本文檔旨在協助首次使用Cisco Secure 2.x的使用者設定和調試Cisco Secure TACACS+配置。它並非思科安全功能的詳盡說明。
有關伺服器軟體和使用者設定的詳細資訊,請參閱您的Cisco Secure文檔。有關路由器命令的詳細資訊,請參閱Cisco IOS軟體文檔以獲得相應版本。
本文中的資訊係根據以下軟體和硬體版本:
Cisco Secure ACS 2.x及更高版本
Cisco IOS®軟體版本11.3.3及更新版本
請完成以下步驟:
確保使用軟體附帶的說明在UNIX伺服器上安裝Cisco Secure代碼。
若要確認產品停止和啟動,請將cd輸入/etc/rc0.d,並以root使用者身份執行。/K80Cisco Secure(停止守護程式)。
將cd輸入/etc/rc2.d,並作為root使用者執行。/S80Cisco Secure(用於啟動守護程式)。
啟動時,您應該會看到以下消息:
Cisco Secure starting Processes: Fast Track Admin, FastTrack Server (Delayed Start), DBServer, AAA Server
運行$BASE/utils/psg,以確保每個進程至少有一個運行,例如SQLAnywhere或其他資料庫引擎、Cisco Secure資料庫伺服器進程、Netscape Web Server、Netscape Web Admin、Acme Web Server、Cisco Secure AAA進程或自動重新啟動進程。
為了確保您位於正確的目錄中,請在外殼環境中設定環境變數和路徑。此處使用c-shell。
$BASE是安裝期間選擇的Cisco Secure的安裝目錄。它包含DOCS、DBServer、CSU等目錄。
在此範例中,假設安裝在/opt/CSCOacs中,但您的系統可能有所不同:
setenv $BASE /opt/CSCOacs
$SQLANY是在安裝期間選擇安裝預設Cisco Secure資料庫的目錄。如果使用的是產品附帶的預設資料庫SQLAnywhere,則它包含資料庫、文檔等目錄。
在此範例中,假設安裝在/opt/CSCOacs/SYBSsa50中,但您的系統可能有所不同。
setenv $SQLANY /opt/CSCOacs/SYBSsa50
將外殼環境中的路徑新增到:
$BASE/utils $BASE/bin $BASE/CSU $BASE/ns-home/admserv $BASE/Ns-home/bin/httpd $SQLANY/bin
CD到$BASE/config
CSU.cfg是Cisco Secure Server控制檔案。製作此檔案的備份副本。
在此檔案中,LIST config_license_key顯示您在購買軟體後通過許可流程接收的許可證金鑰;如果這是一個4埠試用許可證,則可以忽略此行。
NAS config_nas_config部分可以包含預設的網路訪問伺服器(NAS)或路由器,或者您在安裝過程中輸入的NAS。在本例中,出於調試目的,您可以允許任何NAS與Cisco Secure Server進行通訊,而無金鑰。例如,從包含/* NAS名稱的行中刪除NAS的名稱和金鑰,可以轉到此處*/"和/*NAS/Cisco安全金鑰*/。該地區唯一的標準是:
NAS config_nas_config = { { "", /* NAS name can go here */ "", /* NAS/Cisco Secure secret key */ "", /* message_catalogue_filename */ 1, /* username retries */ 2, /* password retries */ 1 /* trusted NAS for SENDPASS */ } }; AUTHEN config_external_authen_symbols = {
執行此操作時,您會告訴Cisco Secure它允許與所有NAS進行通訊,而無需交換金鑰。
如果您希望調試資訊轉到/var/log/csuslog,則您需要在CSU.cfg的頂部有一行,它告訴伺服器要執行多少調試。0X7FFFFF增加了所有可能的調試。相應地新增或修改此行:
NUMBER config_logging_configuration = 0x7FFFFFFF;
此附加行將調試資訊傳送到local0:
NUMBER config_system_logging_level = 0x80;
此外,請新增以下專案以修改/etc/syslog.conf檔案:
local0.debug /var/log/csuslog
然後回收syslogd以重新讀取:
kill -HUP `cat /etc/syslog.pid`
回收Cisco Secure伺服器:
/etc/rc0.d/K80Cisco Secure /etc/rc2.d/S80Cisco Secure
應該還是要開始。
您可能希望使用瀏覽器新增使用者、組等,或者使用CSimport實用程式。使用CSimport可以輕鬆地將本文檔末尾平面檔案中的示例使用者移動到資料庫中。這些使用者將用於測試用途,並且您可以在讓自己的使用者進入後將其刪除。匯入後,您可通過GUI檢視匯入的使用者。
如果您決定使用CSimport:
CD $BASE/utils
將本文檔末尾的使用者和組配置檔案放在一個檔案中,如系統中的任何位置,然後從$BASE/utils目錄(後台守護程式正在運行,例如/etc/rc2.d/S80Cisco Secure),並以使用者根使用者身份,使用測試(-t)選項運行CSimport:
./CSimport -t -p <path_to_file> -s <name_of_file>
此指令會測試使用者的語法;您應該收到如下消息:
