Поиск...

четверг, 11 августа 2011 г.

Настройка Cisco Access Control Server (ACS)

Доброго времени суток!!!


В прошлом посте мы с вами установили ACS версии 4.0 и обновили его до версии 4.1.4. Сегодня я предлагаю продолжить нашу работу и заняться настройкой access control server в качестве сервера TACACS+. Также добавим первое устройство для аутентификации на ACS.
Заинтересовавшихся, приглашаю под кат…

Заходим на сервер и запускаем ACS. Должно открыться главное окно. Если у вас возникают проблемы при открытии страниц (не открываются элементы страницы, вообще не открывается), то проверьте наличие установленной Java. Она должна быть :).
Итак, продолжаем. Справа видно меню. Для начала, давайте создадим учетную запись для администратора ACS (она понадобится для того, чтобы можно было залезть на сервер ACS по веб-интерфейсу из сети, а не локально). Для этого переходим на вкладку «Administration Control»:



Видно, что на данный момент у нас нет ни одного администратора. На вкладках «Access policy», «Session policy», «Password policy» задаются правила, с каких IP адресов можно заходить, время сессий и простоя, время действия пароля и так далее. Пока оставим все по умолчанию. Нажимаем на вкладку «Add Administrator»:



Тут добавляем нового администратора, задаем ему пароль, делаем отметку, что пароль никогда не устареет. Далее, если вы хотите дать администратору права на любую конфигурацию ACS, то нажмите кнопку «Grant all». Если же вам нужно разделять права между несколькими администраторами, то для каждого из них нужно будет выбрать нужные правила. Далее нажимаем «Submit» и созданный администратор должен появиться в списке.
Далее создадим новую группу для будущих пользователей (хотя никто не запрещает использовать Default Group). Переходим на вкладку «Group Setup»:



Переименуем группу через вкладку 1 и затем зайдем в свойства группы 2. Там идем в самый низ и выставляем параметры как на картинке (если вам не надо выдавать IP адреса):



Выше находятся параметры для ограничения доступа к группе согласно различных критериев. Нам их править не требуется, так что оставляйте по умолчанию. Изменения параметров группы требуют перезапуска ACS, поэтому нажимаем на кнопку «Submit+Restart».
Группа создана, переходим на вкладку «User Setup» для создания первого пользователя:



Прописываем ему имя и нажимаем на «Add/Edit».



В свойствах пользователя задаем ему пароль, с которым он будет аутентифицироваться на устройствах и определяем ему группу, созданную ранее. Нажимаем «Submit».
Теперь необходимо добавить первого AAA клиента (коммутатор или роутер) на ACS. Для этого сначала организуем сетевую доступность между устройством и ACS. Вот небольшая схема:



Сделаем первоначальную настройку Test_Router:

  • R1>en
    R1#conf t
    R1(config)#hostname Test_Router
    Test_Router(config)#int fa 0/0
    Test_Router(config-if)#ip address 10.10.10.1 255.255.255.0
    Test_Router(config-if)#no shutdown
    Test_Router(config-if)#exit
    Test_Router(config)#service password-encryption
    Test_Router(config)#exit
    Test_Router#wr
Проверим сетевую доступность с сервера:



Сетевая доступность присутствует, переходим к добавлению клиента на ACS. Переходим на вкладку «Network Configuration»:



Нажимаем на «Add Entry».



Указываем имя группы и ключ. Нажимаем «Submit» и после этого нажимаем на вновь созданную группу в списке. Должно открыться следующее окно:



Вначале добавим сервер. Нажимаем на 1.



Здесь прописываем название сервера, его IP-адрес, ключ, определяем группу, к которой он будет относиться (созданная ранее), тип сервера (в нашем случае TACACS+) и тип трафика. Нажимаем «Submit+Apply». Сервер должен появиться в списке. Затем добавляем AAA клиента(ов). Нажимаем 2.



Здесь прописываем название клиентов (устройств), их IP адреса по которым они доступны для ACS (обратите внимание что множество адресов задается через «*»), ключ, группу и способ аутентификации. Нажимаем «Submit+Apply». Устройство должно появиться в списке. Вот что должно в итоге получиться:



На сервере ACS все готово, теперь возвращаемся на роутер и настраиваем аутентификацию через ACS по протоколу TACACS+.

