ASA 8.3: TACACS-verificatie met ACS 5.X

Downloadopties

  • PDF     (472.9 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (358.0 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (751.2 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:28 april 2011
Document-id:112967

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document bevat informatie over de manier waarop u het security apparaat kunt configureren om gebruikers voor netwerktoegang te verifiëren.

Voorwaarden

Vereisten

Dit document gaat ervan uit dat de adaptieve security applicatie (ASA) volledig operationeel is en geconfigureerd is om Cisco Adaptive Security Device Manager (ASDM) of CLI in staat te stellen configuratiewijzigingen aan te brengen.

Opmerking: Raadpleeg Toestaan van HTTPS-toegang voor ASDM voor meer informatie over hoe u het apparaat op afstand kunt configureren door de ASDM.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • Software voor Cisco adaptieve security applicatie versie 8.3 en hoger

  • Cisco Adaptieve Security Device Manager versie 6.3 en hoger

  • Cisco Secure Access Control Server 5.x

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

Opmerking: Gebruik de Command Lookup Tool (alleen geregistreerde klanten) om meer informatie te verkrijgen over de opdrachten die in deze sectie worden gebruikt.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

acs-aaa-tacacs-01.gif

Opmerking: De in deze configuratie gebruikte schema’s voor IP-adressering zijn niet officieel routeerbaar op het internet. Het zijn RFC 1918-adressen die werden gebruikt in een laboratoriumomgeving.

ASA voor verificatie vanuit ACS-server configureren met CLI

Voer deze configuraties uit voor de ASA om te verifiëren vanaf de ACS-server:


!--- configuring the ASA for TACACS server

ASA(config)# aaa-server cisco protocol tacacs+
ASA(config-aaa-server-group)# exit

!--- Define the host and the interface the ACS server is on.

ASA(config)# aaa-server cisco (DMZ) host 192.168.165.29
ASA(config-aaa-server-host)# key cisco

!--- Configuring the ASA for HTTP and SSH access using ACS and fallback method as LOCAL authentication.

ASA(config)#aaa authentication ssh console cisco LOCAL
ASA(config)#aaa authentication http console cisco LOCAL

Opmerking: Maak een lokale gebruiker op de ASA met de gebruikersnaam cisco wachtwoord cisco privilege 15 opdracht om toegang te krijgen tot de ASDM met lokale verificatie wanneer de ACS niet beschikbaar is.

ASA voor verificatie vanuit ACS-server configureren met ASDM

ASDM-procedure

Voltooi deze stappen om ASA te configureren voor verificatie vanaf de ACS-server:

  1. Kies Configuratie > Apparaatbeheer > Gebruikers/AAA > AAA-servergroepen > Toevoegen om een AAA-servergroep te maken.

    acs-aaa-tacacs-02.gif

  2. Geef de details van de AAA-servergroep op in het venster AAA-servergroep toevoegen zoals aangegeven op de afbeelding. Het gebruikte protocol is TACACS+ en de servergroep die wordt gemaakt is Cisco.

    acs-aaa-tacacs-03.gif

    Klik op OK.

  3. Kies Configuratie > Apparaatbeheer > Gebruikers/AAA > AAA-servergroepen en klik op Add onder Servers in de geselecteerde groep om de AAA-server toe te voegen.

    acs-aaa-tacacs-04.gif

  4. Geef de details van de AAA-server op in het venster AAA-server toevoegen zoals aangegeven op de afbeelding. De gebruikte servergroep is Cisco.

    acs-aaa-tacacs-05.gif

    Klik op OK en vervolgens op Toepassen.

    De AAA-servergroep en de AAA-server worden op de ASA geconfigureerd.

  5. Klik op Apply (Toepassen).

    acs-aaa-tacacs-06.gif

  6. Kies Configuratie > Apparaatbeheer > Gebruikers/AAA > AAA-toegang > Verificatie en klik op de selectievakjes naast HTTP/ASDM en SSH. Kies vervolgens Cisco als servergroep en klik op Toepassen.

    acs-aaa-tacacs-07.gif

ACS als TACACS-server configureren

Voltooi deze procedure om ACS als server te vormen TACACS:

  1. Kies Netwerkbronnen > Netwerkapparaten en AAA-clients en klik op Maken om de ASA aan de ACS-server toe te voegen.

    acs-aaa-tacacs-08.gif

  2. Verstrek de vereiste informatie over de client (ASA is hier de client) en klik op Indienen. Hierdoor kan de ASA worden toegevoegd aan de ACS-server. De gegevens omvatten het IP-adres van de ASA en de gegevens over de TACACS-server.

    acs-aaa-tacacs-09.gif

    U ziet de client-Cisco worden toegevoegd aan de ACS-server.

    acs-aaa-tacacs-10.gif

  3. Kies Gebruikers en Identity winkels > Interne Identity Store > Gebruikers en klik op Maken om een nieuwe gebruiker te maken.

    acs-aaa-tacacs-11.gif

  4. Geef de informatie over de naam, het wachtwoord en de wachtwoordgegevens inschakelen op. Wachtwoord inschakelen is optioneel. Klik op Indienen als u klaar bent.

    acs-aaa-tacacs-12.gif

    U ziet de gebruiker cisco toegevoegd aan de ACS-server.

    acs-aaa-tacacs-13.gif

Verifiëren

Gebruik deze sectie om te controleren of uw configuratie goed werkt.

Gebruik de cisco host 192.168.165.29 gebruikersnaam en wachtwoord cisco opdracht voor testverificatie om te controleren of de configuratie correct werkt. Deze afbeelding laat zien dat de verificatie is geslaagd en dat de gebruiker die verbinding maakt met de ASA, is geverifieerd door de ACS-server.

acs-aaa-tacacs-14.gif

De Output Interpreter Tool (OIT) (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de OIT om een analyse te bekijken van de output van de opdracht show.

Problemen oplossen

Fout: AAA-markering Tacacs+ server x.x.x.x in aaa-servergroep als MISLUKT

Dit bericht betekent dat Cisco ASA de connectiviteit met de x.x.x.x-server verloor. Zorg ervoor dat u een geldige connectiviteit op TCP 49 hebt voor server x.x.x.x van de ASA. U kunt ook de tijd op de ASA voor TACACS+ server verhogen van 5 naar het gewenste aantal seconden voor het geval er een netwerklatentie is. ASA zou geen verificatieaanvraag verzenden naar de MISLUKTE server x.x.x.x. Het zal echter de volgende server in de tac's van de aaa-servergroep gebruiken.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
25-Apr-2011
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten