المقدمة
يوضح هذا المستند كيفية تكوين مصادقة TACACS+ وتفويض الأوامر استنادا إلى عضوية مجموعة Microsoft Active Directory (AD).
معلومات أساسية
لتكوين مصادقة TACACS+ وتفويض الأوامر استنادا إلى عضوية مجموعة Microsoft Active Directory (AD) لمستخدم مزود بمحرك خدمة الهوية (ISE) 2.0 والإصدارات الأحدث، يستخدم ISE AD كمخزن هوية خارجي لتخزين موارد مثل المستخدمين والآلات والمجموعات والسمات.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- الموجه Cisco IOS® قيد التشغيل بالكامل
- الاتصال بين الموجه و ISE.
- تم تمهيد خادم ISE لديه اتصال ب Microsoft AD
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- Cisco Identity Service Engine 2.0
- برنامج Cisco IOS®، الإصدار 15.4(3)M3
- خادم Microsoft Windows، الإصدار 2012 R2
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
التكوين
الهدف من التكوين هو:
- مصادقة مستخدم برنامج Telnet عبر AD
- قم بتخويل مستخدم telnet حتى يتم وضعه في وضع EXEC ذي الامتيازات بعد تسجيل الدخول
- تحقق من كل أمر يتم تنفيذه وإرساله إلى ISE للتحقق
الرسم التخطيطي للشبكة
التكوينات
تكوين ISE للمصادقة والتفويض
ربط ISE 2.0 ب Active Directory
1. انتقل إلى الإدارة > إدارة الهوية > مخازن الهوية الخارجية > Active Directory > Add. قم بتوفير اسم نقطة الربط، ومجال Active Directory وانقر فوق إرسال.
2. عند المطالبة بضم جميع عقد ISE إلى مجال Active Directory هذا، انقر فوق نعم.
3. توفير اسم مستخدم وكلمة مرور AD، انقر على موافق.
يمكن أن يحتوي حساب AD المطلوب للوصول إلى المجال في ISE على أي مما يلي:
- إضافة محطات عمل إلى حق مستخدم المجال في المجال ذي الصلة
- إنشاء كائنات كمبيوتر أو إذن حذف كائنات كمبيوتر على حاوية أجهزة الكمبيوتر ذات الصلة حيث يتم إنشاء حساب جهاز ISE قبل انضمامه إلى جهاز ISE إلى المجال
ملاحظة: توصي Cisco بتعطيل سياسة التأمين لحساب ISE وتكوين البنية الأساسية AD لإرسال تنبيهات إلى المسؤول في حالة إستخدام كلمة مرور خاطئة لذلك الحساب. عند إدخال كلمة مرور غير صحيحة، لا يقوم ISE بإنشاء حساب الجهاز الخاص به أو تعديله عندما يكون ذلك ضروريا، وبالتالي قد يرفض جميع المصادقات.
4. مراجعة حالة العملية. يجب أن تظهر حالة العقدة كمكتملة. انقر فوق "إغلاق".
5. وضع AD قيد التشغيل.
6. انتقل إلى مجموعات > إضافة > تحديد مجموعات من الدليل > إسترداد مجموعات. حدد خانات إختيار مسؤولي الشبكة ومجموعة فريق صيانة الشبكة ومجموعة الإعلانات، كما هو موضح في هذه الصورة.
ملاحظة: مسؤول المستخدم عضو في مجموعة AD لمسؤولي الشبكة. يتمتع هذا المستخدم بامتيازات الوصول الكامل. هذا المستخدم عضو في مجموعة AD لفريق صيانة الشبكة. يمكن لهذا المستخدم تنفيذ أوامر show فقط.
7. انقر فوق حفظ لحفظ مجموعات الإعلانات التي تم إستردادها.
إضافة جهاز شبكة
انتقل إلى مراكز العمل > إدارة الجهاز > موارد الشبكة > أجهزة الشبكة. انقر فوق إضافة (Add). قم بتوفير الاسم وعنوان IP وحدد خانة الاختيار إعدادات مصادقة TACACS+ وقم بتوفير مفتاح سري مشترك.
تمكين خدمة إدارة الجهاز
انتقل إلى الإدارة > النظام > النشر. أختر العقدة المطلوبة. أختر خانة الاختيار تمكين خدمة إدارة الأجهزة وانقر فوق حفظ.
ملاحظة: بالنسبة إلى TACACS، يلزمك تثبيت تراخيص منفصلة.
تكوين مجموعات أوامر TACACS
تم تكوين مجموعتين من الأوامر. أول PermitAllCommands لمسؤول المستخدم الذي يسمح بجميع الأوامر على الجهاز. ثاني PermitShowCommands للمستخدم الذي يسمح فقط بإظهار الأوامر.
1. انتقل إلى مراكز العمل > إدارة الأجهزة > نتائج السياسة > مجموعات أوامر TACACS. انقر فوق إضافة (Add). قم بتوفير اسم PermitAllCommands، واختر السماح بأي خانة إختيار أمر غير مدرجة وانقر فوق إرسال.
2. انتقل إلى مراكز العمل > إدارة الأجهزة > نتائج السياسة > مجموعات أوامر TACACS. انقر فوق إضافة (Add). قم بتوفير الأمر PermitShowCommands، انقر إضافة وسمح لأوامر show وexit. بشكل افتراضي، إذا تركت الوسيطات فارغة، يتم تضمين جميع الوسيطات. انقر على إرسال.