  • Test_Router#conf t
    Test_Router(config)#aaa new-model – включаем глобально функцию Authentication, Authorization, and Accounting на устройстве;
    Test_Router(config)#aaa authentication login admingroup group tacacs+ local – прописываем правило, согласно которому все, кто хочет зайти на устройство должны проверятся и принадлежать группе «admingroup», созданной на ACS посредством протокола TACACS+. Если сервер ACS не доступен, то будет использоваться локальная база пользователей на устройстве (параметр «local»);
    Test_Router(config)#aaa authentication enable default group tacacs+ enable – прописываем правило, что вход в привилегированный режим на всех интерфейсах (параметр «default») тоже проверяется на ACS посредством TACACS+. Если сервер не доступен, используется локальный пароль на «enable»;
    Test_Router(config)#username admin password ciscocisco – создадим локального администратора. Он будет использоваться, если сервер ACS не доступен;
    Test_Router(config)#enable secret cisco – задаем пароль для входа в привилегированный режим. Используется при недоступности ACS;
    Test_Router(config)#tacacs-server host 10.10.10.201 key ciscokey – прописываем IP – адрес и ключ TACACS+ сервера (сервер ACS);
    Test_Router(config)#line console 0
    Test_Router(config-line)#login authentication admingroup – применяем параметры аутентификации на интерфейс console. Прописываем использование группы с ACS «admingroup»;
    Test_Router(config-line)#exit
    Test_Router(config)#line vty 0 15
    Test_Router(config-line)#login authentication admingroup - применяем параметры аутентификации на интерфейс vty (telnet, ssh). Прописываем использование группы с ACS «admingroup»;
    Test_Router(config-line)#exit
    Test_Router(config)#exit
    Test_Router#wr
    Test_Router#
Теперь можно проверить наши настройки. Попробуем зайти на роутер:



Итак, что мы имеем :). 1 – вводим имя пользователя, 2 – вводим пароль (введенный на ACS), 3 – пробуем зайти в привилегированный режим и… У нас не получается. Но проблема известная :). Возвращаемся на сервер ACS и идем в свойства нашего пользователя («User Setup»--«List all users»--«наш пользователь»):



Заходим в свойства (кликаем по нему):



Находим и отмечаем пункты (если не отмечены) 1 – использовать установки для группы и 2 – использовать основной пароль пользователя. Нажимаем «Submit». Далее переходим в свойства нашей группы («Group Setup» -- «admingroup» -- «Edit settings»). В свойствах находим вот что:



В этом пункте («Enable Options») можно разграничивать параметры доступа к тем или иным командам на устройстве для каждой группы пользователей. Выбираем максимальный уровень привилегий и нажимаем «Submit+Restart».
Теперь, снова возвращаемся на наше устройство и пробуем зайти на него по консоли:



Все получилось. Теперь по telnet:



Тоже все работает :). Поздравляю вас!!!
Вот мы и настроили аутентификацию на устройствах через Access Control Server. Для добавления других устройств достаточно настраивать параметры TACACS+ на коммутаторах и роутерах, причем любых производителей (которые поддерживают TACACS+). Главное, чтобы они подпадали под сеть, прописанную в параметрах AAA Client (хотя ничего не мешает добавить туда еще несколько сетей :)).
Сервер ACS очень удобен при наличии у вас большого количества сетевых устройств. На нем можно настроить много интересного. Начиная от привязки базы пользователей к Active Directory, использования сертификатов, e-token-ов до логирования каждой команды, сделанной тем или иным администратором. Но это уже совсем другая история и ресурс для написания новых интересных постов :).

На этом я завершаю этот пост. Как всегда надеюсь, что он был для вас интересным, полезным и пригодным для применения на практике.

По всем возникающим вопросам обращайтесь ко мне через комментарии или лично. Координаты можно найти вот тут.


С нетерпением жду вас в следующих постах!!!

С уважением, Ant0ni0n

21 комментарий:

  1. Почему в репортах нету логов захода не в TACACS+ Accounting не в TACACS+ Administration, галки проставил на логирование и в группе и в железеке =/

    ОтветитьУдалить
  2. Добрый день!!!
    А вы добавляли на устройствах команду:
    aaa accounting commands 15 default start-stop group tacacs+
    для акаунтинга?

