Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Xác thực và phân quyền login bằng giao thức TACACS+ sử dụng Cisco ISE

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Xác thực và phân quyền login bằng giao thức TACACS+ sử dụng Cisco ISE

    Ở bài lab này, ta sẽ thực hiện cấu hình xác thực và phần quyền sao cho khi telnet đến một thiết bị, tùy theo loại user sẽ được các đặc quyền (Privileges) khác nhau.
    Quá trình xác thực, phân quyền này sẽ do Cisco ISE thực hiện thông qua giao thức TACACS+.

    Mô hình bài lab:
    \
    .


    Ta có bảng thông tin như sau:
    .



    Yêu cầu:

    1. Cấu hình ban đầu

    - Cấu hình IP cho PC, Router.

    2. Cấu hình TACACS+:
    • Tiến hành xác thực và phân quyền privilege cho các user truy cập telnet đến Router như sau (việc xác thực/phân quyền phải do Cisco ISE kiểm soát):
    • Username: guest, password VnPro@123, privilege 7, chỉ dùng được các lệnh show
    • Username: adminvnpro, password VnPro@123, privilege 15, dùng được tất cả các lệnh
    • Cấu hình xác thực local với privilege cho các user như trên để khi hoạt động xác thực với Cisco ISE không thành công, chuyển sang phương thức xác thực/phân quyền local.​​​​​​
    Tags: None
  • #2
    Hướng dẫn: Cấu hình cho Router


    Chỉ định TACACS+ Server cho Router:

    Router(config)#tacacs-server host 10.215.26.49
    Router(config)#tacacs-server key 123abc
    Với 123abc là chuỗi xác thực Router dùng để giao tiếp với ISE Server.

    Cấu hình Router xác thực với ISE bằng giao thức TACACS+:

    Trên Router, ta dùng các lệnh sau:

    Router(config)# aaa new-model
    Router(config)# aaa group server tacacs+ ISESRV
    Router(config-sg-tacacs+)# server 10.215.26.49
    Router(config-sg-tacacs+)# exit

    Router(config)#aaa authentication login VTY group ISESRV local
    Router(config)#aaa authorization exec VTY group ISESRV local if-authenticated

    Router(config)#aaa accounting exec default
    Router(cfg-acct-mlist)#action-type start-stop
    Router(cfg-acct-mlist)#group ISESRV
    Router(cfg-acct-mlist)#exit

    Router(config)#aaa accounting commands 1 default
    Router(cfg-acct-mlist)#action-type start-stop
    Router(cfg-acct-mlist)#group ISESRV
    Router(cfg-acct-mlist)#exit

    Router(config)#aaa accounting commands 15 default
    Router(cfg-acct-mlist)#action-type start-stop
    Router(cfg-acct-mlist)#group ISESRV
    Router(cfg-acct-mlist)#exit

    Router(config)#aaa accounting network default
    Router(cfg-acct-mlist)#action-type start-stop
    Router(cfg-acct-mlist)#group ISESRV
    Router(cfg-acct-mlist)#exit

    Router(config)#aaa accounting connection default
    Router(cfg-acct-mlist)#action-type start-stop
    Router(cfg-acct-mlist)#group ISESRV

    Router(config)#aaa accounting system default
    Router(cfg-acct-mlist)#action-type start-stop
    Router(cfg-acct-mlist)#group ISESRV
    Cấu hình Telnet:

    Router(config)#line vty 0 4
    Router(config-line)#login authentication VTY
    Router(config-line)#authorization exec VTY
    Router(config-line)#exit
    Last edited by Trần Hoàng Tú; 03-10-2019, 03:29 PM.

    Comment

    • #3
      Cấu hình cơ bản Cisco ISE

      Bật tính năng TACACS+ trên ISE:

      Đầu tiên, ta mở trình duyệt và truy cập vào IP 10.215.26.49 (IP của ISE Server). Đăng nhập bằng username và password được cung cấp.

      Vào Administration → Deployment Tích chọn hostname của Cisco ISE → Edit:
      .

      Ở phần Policy Service, chọn Enable Device Admin Service và Save lại:
      .

      Thêm Router vào Cisco ISE:

      Vào Work Centers → Device Administration → Network Resources → Network Devices → Add. Nhập tên, và IP của Router ta muốn thêm:
      .


      Ở phần TACACS Authentication Settings ta chỉ định chuỗi “Shared Secret” để Router và ISE giao tiếp với nhau.
      .

      Sau đó bấm submit.

      Comment

      • #4
        Cấu hình xác thực/phân quyền bằng TACACS+ trên Cisco ISE

        Vào Work Center → Device Admin Policy Sets:
        .

        Chọn Policy Elements → Result → TACACS Command Sets → Add:
        .

        Tạo command set cho user adminvnpro có thể dùng đầy đủ các lệnh khi telnet:
        .

        Tích chọn “Permit any command that is not listed below” và bấm Save.

        Ta cũng tạo thêm command set cho user guest có privilege là 7, khi user này telnet vào router chỉ dùng được lệnh các lệnh show:
        .

        Sau đó bấm Submit.

        Tiếp theo, ta vào TACACS Profiles → Add:
        .

        Tạo profile cho adminvnpro với privilege 15:
        .

        Profile cho guest với privilege 7:
        .

        Vào Administration → Groups → User Identify Groups → Add:
        .

        Tạo 2 group cho user adminvnpro và user guest:
        .


        Vào Identities → Add → Tạo user adminvnpro:
        .

        Trong đó:
        • Password Type: Internal Users
        • User Group: Group_Admin
        Tương tự, ta cũng tạo thêm user guest với User Groups là Group_Guest:
        .

        Kết quả:
        .

        Tiếp theo, ta vào Work Center → Device Admin Policy Sets → bấm ( + ):
        .

        Tạo policy như sau:

        Sau khi click “AND” ta chọn “New” và thiết lập như sau:
        .

        Sau đó bấm Use, ta được kết quả:
        .


        Bấm Save để lưu lại.

        Sau đó, ta click vào mũi tên qua phải của policy vừa mới tạo:

        Ở phần “Authentication Policy” ta chọn Use: Internal Users:
        .


        Tiếp theo, ta cấu hình phần Authorization Policy:
        .

        Cấu hình conditions như sau:
        .

        Sau đó bấm Use để quay lại mục Authorization Policy, ở mục bên phải, ta chọn command set là “CommandSet15” và shell profile là “Shell 15”.
        .

        Tương tự vậy, ta cũng tạo Authorization Policy cho account guest:
        .


        Sau đó ta save lại.


        Comment

        • #5
          Kiểm tra

          Ta dùng PC telnet vào Router với username làadminvnpro password là VnPro@123:
          .

          Telet thành công:
          .

          Gõ “?” để kiểm tra các lệnh user này có thể sử dụng, ta thấy user adminvnpro có thể dùng tất cả các lệnh:
          .



          Thử lại với account guest ta thấy account này được sử dụng rất ít lệnh và chỉ sử dụng được các lệnh show:
          .

          Shutdown cổng F0/0 của Router. Ta sẽ không còn telnet vào Router được nữa vì đã mất kết nối đến ISE server:
          .

          Last edited by Trần Hoàng Tú; 02-10-2019, 11:20 AM.

          Comment

          • #6
            Cấu hình xác thực/phân quyền local

            Kết nối vào cổng console của Router, ta dùng các lệnh sau:

            Router(config)#username adminvnpro privilege 15 password VnPro@123
            Telnet lại vào Router, sử dụng account adminvnpro, ta thấy telnet thành công:

            .

            Sử dụng account guest ta vẫn không kết nối được do không kết nối được với ISE và ta chưa tạo account guest trong local:

            .

            Bật trở lại cổng F0/0 của router, ta telnet lại lần nữa với account guest:

            Router(config)# int f0/0
            Router(config-if)# no shutdown


            Telnet thành công.

            Để user guest có thể được chứng thực local khi mất kết nối tới ISE ta cũng tạo thêm user guest:

            Router(config)#username guest privilege 7 password VnPro@123
            *Chú ý: Nếu không set tĩnh mà sử dụng IP động trên cổng F0/0 của Router, có thể sẽ có lúc IP bị thay đổi, lúc này ta sẽ phải add lại thiết bị trên ISE Server.
            Last edited by Trần Hoàng Tú; 03-10-2019, 04:00 PM.

            Comment

            Previous template Next
            Working...
            X