تكوين ملف تعريف TACACS
يتم تكوين ملف تعريف TACACS الأحادي. TACACS Profile هو نفس مفهوم ملف تعريف Shell على ACS. يتم تنفيذ الأمر الفعلي عبر مجموعات الأوامر. انتقل إلى مراكز العمل > إدارة الأجهزة > نتائج السياسة > ملفات تعريف TACACS. انقر فوق إضافة (Add). قم بتوفير ShellProfile بالاسم، ثم حدد خانة الاختيار الافتراضي للامتياز وأدخل القيمة 15. انقر على إرسال.
تكوين سياسة تفويض TACACS
يشير نهج المصادقة بشكل افتراضي إلى all_user_id_store، والذي يتضمن AD، وبالتالي يترك بدون تغيير.
انتقل إلى مراكز العمل > إدارة الأجهزة > مجموعات السياسات > الافتراضي > نهج التخويل > تحرير > إدراج قاعدة جديدة أعلاه.
تم تكوين قاعدتين للتخويل، حيث تقوم القاعدة الأولى بتعيين TACACS Profile ShellProfile ومجموعة الأوامر PermitAllCommands استنادا إلى مسؤولي الشبكة وعضوية المجموعة. تعين القاعدة الثانية توصيفات TACACS ShellProfile ومجموعة الأوامر PermitShowCommands استنادا إلى عضوية فريق صيانة الشبكة والمجموعة.
تكوين موجه Cisco IOS للمصادقة والتفويض
أكمل هذه الخطوات لتكوين موجه Cisco IOS للمصادقة والتفويض.
1. قم بإنشاء مستخدم محلي بامتياز كامل للتعيين الاحتياطي باستخدام الأمر username كما هو موضح هنا.
username cisco privilege 15 password cisco
2. تمكين نموذج AAA جديد. قم بتحديد ISE لخادم TACACS، ووضعه في المجموعة ISE_GROUP.
aaa new-model
tacacs server ISE
address ipv4 10.48.17.88
key cisco
aaa group server tacacs+ ISE_GROUP
server name ISE
ملاحظة: يتطابق مفتاح الخادم مع المفتاح المحدد على خادم ISE في وقت سابق.
3. اختبر قابلية الوصول إلى خادم TACACS باستخدام الأمر AAA للاختبار كما هو موضح.
Router#test aaa group tacacs+ admin Krakow123 legacy
Attempting authentication test to server-group tacacs+ using tacacs+
User was successfully authenticated.
يوضح إخراج الأمر السابق أن خادم TACACS يمكن الوصول إليه وقد تمت مصادقة المستخدم بنجاح.
4. قم بتكوين تسجيل الدخول وتمكين المصادقة ثم أستخدم تراخيص EXEC والأوامر كما هو موضح.
aaa authentication login AAA group ISE_GROUP local
aaa authentication enable default group ISE_GROUP enable
aaa authorization exec AAA group ISE_GROUP local
aaa authorization commands 0 AAA group ISE_GROUP local
aaa authorization commands 1 AAA group ISE_GROUP local
aaa authorization commands 15 AAA group ISE_GROUP local
aaa authorization config-commands
ملاحظة: قائمة الطرق التي تم إنشاؤها تسمى AAA، والتي يتم إستخدامها لاحقا، عند تعيينها إلى خط vty.
5. قم بتعيين قوائم الطرق إلى سطر vty 0 4.
line vty 0 4
authorization commands 0 AAA
authorization commands 1 AAA
authorization commands 15 AAA
authorization exec AAA
login authentication AAA
التحقق من الصحة
التحقق من موجه IOS من Cisco
1. Telnet إلى موجه Cisco IOS كمسؤول ينتمي إلى مجموعة الوصول الكامل في AD. مجموعة مسؤولي الشبكة هي المجموعة الموجودة في AD والتي تم تعيينها إلى ShellProfile و AllowAllCommands التي تم تعيينها على ISE. حاول تشغيل أي أمر لضمان الوصول الكامل.
Username:admin
Password:
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#crypto isakmp policy 10
Router(config-isakmp)#encryption aes
Router(config-isakmp)#exit
Router(config)#exit
Router#
2. Telnet إلى موجه Cisco IOS كمستخدم ينتمي إلى مجموعة الوصول المحدودة في AD. مجموعة مجموعة صيانة الشبكة هي المجموعة الموجودة في AD والتي يتم تعيينها إلى ShellProfile ومجموعة الأوامر allowShowCommands على ISE. حاول تشغيل أي أمر لضمان إمكانية إصدار أوامر show فقط.
Username:user
Password:
Router#show ip interface brief | exclude unassigned
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0/0 10.48.66.32 YES NVRAM up up
Router#ping 8.8.8.8
Command authorization failed.
Router#configure terminal
Command authorization failed.
Router#show running-config | include hostname
hostname Router
Router#
التحقق من ISE 2.0
1. انتقل إلى العمليات > TACACS Livelog. تأكد من أن المحاولات التي تم القيام بها مرئية.
2. انقر فوق تفاصيل أحد التقارير الحمراء. يمكن رؤية الأمر الفاشل الذي تم تنفيذه في وقت سابق.
استكشاف الأخطاء وإصلاحها
خطأ: فشل الأمر 13025 في مطابقة قاعدة السماح
تحقق من سمات SelectedCommandSet للتحقق من تحديد مجموعات الأوامر المتوقعة من خلال نهج التخويل.
معلومات ذات صلة
الدعم التقني والمستندات - Cisco Systems
ملاحظات إصدار ISE 2.0
دليل تثبيت أجهزة ISE 2.0
دليل ترقية ISE 2.0
مصدر المحتوى الإضافي لدليل أداة ترحيل ISE
دليل تكامل ISE 2.0 Active Directory
دليل مسؤول محرك ISE 2.0