ISE 2.0 :ASA CLI TACACS+认证和Authorization命令配置示例 |
您所在的位置:网站首页 › qq空间怎么快速删除留言信息 › ISE 2.0 :ASA CLI TACACS+认证和Authorization命令配置示例 |
|
Introduction
本文描述如何用身份服务引擎(ISE) 2.0配置TACACS+认证和Authorization命令在Cisco可适应的安全工具(ASA)上及以后。ISE使用本地身份存储存储资源例如用户、组和终端。 Prerequisites RequirementsCisco 建议您了解以下主题: ASA防火墙是完全能操作的 ASA和ISE之间的连接 ISE服务器被引导 Components Used本文档中的信息基于以下软件和硬件版本: Cisco身份服务引擎2.0 Cisco ASA Software Release 9.5(1)The information in this document was created from the devices in a specific lab environment.All of the devices used in this document started with a cleared (default) configuration.If your network is live, make sure that you understand the potential impact of any command. Refer to Cisco Technical Tips Conventions for more information on document conventions. Configure配置的AIM对: 通过内部身份存储验证SSH用户 认证SSH用户,因此它将被放置到privileged EXEC模式在登录以后 检查并且发送每个被执行的命令到验证的ISE Network Diagram 配置 配置认证和授权的ISE两个用户被创建。用户管理员是网络管理员本地身份组的部分在ISE的。此用户有充分的CLI权限。用户用户是网络维护小组本地身份组的部分在ISE的。此用户允许执行只显示命令和ping。 添加网络设备连接到工作区>设备Administration >网络资源>网络设备。单击 Add。提供名字, IP地址,选择Settings复选框的TACACS+认证并且提供被共享的密钥。随意地设备类型/位置可以指定。 配置用户身份组连接对工作区>设备Administration >用户身份组。单击 Add。提供名字并且点击提交。 重复同一个步骤对configure network维护小组用户身份组。 配置用户连接对工作区>设备Administration >身份> Users。单击 Add。提供名字,登录密码指定用户组并且点击提交。 重复步骤配置用户用户和分配网络维护小组用户身份组。 以启用设备Admin服务连接对管理>System >配置。select要求了节点。选择以启用设备Admin服务复选框并且点击“Save”。 Note:对于TACACS您需要安排分开的许可证安装。 配置tacacs命令集配置两命令集。提供所有on命令设备的管理员用户的第一PermitAllCommands。允许的用户用户的第二PermitPingShowCommands只显示和查验命令。 1. 连接对工作区>设备管理>Policy结果> tacacs命令集。单击 Add。提供名字PermitAllCommands,选择permit any命令不是列出的下面的复选框并且点击提交。 2. 连接对工作区>设备管理>Policy结果> tacacs命令集。单击 Add。提供名字PermitPingShowCommands,点击添加,并且许可证显示,连接并且退出命令。默认情况下,如果参数被留下空白,所有参数是包括的。单击 submit。 配置TACACS配置文件将配置单个TACACS配置文件。实际命令实施通过命令集将完成。连接对工作区>设备管理>Policy结果> TACACS配置文件。单击 Add。提供命名ShellProfile,选择默认权限复选框并且输入值为15。单击 submit。 配置TACACS授权策略默认情况下认证策略指向All_User_ID_Stores,包括本地存储,因此保持不变。 连接对工作区>设备管理>Policy集>默认>授权策略> Edit >上面插入新规则。 被配置的两个授权rulesare,第一个规则分配TACACS配置文件ShellProfile和set命令根据网络管理员用户身份组成员的PermitAllCommands。第二个规则分配TACACS配置文件ShellProfile和set命令根据网络维护小组用户身份组成员的PermitPingShowCommands。 配置认证和授权的Cisco ASA防火墙1. 用退路的充分的权限创建一个本地用户用username命令如显示这里 ciscoasa(config)# username cisco password cisco privilege 152. 定义TACACS服务器ISE,指定接口、协议IP地址和TACACS键。 aaa-server ISE protocol tacacs+aaa-server ISE (mgmt) host 10.48.17.88 key ciscoNote:服务器密钥在ISE服务器应该匹配那个定义了前。 3. 测试与测试的TACACS服务器可到达性aaa命令如显示。 ciscoasa# test aaa authentication ISE host 10.48.17.88 username administrator Krakow123INFO: Attempting Authentication test to IP address (timeout: 12 seconds)INFO: Authentication Successful前面的命令的输出表示, TACACS服务器可及的,并且用户成功验证。 4. 配置SSH、exec授权和命令授权的认证如下所示。使用AAA认证exec认证服务器自动enable (event)您在privileged EXEC模式将自动地安置。 aaa authentication ssh console ISE aaa authorization command ISE aaa authorization exec authentication-server auto-enableNote:用以上的命令,认证在ISE完成,用户被放置直接地到特权模式,并且authorization命令发生。 5. 允许嘘在mgmt接口。 ssh 0.0.0.0 0.0.0.0 mgmt Verify Cisco ASA防火墙验证1. 对ASA防火墙的SSH作为属于全部存取的用户身份组的管理员。网络管理员组被映射对ShellProfile和PermitAllCommands Set命令在ISE。设法运行所有命令保证全部存取。 EKORNEYC-M-K04E:~ ekorneyc$ ssh [email protected]@10.48.66.202's password:Type help or '?' for a list of available commands.ciscoasa#ciscoasa# configure terminalciscoasa(config)# crypto ikev1 policy 10ciscoasa(config-ikev1-policy)# encryption aesciscoasa(config-ikev1-policy)# exitciscoasa(config)# exitciscoasa#2. 对ASA防火墙的SSH作为属于有限享用用户身份组的用户。网络维护组被映射对ShellProfile和PermitPingShowCommands Set命令在ISE。设法运行所有命令保证只显示,并且可以发出查验命令。 EKORNEYC-M-K04E:~ ekorneyc$ ssh [email protected]@10.48.66.202's password:Type help or '?' for a list of available commands.ciscoasa#ciscoasa# show version | include SoftwareCisco Adaptive Security Appliance Software Version 9.5(1)ciscoasa# ping 8.8.8.8Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 20/24/30 msciscoasa# configure terminalCommand authorization failedciscoasa# traceroute 8.8.8.8Command authorization failed ISE 2.0验证1. 连接对操作> TACACS Livelog。保证完成的尝试以上被看到。 2. 点击详细资料其中一个红色报告,及早被执行的失败的命令能被看到。 TroubleshootError:失败尝试:出故障的Authorization命令 检查SelectedCommandSet属性验证期望的命令集由授权策略选择 Related InformationTechnical Support & Documentation - Cisco Systems ISE 2.0版本注释 ISE 2.0硬件安装指南 ISE 2.0升级指南 对ISE迁移工具指南的ACS ISE 2.0激活目录集中指南 ISE 2.0引擎管理员指南 |
今日新闻 |
推荐新闻 |
| CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |