Итак, что мы имеем :). 1 – вводим имя пользователя, 2 – вводим пароль (введенный на ACS), 3 – пробуем зайти в привилегированный режим и… У нас не получается. Но проблема известная :). Возвращаемся на сервер ACS и идем в свойства нашего пользователя («User Setup»--«List all users»--«наш пользователь»):



Заходим в свойства (кликаем по нему):



Находим и отмечаем пункты (если не отмечены) 1 – использовать установки для группы и 2 – использовать основной пароль пользователя. Нажимаем «Submit». Далее переходим в свойства нашей группы («Group Setup» -- «admingroup» -- «Edit settings»). В свойствах находим вот что:



В этом пункте («Enable Options») можно разграничивать параметры доступа к тем или иным командам на устройстве для каждой группы пользователей. Выбираем максимальный уровень привилегий и нажимаем «Submit+Restart».
Теперь, снова возвращаемся на наше устройство и пробуем зайти на него по консоли:



Все получилось. Теперь по telnet:



Тоже все работает :). Поздравляю вас!!!
Вот мы и настроили аутентификацию на устройствах через Access Control Server. Для добавления других устройств достаточно настраивать параметры TACACS+ на коммутаторах и роутерах, причем любых производителей (которые поддерживают TACACS+). Главное, чтобы они подпадали под сеть, прописанную в параметрах AAA Client (хотя ничего не мешает добавить туда еще несколько сетей :)).
Сервер ACS очень удобен при наличии у вас большого количества сетевых устройств. На нем можно настроить много интересного. Начиная от привязки базы пользователей к Active Directory, использования сертификатов, e-token-ов до логирования каждой команды, сделанной тем или иным администратором. Но это уже совсем другая история и ресурс для написания новых интересных постов :).

Источник: go-to-easyit.com/2011/08/cisco-access-control-server-acs.html

Комментариев нет:

Отправить комментарий