AAA [lab 6.1] Config Cisco ACS Shell Command Authorization on Switch

Discussion in 'Lab 802.1x' started by root, Jan 28, 2015.

  1. root

    root Well-Known Member

    Joined:
    Dec 31, 2012
    Messages:
    1,132
    Likes Received:
    59
    Trophy Points:
    48

    I. Config Cisco ACS Shell Command Authorization on Switch


    - Series các bài lab "Config Cisco ACS shell command authorization on Switch"
    Tham khảo thêm các bài lab khác tại:

    1. Sơ đồ Lab cấu hình Cisco ACS Shell command Authorization



    [​IMG]

    2. Sơ đồ IP
    Sơ đồ cấu hình IP cho bài lab










    Switch 192.168.100.254/24
    ACS 5.4 192.168.100.100/24
    PC 192.168.100.10/24

    3. Yêu cầu
    - Cấu hình để PC telnet vào Switch sẽ xác thực bằng user trên ACS
    - Tạo 2 group user
    • ADMIN: có privilge là 15, có thế sử dụng tất các các command ngoài trừ lệnh "show running-config"
    • USER: có privilge là 10, có thế sử dụng tất các các command ngoài trừ lệnh " show run", "show ip int brief"
    - Thiết lập thống kê (accounting) cho ACS về các xác thực trên Switch

    II. Triển khai Authorization Switch with Cisco ACS Shell Command


    2. Cấu hình Authorization trên Switch


    - Cấu hình IP




    SW-SVUIT(config)#enable password 0 123456

    SW-SVUIT(config)#vlan 10
    SW-SVUIT(config-vlan)#name ACS
    SW-SVUIT(config-vlan)#exit

    SW-SVUIT(config)#interface vlan 10
    SW-SVUIT(config-if)#ip address 192.168.100.254 255.255.255.0
    SW-SVUIT(config-if)#no shut
    SW-SVUIT(config-if)#interface range f1/14 - 15
    SW-SVUIT(config-if-range)#switchport mode access
    SW-SVUIT(config-if-range)#switchport access vlan 10
    - Từ Switch ping tới ACS server thành công
    - Trỏ đến server chứng thực ACS server



    SW-SVUIT(config)#aaa new-model
    SW-SVUIT(config)#tacacs-server host 192.168.100.100 key svuit.vn
    - Trên Switch các bạn test thử việc xác thực với user trên ACS server thành công
    - Cấu hình Switch để thực hiện xác thực bằng ACS và phân quyền cho user làm việc trên Switch



    // Thực hiện xác thực bằng ACS server với giao thức tacacs+
    SW-SVUIT(config)#aaa authentication login default group tacacs+
    SW-SVUIT(config)#aaa authorization exec default group tacacs+ local

    // Phân quyền user có thể thực hiện những lệnh cấu hình nào trên Router
    SW-SVUIT(config)#aaa authorization config-commands
    SW-SVUIT(config)#aaa authorization exec default group tacacs+ if-authenticated
    SW-SVUIT(config)#aaa authorization commands 0 default group tacacs+ local
    SW-SVUIT(config)#aaa authorization commands 1 default group tacacs+ if-authenticated
    SW-SVUIT(config)#aaa authorization commands 15 default group tacacs+ if-authenticated
    - Cấu hình Accounting để thống kê cho Switch



    SW-SVUIT(config)#aaa accounting update newinfo
    SW-SVUIT(config)#aaa accounting exec default start-stop broadcast group tacacs+
    SW-SVUIT(config)#aaa accounting commands 0 default start-stop broadcast group tacacs+
    SW-SVUIT(config)#aaa accounting commands 1 default start-stop broadcast group tacacs+
    SW-SVUIT(config)#aaa accounting commands 15 default start-stop broadcast group tacacs+

    2. Config authorization and Shell command on Cisco ACS


    1.1 Tạo group và user trên Cisco ACS
    - Tạo 1 network devices

    [​IMG]

    - Các bạn điền IP của Router và sử dụng giao thức TACACS+ và key là "svuit.com" (giống như key được cấu hình trên Router)

    [​IMG]

    - Tạo 2 group: 1 của group của ADMIN và 1 group dành cho các USER

    [​IMG]

    - Tạo group "ADMIN"

    [​IMG]

    - Các bạn cấu hình tương tự tạo thêm group "USER" và kết quả như là chúng ta đã tạo được 2 group như sau

    [​IMG]

    - tạo các user và đưa các user đó vào các group tương ứng

    [​IMG]

    - Với user "admin1" mình sẽ cho vào group "ADMIN"

    [​IMG]

    - Với user là "user1" mình sẽ cho vào group "USER"

    [​IMG]

    - Xong quá trình tạo user vào group. Các bạn có thể tạo user, group theo ý các bạn nhé :)

    [​IMG]
     
    Last edited: Jul 3, 2016

Share This Page