    С уважением, Ant0ni0n

    ОтветитьУдалить
  3. спасибо большое за пост. Но у меня проблема возникает с cisco которые находятся за VPN или за вланами, в чем может быть проблема подскажите?

    ОтветитьУдалить
    Ответы
    1. Доброго времени суток!
      Ну присылайте схему вашей сети мне на почту, так как причин может быть много, посмотрим.

      Удалить
  4. Устанавливаю ACS, захожу в "Administrator Control", хочу создать учетную запись для администратора.
    Все делаю, пишу логин пароль, указываю привелегии, нажимаю создать, все как в статье, а он не создается. Уже целый день мучаюсь. В чем дело может быть?

    ОтветитьУдалить
    Ответы
    1. А на какой ОС установлен ACS? Проблемы могут быть с java. Можно попробовать ее переустаноить. И еще, какая версия ACS?

      Удалить
    2. Проблема решилась, просто когда создавал админа добавлял сразу все привилегии, как в статье, почему-то не создавался. Потом попробовал добавить только пару галочек, и как ни странно создался, потом уже отредактировал и добавил все привилегии.
      Теперь у меня два ACS сервера версия 4.2, сейчас задача стоит настроить репликацию. Неплохо было бы статейку на эту тему:)
      А то я пока не совсем понимаю как они вместе будут работать, куда будут логи записываться, как на железе в этом случае настраивать и тд.

      Удалить
  5. Отлично написано, хорошо бы еще статью про настройку аунтификации в сети рассмотреть на основе RADIUS с использованием MAB и PEAP MS-CHAP v2.

    ОтветитьУдалить
    Ответы
    1. Спасибо за отзыв!!!
      Поставил в планы ваше предложение :)

      Удалить
  6. Анонимный4 мая 2012 г., 10:47

    спасибо за статью!

    ОтветитьУдалить
  7. Здравствуйте, спасибо за отличные статьи! Но возник вопрос по данной. У меня установлен ACS версии 4.2 ни как не могу понять как настроить доступ по enable. Enable options как в Вашем примеру у меня нет. Все облазил ни где не могу найти. Аутентификация проходит, но в привилегированный режим зайти не могу. Не пускает.

    ОтветитьУдалить
    Ответы
    1. Добрый день!!!
      Проверьте, чтобы у вас были отмечены все галки вот тут: "Interface Configuration" -- "TACACS+ (Cisco IOS)" -- "Advanced Configuration Options".
      Когда вы их отметите и примените, то нужные области настройки пароля на enable должны появиться и в настройках User-а и Group. Далее смотрите как я описывал в посте.
      Если вы используете связку с Active Directory, то настройки можно посмотреть в следующем посте, где я описывал эту связку.

      Удалить
  8. Добрый день!
    Спасибо за отличную статью! У меня возникла такая проблема: к маршрутизатору получают доступ и другие пользователи, зарегистрированные на ACS, но не входящие в группу указанную тут: aaa authentication login Cisco_admins group tacacs+ local

    ОтветитьУдалить
    Ответы
    1. Добрый день!!
      Пришлите мне пожалуйста на почту скрины настройки ACS. У вас одна группа создана на сервере или несколько?
      Желательно увидеть еще sh run с маршрутизатора.
      И еще, у вас в Network Configuration -- Network Device Group все маршрутизаторы в одной группе?

      Удалить
    2. Приветствую,
      Удалось решить проблему с доступом на маршрутизатор пользователей из других групп?
      Есть подозрение, что группа в команде "login authentication admingroup" не имеет отношения к группам на самом ACS.

      Удалить
    3. Добрый день!!
      Да, вы правы, название группы в команде "login authentication admingroup" не имеет отношения к группе на ACS. Это название должно только совпадать на устройстве в командах:
      aaa authentication login admingroup group tacacs+ local и
      login authentication admingroup

      Удалить
  9. Где скрины блаеть!!!

    ОтветитьУдалить
  10. Добрый!статья отличная!
    не поможешь с настройками ACS 4.2
    не как в enable режим не могу провалиться

    ОтветитьУдалить
    Ответы
    1. Добрый день!!!
      НУ так нужно больше информации :). Конфигурация устройства, скрины настройки ACS и так далее :)

      Удалить
    2. Добрый!
      поковырялся в настройках и все закрутилось)))
      вопрос хотел бы вести логирование команд через такакс.
      это возможно?

      Удалить