Secure config home directory is: /opt/CSCOacs/config/CSConfig.ini hostname = berry and port = 9900 and clientid = 100 /home/ddunlap/csecure/upgrade.log exists, do you want to write over 'yes' or 'no' ? yes Sorting profiles... Done sorting 21 profiles! Running the database import test...
您不應收到以下消息:
Error at line 2: password = "adminusr" Couldn't repair and continue parse
無論是否有錯誤,請檢查upgrade.log以確保配置檔案已簽出。更正錯誤後,從$BASE/utils目錄,後台守護程式正在運行(/etc/rc2.d/S80Cisco Secure),並以使用者根使用者身份運行CSimport with the commit(-c)選項,將使用者移動到資料庫中:
./CSimport -c -p <path_to_file> -s <name_of_file>
同樣,螢幕上或upgrade.log中不應出現錯誤。
思科安全相容性技術提示中列出支援的瀏覽器。在PC瀏覽器中,指向Cisco Secure/Solaris框http://#.#.#.#/cs,其中#.#.#.#是Cisco Secure/Solaris伺服器的IP。
在顯示的螢幕上,使用者輸入superuser,密碼輸入changeme。此時請勿更改密碼。如果您在上一步中使用了CSimport,您應該會看到新增的使用者/組,或者您可以按一下browse block off並通過GUI手動新增使用者和組。
註:此路由器配置是在運行Cisco IOS軟體版本11.3.3的路由器上開發的。Cisco IOS軟體版本12.0.5.T及更高版本顯示group tacacs而不是tacacs。
此時,請配置路由器。
配置路由器時終止Cisco Secure。
/etc/rc0.d/K80Cisco Secure to stop the daemons.
在路由器上,開始配置TACACS+。輸入啟用模式,並在命令集之前鍵入conf t。此語法可確保您在未運行Cisco Secure時不會鎖定在路由器之外。輸入ps -ef | grep Secure檢查以確保Cisco Secure未運行,如果是,則終止–9進程:
!--- Turn on TACACS+ aaa new-model enable password whatever !--- These are lists of authentication methods, !--- that is, vtymethod and conmethod are !--- names of lists, and the methods listed on the !--- same lines are the methods in the order to be !--- tried. As used here, if authentication !--- fails due to Cisco Secure not being started, !--- the enable password is accepted !--- because it is in each list. aaa authentication login vtymethod tacacs+ enable aaa authentication login conmethod tacacs+ enable !--- Point the router to the server, that is, !--- #.#.#.# is the server IP address. tacacs-server host #.#.#.# line con 0 password whatever !--- No time-out to prevent being locked out !--- during debugging. exec-timeout 0 0 login authentication conmethod line vty 0 4 password whatever !--- No time-out to prevent being locked out !--- during debugging. exec-timeout 0 0 login authentication vtymethod
繼續進行之前,請進行測試,確保您仍可以通過Telnet和控制檯埠訪問路由器。由於Cisco Secure沒有運行,因此應該接受啟用密碼。
注意:保持控制檯埠會話處於活動狀態並保持啟用模式;此會話不應超時。此時您開始限制對路由器的訪問,您需要能夠進行配置更改而不將自己鎖定。
發出以下命令,以便檢視路由器上伺服器到路由器的互動:
terminal monitor debug aaa authentication
以root使用者身份在伺服器上啟動Cisco Secure:
/etc/rc2.d/S80Cisco Secure
這將啟動進程,但您希望啟用比S80Cisco Secure中配置的調試更多的調試,因此:
ps -ef | grep Cisco Secure kill -9 <pid_of CS_process> CD $BASE/CSU ./Cisco Secure -cx -f $BASE/config/CSU.cfg to start the Cisco Secure process with debugging
如果使用-x選項,Cisco Secure將在前台運行,以便觀察路由器與伺服器的互動。您不應看到錯誤消息。由於 — x選項,Cisco Secure進程應啟動並掛起。
在另一個視窗中,檢查以確保Cisco Secure已啟動。輸入ps -ef並查詢Cisco Secure進程。
Telnet(vty)使用者現在必須通過Cisco Secure進行身份驗證。在路由器上進行偵錯時,從網路的另一部分Telnet至路由器。路由器應顯示使用者名稱和密碼提示。您應該可以使用以下使用者ID/密碼組合訪問路由器:
adminusr/adminusr operator/oper desusr/encrypt
觀察應檢視互動的伺服器和路由器,即傳送位置、響應和請求等。請更正所有問題,然後再繼續。
如果您也希望使用者透過Cisco Secure進行驗證以進入啟用模式,請確保您的主控台連線埠作業階段仍處於作用中狀態,並將以下命令新增到路由器中:
!--- For enable mode, list 'default' looks to Cisco Secure !--- then enable password if Cisco Secure is not running. aaa authentication enable default tacacs+ enable
您現在必須通過Cisco Secure啟用。在路由器上進行偵錯時,從網路的另一部分Telnet至路由器。當路由器要求使用者名稱/密碼時,使用operator/oper響應。
使用者操作員嘗試進入啟用模式(許可權級別15)時,需要密碼「cisco」。沒有許可權級別語句(或思科安全守護程式關閉),其他使用者將無法進入啟用模式。
觀察伺服器和路由器,您應該從其中看到思科安全互動,例如,從何處傳送的內容、響應和請求等。在繼續之前更正所有問題。
在連線到控制檯埠的同時關閉伺服器上的Cisco Secure進程,以確保您的使用者在Cisco Secure關閉時仍可以訪問路由器:
'ps -ef' and look for Cisco Secure process kill -9 pid_of_Cisco Secure
重複上一步的Telnet和啟用。路由器應意識到Cisco Secure進程不會響應,允許使用者使用預設啟用密碼登入和啟用。
再次啟動Cisco Secure伺服器並建立到路由器的Telnet會話(該會話應通過Cisco Secure進行身份驗證),使用userid/password operator/oper檢查通過Cisco Secure對控制檯埠使用者的身份驗證。在確認可以通過控制檯埠登入到路由器之前,保持通過遠端登入到路由器並處於啟用模式。例如,通過控制檯埠註銷與路由器的原始連線,然後重新連線到控制檯埠。使用先前使用者ID/密碼組合登入的控制檯埠身份驗證現在應通過Cisco Secure。例如,必須先使用userid/password operator/oper和cisco密碼才能啟用。
本節提供用於設定本文件中所述功能的資訊。
註:使用Command Lookup Tool(僅限註冊客戶)可獲取本節中使用的命令的詳細資訊。
新增授權是可選的。
預設情況下,路由器上有三個命令等級:
許可權級別0 — 包括禁用、啟用退出、幫助和註銷
許可權級別1 - Telnet上的正常級別和提示符為router>
許可權級別15 — 啟用級別並提示router#
由於可用命令取決於Cisco IOS功能集、Cisco IOS軟體版本、路由器型號等,因此沒有第1級和第15級所有命令的完整清單。例如,show ipx route不存在於僅IP功能集中,show ip nat trans不位於Cisco IOS軟體版本10.2.X代碼中,因為當時未引入NAT,並且沒有電源和溫度監控的路由器型號中沒有show environment。
可以找到特定路由器中特定級別的可用命令,可以輸入?處於該許可權級別時,在路由器中提示符處。
在實施CSCdi82030之前,未將控制檯埠授權新增為功能。預設情況下,控制檯埠授權處於關閉狀態,以減少路由器意外鎖定的可能性。如果使用者可以通過控制檯對路由器進行物理訪問,則控制檯埠授權不會非常有效。但是,可以在使用authorization exec default|WORD命令實施CSCdi82030的Cisco IOS映像中,在line con 0命令下開啟控制檯埠授權。
請完成以下步驟:
路由器可以配置為在所有級別或某些級別通過Cisco Secure授權命令。此路由器配置允許所有使用者在伺服器上設定每個命令的授權。您可以通過Cisco Secure對所有命令進行授權,但是如果伺服器發生故障,則無需授權,因此none。
在Cisco Secure Server關閉的情況下,輸入以下命令:
輸入以下命令可移除必須透過Cisco Secure執行驗證的要求:
no aaa authentication enable default tacacs+ none
輸入以下命令可要求通過Cisco Secure進行命令授權:
aaa authorization commands 0 default tacacs+ none aaa authorization commands 1 default tacacs+ none aaa authorization commands 15 default tacacs+ none
當Cisco Secure Server運行時,使用userid/password loneusr/lonepwdTelnet到路由器。此使用者應該不能執行除以下命令以外的任何命令:
show version ping <anything> logout
先前使用者adminusr/adminusr、operator/oper、desusr/encrypt仍憑藉其預設服務=permit有能力執行所有命令。如果進程出現問題,請進入路由器的啟用模式,然後使用以下命令開啟授權調試:
terminal monitor debug aaa authorization
觀察應看到思科安全互動的伺服器和路由器,例如,傳送內容、響應、請求等。請更正所有問題,然後再繼續。
可以將路由器配置為通過Cisco Secure授權exec會話。aaa authorization exec default tacacs+ none命令為exec會話建立TACACS+授權。
如果應用此項,則會影響使用者時間/時間、telnet/telnet、todam/todam、todpm/todpm和somerouters/somerouters。將此命令新增到路由器並以使用者時間/時間Telnet到路由器後,exec會話將保持開啟狀態一分鐘(set timeout = 1)。 使用者telnet/telnet會進入路由器,但會立即傳送到另一個位址(set autocmd = "telnet 171.68.118.102")。 todam/todam和todpm/todpm使用者可能無法訪問路由器,具體取決於測試期間路由器處於什麼時間。使用者somerouters只能從網路10.31.1.x通過Telnet連線到路由器koala.rtp.cisco.com。Cisco Secure會嘗試解析路由器的名稱。如果使用IP地址10.31.1.5,則解析未發生時有效;如果使用名稱koala,則解析為通過時有效。
新增記帳是可選操作。
如果路由器運行的Cisco IOS軟體版本高於Cisco IOS軟體版本11.0,則除非在路由器中配置,否則不會進行記帳。您可以在路由器上啟用記帳:
aaa accounting exec default start-stop tacacs+ aaa accounting connection default start-stop tacacs+ aaa accounting network default start-stop tacacs+ aaa accounting system default start-stop tacacs+
注意:Command-accounting has broken, in Cisco bug ID CSCdi44140,但是如果您使用修復了此問題的映像,也可以啟用命令記帳。
在路由器上新增記帳記錄調試:
terminal monitor debug aaa accounting
控制檯上的調試應顯示使用者登入時進入伺服器的記帳記錄。
為了以根使用者身份檢索記帳記錄:
CD $BASE/utils/bin ./AcctExport <filename> no_truncate
no_truncate表示資料保留在資料庫中。
請完成以下步驟:
在新增撥號使用者之前,請確保Cisco Secure的其他功能正常工作。如果Cisco Secure伺服器和數據機在此點之前無法正常工作,則它們在此點之後無法正常工作。
將此命令新增到路由器配置:
aaa authentication ppp default if-needed tacacs+ aaa authentication login default tacacs+ enable aaa authorization network default tacacs+ chat-script default "" at&fls0=1&h1&r2&c1&d2&b1e0q2 OK
介面組態會有所不同,這取決於驗證的方式,但在本範例中,以下組態會使用撥入線路:
interface Ethernet 0 ip address 10.6.1.200 255.255.255.0 ! !--- CHAP/PPP authentication user: interface Async1 ip unnumbered Ethernet0 encapsulation ppp async mode dedicated peer default ip address pool async no cdp enable ppp authentication chap ! !--- PAP/PPP authentication user: interface Async2 ip unnumbered Ethernet0 encapsulation ppp async mode dedicated peer default ip address pool async no cdp enable ppp authentication pap ! !--- login authentication user with autocommand PPP: interface Async3 ip unnumbered Ethernet0 encapsulation ppp async mode interactive peer default ip address pool async no cdp enable ip local pool async 10.6.100.101 10.6.100.103 line 1 session-timeout 20 exec-timeout 120 0 autoselect during-login script startup default script reset default modem Dialin transport input all stopbits 1 rxspeed 115200 txspeed 115200 flowcontrol hardware ! line 