WWW.LIB.KNIGI-X.RU
БЕСПЛАТНАЯ  ИНТЕРНЕТ  БИБЛИОТЕКА - Электронные материалы
 

«Содержание Введение Предварительные условия Требования Используемые компоненты Настройка Схема сети Конфигурации Настройте ISE для ...»

Содержание

Введение

Предварительные условия

Требования

Используемые компоненты

Настройка

Схема сети

Конфигурации

Настройте ISE для проверки подлинности и авторизация

Добавьте сетевое устройство

Configuring User Identity Groups

Пользователи Настройки

Включите сервис Admin устройства

Наборы команд TACACS Настройки

Профиль TACACS Настройки

Политика авторизации tacacs Настройки

Настройте межсетевой экран Cisco ASA для проверки подлинности и авторизация

Проверка

Проверка межсетевого экрана Cisco ASA Проверка ISE 2.0 Устранение неполадок Дополнительные сведения Связанные обсуждения Сообщества Cisco Support Введение Этот документ описывает, как настроить TACACS + Аутентификация и Авторизация для выполнения команд на устройстве адаптивной защиты Cisco (ASA) с Идентификационным механизмом сервиса (ISE) 2.0 и позже. ISE использует локальное идентификационное хранилище для хранения ресурсов, таких как пользователи, группы и оконечные точки.

Предварительные условия Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

 Межсетевой экран ASA полностью в рабочем состоянии q Подключение между ASA и ISE q Сервер ISE загружен q Используемые компоненты Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

Идентификационный механизм сервиса Cisco 2.0 q Выпуск ПО Cisco ASA 9.5 (1) q Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.



Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Настройка

Цель конфигурации к:

Аутентифицируйте пользователя SSH через Внутреннее Идентификационное q Хранилище Авторизуйте пользователя SSH, таким образом, это будет размещено в q привилегированный режим EXEC после входа в систему Проверьте и передайте каждую выполняемую команду к ISE для проверки q Схема сети Конфигурации Настройте ISE для проверки подлинности и авторизация Созданы два пользователя. Администратор пользователя является частью Сетевых Admin локальная Identity Group на ISE. У этого пользователя есть полные привилегии CLI.

Пользовательский пользователь является частью  Команды Обслуживания сети локальная Identity Group на ISE. Этому пользователю разрешают сделать только команды показа и эхозапрос.

Добавьте сетевое устройство Перейдите для Работы Центров Администрирование устройств Сетевые ресурсы Сетевые устройства. Нажмите кнопку Add. Предоставьте Название, IP-адрес, установите флажок TACACS + Authentication Settings и предоставьте Общий секретный ключ.

Дополнительно тип устройства / местоположение может быть задан.

Configuring User Identity Groups Перейдите для Работы Центров Администрирование устройств User Identity Groups.

Нажмите кнопку Add. Предоставьте Название и нажмите Submit.

Повторите тот Настройки настройки сетевой Maintenace Team User Identity Group.

Пользователи Работы Центров Администрирование устройств Идентификационный Перейдите дляже шаг для Users. Нажмите кнопку Add. Предоставьте Название, Пароль для входа задают Группу пользователей и нажимают Submit.

Повторите шаги, чтобы настроить пользовательского пользователя и назначить Network Maintenace Team User Identity Group.

Включите сервис Admin устройства Перейдите к администрированию Система Развертывания. Выберите требуемый Узел.

Установите флажок Enable Device Admin Service и нажмите Save.

Настроены два набораTACACS Первые PermitAllCommands для администратора, которые Примечание: Для команд. необходимо было установить отдельную лицензию.

позволяют все команды Настройки Наборы команд TACACSна устройстве. Вторые PermitPingShowCommands для пользовательского пользователя, которые позволяют только, показывают и команды ping.

1. Перейдите для Работы Центров Администрирование устройств Результаты Политики Наборы команд TACACS. Нажмите кнопку Add. Предоставьте Название PermitAllCommands, выберите Permit любая команда, которая не является нижеупомянутым флажком, и нажмите Submit.

2. Перейдите для Работы Центров Администрирование устройств Результаты Политики Наборы команд TACACS. Нажмите кнопку Add. Предоставьте Название PermitPingShowCommands, нажмите Add, и разрешение показывают, команды ping и команды выхода. По умолчанию, если Аргументы оставлены незаполненные, все аргументы включены. Нажмите кнопку Submit (Отправить).  Профиль TACACS Настройки Одиночный Профиль TACACS будет настроен. Фактическое осуществление команды будет сделано через наборы команд. Перейдите для Работы Центров Администрирование устройств Результаты Политики Профили TACACS. Нажмите кнопку Add. Предоставьте Название ShellProfile, установите флажок Default Privilege и введите значение 15. Нажмите кнопку Submit (Отправить).

