AAA [lab 6.2] Config Cisco ACS Shell Command Authorization on Switch

Discussion in 'Lab 802.1x' started by root, Jul 2, 2016.

  1. root

    root Active Member

    Joined:
    Dec 31, 2012
    Messages:
    1,179
    Likes Received:
    34
    Trophy Points:
    38

    Config Cisco ACS Shell Command Authorization on Switch - Phần 2


    - Series các bài lab "Config Cisco ACS shell command authorization on Switch"
    Tham khảo thêm các bài lab khác tại:

    1.2 Config Shell Profiles on Cisco ACS


    - Trước tiên chúng ta cần tạo ra các Shell Profiles để cấu hình phần quyền cho từng group user thuộc các Shell profiles.
    Chúng ta sẽ cấp quyền cho các Shell Profiles tương ứng với các privilege level.
    Để tạo Shell Profiles trên Cisco ACS 5.4 các bạn vào
    Policy Elements --> Authorization and Permissions --> Device Administrations --> Shell Profiles

    [​IMG]

    - Chúng ta sẽ tạo 1 profiles cho group "ADMIN"

    [​IMG]

    - Chúng ta sẽ phần quyền cho Profiles "ADMIN_Profile" là privilege là 15.
    Trên tab "Common tasks" các bạn cấu hình Privilege level cho group "ADMIN" là privilege 15.
    • Default Privilege: 15
    • Maximum privilege: 15

    [​IMG]

    - Tương tự các bạn tạo ra 1 profile cho các user thường với privilege là 10.

    [​IMG]

    - Chúng ta sẽ phần quyền cho Profiles của "USER_Profile" có privilege là 10.
    Trên tab "Common tasks" các bạn cấu hình Privilege level cho group "USER" là privilege 10.
    • Default Privilege: 10
    • Maximum privilege: 10
    [​IMG]

    2.3 Config command sets on Cisco ACS


    Command Sets trên Cisco ACS 5.4 được sử dụng để tạo ra tập lệnh cho những user chứng thực thành công được sử dụng và tập lệnh nào họ không được sử dụng.
    - Cấu hình command sets để phân quyền user được sử dụng những lệnh nào trên Router
    - Để tạo conmmand sets các bạn vào
    Policy Elements --> Authorization and Permiessions --> Device Administration --> Command Sets

    [​IMG]

    - Đặt tên cho một command sets "ADMIN_COMMAND" cho group "ADMIN". Chúng ta sẽ cho phép group "ADMIN" được dùng tất cả các lệnh ngoài trừ lệnh "show run"

    [​IMG]

    [​IMG]

    - Tương tự các bạn tạo "USER_COMMAND" chỉ được quyền sử dụng lệnh "show privilege"

    [​IMG]

    - Ở đây mình đã tạo ra 2 command sets và mình sẽ sử dụng nó để áp lên cho các group "ADMIN và USER" tương ứng
    [​IMG]
     
    Last edited: Jul 3, 2016
  2. root

    root Active Member

    Joined:
    Dec 31, 2012
    Messages:
    1,179
    Likes Received:
    34
    Trophy Points:
    38

    2.4 Config Access service on Cisco ACS


    - Tạo Rule để áp đặt cho các user. Ở đây bạn có thể tạo rule trong default service của ACS cũng được. Nhưng mình sẽ hướng dẫn tạo mới.
    [​IMG]

    [​IMG]

    [​IMG]

    [​IMG]

    - Tạo service rule để áp access service đã tạo ở trên
    [​IMG]

    - Giao thức sử dụng tacacs và service là SVUIT mà bạn vừa mới tạo ra ở trên

    [​IMG]
    - Bây giờ các traffic xác thực tacacs sẽ bị rule này áp đặt
    - Tiếp theo là chọn xác thực trên "internet user" tức là xác thực với các user trên database của ACS
    [​IMG]

    - Sau khi xác thực thành công thì sẽ đến bước phân quyền.
    - Chúng ta chọn customize để chỉnh lại điều kiện được sử dụng trong các rule
    [​IMG]

    [​IMG]

    - Tạo rule
    [​IMG]

    - Rule-ADMIN dành cho group "ADMIN"
    [​IMG]

    - Tương tự các bạn tạo rule-USER dành cho group "USER"
    [​IMG]

    - xong, ở đây mình đã tạo thành công 2 rule
    [​IMG]
     
    Last edited: Jul 2, 2016

Share This Page