2 session-timeout 20 exec-timeout 120 0 autoselect during-login script startup default script reset default modem Dialin transport input all stopbits 1 rxspeed 115200 txspeed 115200 flowcontrol hardware ! line 3 session-timeout 20 exec-timeout 120 0 autoselect during-login autoselect ppp script startup default script reset default modem Dialin autocommand ppp transport input all stopbits 1 rxspeed 115200 txspeed 115200 flowcontrol hardware ! access-list 101 deny icmp any any
在Cisco Secure的使用者檔案中:
chapuser - CHAP/PPP — 使用者撥入第1行;地址由路由器上的對等預設ip地址池非同步和ip local pool async 10.6.100.101 10.6.100.103分配
chapaddr - CHAP/PPP — 使用者撥入第1行;地址10.29.1.99由伺服器分配
chapacl - CHAP/PPP — 使用者撥入第1行;地址10.29.1.100由伺服器分配,並應用入站訪問清單101(必須在路由器上定義)
papuser - PAP/PPP — 使用者撥入第2行;地址由路由器上的對等預設ip地址池非同步和ip local pool async 10.6.100.101 10.6.100.103分配
papaddr - PAP/PPP — 使用者撥入第2行;地址10.29.1.98由伺服器分配
papacl - PAP/PPP — 使用者撥入第2行;地址10.29.1.100由伺服器分配,並且應用入站訪問清單101,該清單必須在路由器上定義
loginauto — 使用者撥入第3行;使用autocommand on line的登入身份驗證強制使用者進行PPP連線並從池分配地址
除使用者loginauto之外的所有使用者的Microsoft Windows安裝程式
選擇開始>程式>附件>撥號網路。
選擇Connections > Make New Connection。鍵入連線的名稱。
輸入數據機特定的資訊。在Configure > General中,選擇數據機的最高速度,但不要選中此框下方的框。
在Configure > Connection中,使用8個資料位、無奇偶校驗和1個停止位。呼叫首選項為Wait for dial tone before dialing和Cancel the call if not connected after 200 seconds。
在高級中,僅選擇硬體流控制和調制型別標準。
在Configure > Options中,除狀態控制下外,不檢查任何內容。按一下「OK」(確定)。
在「下一步」視窗中,輸入目標的電話號碼,然後按一下下一步,然後按一下完成。
顯示新連線圖示後,按一下右鍵該圖示並選擇屬性,然後按一下伺服器型別。
選擇PPP:WINDOWS 95、WINDOWS NT 3.5、Internet,並且不檢查任何高級選項。
在Allowed network protocols中,至少檢查TCP/IP。
在「TCP/IP設定」下,選擇「伺服器分配的IP地址」、「伺服器分配的名稱伺服器地址」和「使用遠端網路上的預設網關」。按一下「OK」(確定)。
按兩下圖示以開啟「連線到」視窗以進行撥號時,必須填寫「使用者名稱」和「密碼」欄位,然後按一下連線。
Microsoft Windows 95 Setup for User loginauto
除Configure > Options視窗外,使用者loginauto(使用autocommand PPP進行身份驗證的使用者)的配置與其他使用者相同。選中Bring up terminal window after dialing。
按兩下圖示以開啟「連線到」視窗進行撥號時,不會填寫「使用者名稱」和「密碼」欄位。按一下Connect,在連線到路由器後,在顯示的黑色視窗中鍵入使用者名稱和密碼。
身份驗證後,按一下Continue(F7)。
目前沒有適用於此組態的驗證程序。
本節提供的資訊可用於對組態進行疑難排解。
./Cisco Secure -cx -f $BASE/CSU $BASE/config/CSU.cfg
輸出直譯器工具(僅供已註冊客戶使用)(OIT)支援某些show命令。使用OIT檢視show命令輸出的分析。
附註:使用 debug 指令之前,請先參閱有關 Debug 指令的重要資訊。有關特定命令的詳細資訊,請參閱Cisco IOS Debug命令參考。
terminal monitor — 顯示debug命令輸出以及目前終端和作業階段的系統錯誤訊息。
debug ppp negotiation — 顯示在PPP啟動期間傳輸的PPP資料包,其中協商了PPP選項。
debug ppp packet — 顯示傳送和接收的PPP資料包。此命令顯示低級別資料包轉儲。
debug ppp chap — 顯示有關實施質詢身份驗證協定(CHAP)的網際網路中的流量和交換的資訊。
debug aaa authentication — 檢視正在使用哪些身份驗證方法,以及這些方法的結果。
debug aaa authorization — 檢視正在使用的授權方法以及這些方法的結果。