Политика авторизации tacacs Настройки Политика аутентификации точками по умолчанию к All_User_ID_Stores, который включает Локальное Хранилище также, таким образом, это оставляют неизменным.

Перейдите для Работы Центров Администрирование устройств Наборы Политики По умолчанию, Политика авторизации Редактирует, Вставляют Новое Правило Выше.

 Две авторизации rulesare настроенное, первое правило назначают профиль TACACS ShellProfile и набор команд PermitAllCommands на основе Сетевого Состава группы Идентичности пользователя Admin. Второе правило назначает профиль TACACS ShellProfile и набор команд PermitPingShowCommands на основе Состава группы Идентичности пользователя Команды Обслуживания сети.

Настройте межсетевой экран Cisco ASA для проверки подлинности и авторизация

1. Создайте локального пользователя с полными полномочиями для нейтрализации с командой имени пользователя как показано здесь ciscoasa(config)# username cisco password cisco privilege 15

2. Определите ISE Сервера tacacs, задайте интерфейс, адрес protocol ip и ключ tacacs.

ciscoasa(config)# username cisco password cisco privilege 15 Примечание: Серверный ключ должен совпасть, тот определяют на Сервере ISE ранее.

3. Протестируйте достижимость Сервера tacacs с командой test aaa как показано.

ciscoasa# test aaa authentication ISE host 10.48.17.88 username administrator Krakow123 INFO: Attempting Authentication test to IP address 10.48.17.88 (timeout: 12 seconds) INFO: Authentication Successful Выходные данные предыдущей команды показывают, что Сервер tacacs достижим, и пользователь успешно аутентифицировался.

4. Настройте аутентификацию для ssh, проверки авторизации в режиме EXEC и авторизаций для выполнения команд как показано ниже. С aaa authorization сервер проверки подлинности exec автовключает вам, будет размещен в привилегированный режим EXEC автоматически.

ciscoasa# test aaa authentication ISE host 10.48.17.88 username administrator Krakow123 INFO: Attempting Authentication test to IP address 10.48.17.88 (timeout: 12 seconds) INFO: Authentication Successful Примечание: С командами выше, аутентификация сделана на ISE, пользователь размещен непосредственно в привилегированный режим, и авторизация для выполнения команд имеет место.

5. Позвольте shh на интерфейсе mgmt.

ciscoasa# test aaa authentication ISE host 10.48.17.88 username administrator Krakow123 INFO: Attempting Authentication test to IP address 10.48.17.88 (timeout: 12 seconds) INFO: Authentication Successful Проверка Проверка межсетевого экрана Cisco ASA

1. Ssh к Межсетевому экрану ASA как администратор, который принадлежит полному доступу User Identity Group. Сетевая группа Admin сопоставлена с Набором команд ShellProfile и PermitAllCommands на ISE. Попытайтесь выполнить любую команду для обеспечения полного доступа.

EKORNEYC-M-K04E:~ ekorneyc$ ssh administrator@10.48.66.202

administrator@10.48.66.202's password:

Type help or '?' for a list of available commands.

ciscoasa# ciscoasa# configure terminal ciscoasa(config)# crypto ikev1 policy 10 ciscoasa(config-ikev1-policy)# encryption aes ciscoasa(config-ikev1-policy)# exit ciscoasa(config)# exit ciscoasa#

2. Ssh к Межсетевому экрану ASA как пользователь, который принадлежит ограниченному доступу User Identity Group. Группа Обслуживания сети сопоставлена с Набором команд ShellProfile и PermitPingShowCommands на ISE. Попытайтесь выполнить любую команду, чтобы гарантировать, что только показывают, и команды ping могут быть выполнены.

EKORNEYC-M-K04E:~ ekorneyc$ ssh user@10.48.66.202

administrator@10.48.66.202's password:

Type help or '?' for a list of available commands.

ciscoasa# ciscoasa# show version | include Software Cisco Adaptive Security Appliance Software Version 9.5(1) ciscoasa# ping 8.8.8.8 Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 20/24/30 ms ciscoasa# configure terminal Command authorization failed ciscoasa# traceroute 8.8.8.8 Command authorization failed Проверка ISE 2.0

1. Перейдите к Операциям TACACS Livelog. Гарантируйте, что выше замечены попытки, сделанные.

2. Щелкните по подробным данным одного из красных отчётов, подведенная команда выполнилась, ранее может быть замечен.

Устранение неполадок Ошибка: неудачная попытка: Авторизация для выполнения команд отказала Проверьте атрибуты SelectedCommandSet, чтобы проверить, что ожидаемые Наборы команд были выбраны Политикой авторизации Дополнительные сведения Cisco Systems – техническая поддержка и документация Комментарии к выпуску ISE 2.0 Руководство по установке оборудования ISE 2.0 Руководство по обновлению ISE 2.0 ACS руководству программного средства миграции ISE Руководство интеграции Active Directory ISE 2.0

Похожие работы:

«Страница: ИНСТРУКЦИЯ BWK 1000 H/A 1 из 24 ИНСТРУКЦИЯ ПО МОНТАЖУ для Фильтровальная установка типа BWK 1000 A Артикул: 244 200 Фильтровальная установка типа BWK 1000 H Артикул: 244 100 Принадлежности: Фильтрующий материал с гидроантрацитом типа “N“ Артикул: 200 865 Фильтрующий...»

«Настя Кузнецова fabernastya@gmail.com тел. 8 926 926 98 10 "Яна – это Аня наоборот" Мини-пьеса. СЛАВИК – 25 СЕРГЕИЧ – 48 ЯНА – 43 ПАССАЖИРЫ ЭЛЕКТРИЧКИ: ДЕВУШКА С КРАСНЫМИ ВОЛОСАМИ, ПОДРОСТКИ...»

«ИНСТРУКЦИЯ по применению тест-системы "САЛ-КОМ" для диагностики сальмонеллеза методом полимеразной цепной реакции (организация-производитель – ФБУН ЦНИИ Эпидемиологии Роспотребнадзора, г. Москва) Тест-система "САЛ-КОМ" для диагностики сальмонеллеза методом полимеразной цепной реакции (ПЦР) выпускается...»

«Государственное бюджетное учреждение Ямало-Ненецкого автономного округа "Национальная библиотека Ямало-Ненецкого автономного округа" ЛИТЕРАТУРА О ЯМАЛО-НЕНЕЦКОМ АВТОНОМНОМ ОКРУГЕ аннотированный библиографический указатель Выпуск 8 Салехард 2    ББК 91.9 Л 64 Литература о Ямало-Ненецком автономном округе [Элект...»

«КОЛЛЕКЦИЯ BMW ATHLETICS. КОЛЛЕКЦИЯ BMW ATHLETICS 2 ОДЕЖДА.КУРТКА ИЗ МАТЕРИАЛА SOFTSHELL. Чрезвычайно легкая, эластичная и дышащая куртка из материала Softshell. Поддерживает постоянн...»

«Титова Ольга Анатольевна МЕТАФОРА И МЕТОНИМИЯ КАК ИСТОЧНИКИ СОЗДАНИЯ ОБРАЗНОСТИ АНГЛИЙСКИХ ФРАЗЕОЛОГИЗМОВ-АНТРОПОНОМИНАНТОВ В статье ставится задача рассмотреть фразеологический образ оценочных наимен...»

«  29 октября 2015 г. Портрет Касема Сусеймани, командира подразделения Кудс в иранском корпусе стражей революции, ответственного за иранскую подрывную и террористическую деятельность на Ближнем Востоке и во всем мире Автор: д-р Раз Цимет1 Касем Сулеймани (Насим он лайн, 20 октября 2014 г...»

«9900R 10” LCD Инструкция по эксплуатации ПОЗДРАВЛЯЕМ! Вы стали обладателем профессионального горизонтального велотренажера AEROFIT PROFESSIONAL 9900R LCD. Наша команда призвана сделать Ваши тренировки интересными и полезными, предоставляя подр...»

«kniga_MedLikStabSt.qxd 04.03.2008 14:28 Page 1 МЕДИКАМЕНТОЗНЕ ЛІКУВАННЯ СТАБІЛЬНОЇ СТЕНОКАРДІЇ Методичні рекомендації Робочої групи з проблем атеросклерозу та хронічних форм ІХС Асоціації кардіологів України Київ...»









 
2017 www.lib.knigi-x.ru - «Бесплатная электронная библиотека - электронные материалы»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.