Dit document bevat informatie over de manier waarop u het security apparaat kunt configureren om gebruikers voor netwerktoegang te verifiëren.
Dit document gaat ervan uit dat de adaptieve security applicatie (ASA) volledig operationeel is en geconfigureerd is om Cisco Adaptive Security Device Manager (ASDM) of CLI in staat te stellen configuratiewijzigingen aan te brengen.
Opmerking: Raadpleeg Toestaan van HTTPS-toegang voor ASDM voor meer informatie over hoe u het apparaat op afstand kunt configureren door de ASDM.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Software voor Cisco adaptieve security applicatie versie 8.3 en hoger
Cisco Adaptieve Security Device Manager versie 6.3 en hoger
Cisco Secure Access Control Server 5.x
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.
Opmerking: Gebruik de Command Lookup Tool (alleen geregistreerde klanten) om meer informatie te verkrijgen over de opdrachten die in deze sectie worden gebruikt.
Het netwerk in dit document is als volgt opgebouwd:
Opmerking: De in deze configuratie gebruikte schema’s voor IP-adressering zijn niet officieel routeerbaar op het internet. Het zijn RFC 1918-adressen die werden gebruikt in een laboratoriumomgeving.
Voer deze configuraties uit voor de ASA om te verifiëren vanaf de ACS-server:
!--- configuring the ASA for TACACS server ASA(config)# aaa-server cisco protocol tacacs+ ASA(config-aaa-server-group)# exit !--- Define the host and the interface the ACS server is on. ASA(config)# aaa-server cisco (DMZ) host 192.168.165.29 ASA(config-aaa-server-host)# key cisco !--- Configuring the ASA for HTTP and SSH access using ACS and fallback method as LOCAL authentication. ASA(config)#aaa authentication ssh console cisco LOCAL ASA(config)#aaa authentication http console cisco LOCAL
Opmerking: Maak een lokale gebruiker op de ASA met de gebruikersnaam cisco wachtwoord cisco privilege 15 opdracht om toegang te krijgen tot de ASDM met lokale verificatie wanneer de ACS niet beschikbaar is.
ASDM-procedure
Voltooi deze stappen om ASA te configureren voor verificatie vanaf de ACS-server:
Kies Configuratie > Apparaatbeheer > Gebruikers/AAA > AAA-servergroepen > Toevoegen om een AAA-servergroep te maken.
Geef de details van de AAA-servergroep op in het venster AAA-servergroep toevoegen zoals aangegeven op de afbeelding. Het gebruikte protocol is TACACS+ en de servergroep die wordt gemaakt is Cisco.
Klik op OK.
Kies Configuratie > Apparaatbeheer > Gebruikers/AAA > AAA-servergroepen en klik op Add onder Servers in de geselecteerde groep om de AAA-server toe te voegen.
Geef de details van de AAA-server op in het venster AAA-server toevoegen zoals aangegeven op de afbeelding. De gebruikte servergroep is Cisco.
Klik op OK en vervolgens op Toepassen.
De AAA-servergroep en de AAA-server worden op de ASA geconfigureerd.
Klik op Apply (Toepassen).
Kies Configuratie > Apparaatbeheer > Gebruikers/AAA > AAA-toegang > Verificatie en klik op de selectievakjes naast HTTP/ASDM en SSH. Kies vervolgens Cisco als servergroep en klik op Toepassen.
Voltooi deze procedure om ACS als server te vormen TACACS:
Kies Netwerkbronnen > Netwerkapparaten en AAA-clients en klik op Maken om de ASA aan de ACS-server toe te voegen.
Verstrek de vereiste informatie over de client (ASA is hier de client) en klik op Indienen. Hierdoor kan de ASA worden toegevoegd aan de ACS-server. De gegevens omvatten het IP-adres van de ASA en de gegevens over de TACACS-server.
U ziet de client-Cisco worden toegevoegd aan de ACS-server.
Kies Gebruikers en Identity winkels > Interne Identity Store > Gebruikers en klik op Maken om een nieuwe gebruiker te maken.
Geef de informatie over de naam, het wachtwoord en de wachtwoordgegevens inschakelen op. Wachtwoord inschakelen is optioneel. Klik op Indienen als u klaar bent.
U ziet de gebruiker cisco toegevoegd aan de ACS-server.
Gebruik deze sectie om te controleren of uw configuratie goed werkt.
Gebruik de cisco host 192.168.165.29 gebruikersnaam en wachtwoord cisco opdracht voor testverificatie om te controleren of de configuratie correct werkt. Deze afbeelding laat zien dat de verificatie is geslaagd en dat de gebruiker die verbinding maakt met de ASA, is geverifieerd door de ACS-server.
De Output Interpreter Tool (OIT) (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de OIT om een analyse te bekijken van de output van de opdracht show.
Dit bericht betekent dat Cisco ASA de connectiviteit met de x.x.x.x-server verloor. Zorg ervoor dat u een geldige connectiviteit op TCP 49 hebt voor server x.x.x.x van de ASA. U kunt ook de tijd op de ASA voor TACACS+ server verhogen van 5 naar het gewenste aantal seconden voor het geval er een netwerklatentie is. ASA zou geen verificatieaanvraag verzenden naar de MISLUKTE server x.x.x.x. Het zal echter de volgende server in de tac's van de aaa-servergroep gebruiken.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
25-Apr-2011 |
Eerste vrijgave |