group = admin { password = clear "adminpwd" service = shell { default cmd = permit default attribute = permit } } group = oper { password = clear "oper" privilege = clear "cisco" 15 service = shell { default cmd = permit default attribute = permit } } user = adminusr { password = clear "adminusr" default service = permit } user = desusr { password = des "QjnXYd1kd7ePk" default service = permit } user = operator { member = oper default service = permit } user = time { default service = permit password = clear "time" service = shell { set timeout = 1 default cmd = permit default attribute = permit } } user = todam { password = clear "todam" service = shell { default cmd = permit default attribute = permit time = Any 0600 - 1200 } } user = todpm { password = clear "todpm" service = shell { default cmd = permit default attribute = permit time = Any 1200 - 2359 } } user = telnet { password = clear "telnet" service = shell { set autocmd = "telnet 171.68.118.102" } } user = limit_lifetime { password = clear "cisco" from "2 may 2001" until "4 may 2001" } user = loneusr { password = clear "lonepwd" service = shell { cmd = show { permit "ver" } cmd = ping { permit "." } cmd = logout { permit "." } } } user = chapuser { default service = permit password = chap "chapuser" service = ppp { protocol = lcp { } protocol = ip { } } } user = chapaddr { password = chap "chapaddr" service = ppp { protocol = lcp { } protocol = ip { set addr = 10.29.1.99 } } } user = chapacl { default service = permit password = chap "chapacl" service = ppp { protocol = lcp { } protocol = ip { set inacl = 101 set addr = 10.29.1.100 } } } user = papuser { default service = permit password = pap "papuser" service = ppp { protocol = lcp { } protocol = ip { } } } user = papaddr { default service = permit password = pap "papaddr" service = ppp { protocol = lcp { } protocol = ip { set addr = 10.29.1.98 } } } user = papacl { default service = permit password = chap "papacl" service = ppp { protocol = lcp { } protocol = ip { set inacl = 101 set addr = 10.29.1.100 } } } user = loginauto { default service = permit password = clear "loginauto" service = ppp { protocol = lcp { } protocol = ip { } } } user = somerouters { password = clear "somerouters" allow koala ".*" "10\.31\.1\.*" allow koala.rtp.cisco.com ".*" "10\.31\.1\.*" allow 10.31.1.5 ".*" "10\.31\.1\.*" refuse ".*" ".*" ".*" service=shell { default cmd=permit default attribute=permit } }
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
08-Oct-2018 |
初始版本 |