Authentication, Authorization, Accounting
LAB – Xác thực và phân quyền login bằng giao thức TACAS+ sử dụng Cisco ISE
I. Sơ đồ:
Ta có bảng thông tin như sau:
II. Yêu cầu:
1. Cấu hình ban đầu
- Thực hiện cấu hình IP cho PC, Router, thực hiện NAT sao cho PC có thể ping thấy ISE server.
2. Cấu hình TACACS+:
Cấu hình cho Router
Cấu hình NAT cho Router:
Kết nối PC với Router, đặt IP và Gateway. Kiểm tra kết nối tới ISE Server:
Chỉ định TACACS+ Server cho Router:
Tạo server chạy giao thức Tacacs vào pool tacacs server trong router, chỉ định địa chỉ IP của cisco ISE và key dùng chung (123abc)
Cấu hình Router xác thực với ISE bằng giao thức TACACS+:
Trên Router, ta dùng các lệnh sau:
Mở rộng câu lệnh aaa trong router
Tạo group server để có thể gán vào phương thức xác thực và phân quyền
Trong server group có thể chỉ định nhiều server
Server group sử dụng các server theo thứ tự được chỉ định, nếu server đầu tiên thất bại thì server thứ hai sẽ thực hiện công việc
Tạo phương thức xác thực đăng nhập tên là VTY do group server ISESRV thực hiện, sử dụng thông tin đăng nhập nội bộ nếu kết nối fail (local)
Tạo phương thức phân quyền cho User EXEC terminal tên là VTY do group server ISESRV thực hiện, nếu server bị ngắt, router sẽ làm luôn việc phân quyền sử dụng thông tin đăng nhập nội bộ
Độc lập với phương thức xác thực VTY, việc đặt cùng tên 2 phương thức cho cùng một cổng là phép thực hành phổ biến
Cấu hình telnet cho Router:
Gán 2 phương thức xác thực và phân quyền VTY vừa tạo vào cổng telnet
Sau bước này, router bắt đầu đòi hỏi xác thực trên telnet.
Bật tính năng TACACS+ trên ISE:
Đầu tiên, ta mở trình duyệt và truy cập vào IP 10.215.26.49 (IP của ISE Server). Đăng nhập bằng username và password được cung cấp.
Vào Administration → Deployment → Tích chọn hostname của Cisco ISE → Edit:
Trên Deployment Node có thể có nhiều node Cisco ISE, cần phải check đúng địa chỉ IP (10.215.26.49).
Ở phần Policy Service, chọn Enable Device Admin Service và Save lại:
Bật tính năng Device Admin đồng nghĩa với bật chế độ TACACS+
Thêm Router vào ISE:
Vào Work Centers → Device Administration → Network Resources → Network Devices → Add:
Nhập tên, và IP của Router ta muốn thêm
Ở phần TACACS Authentication Settings ta chỉ định chuỗi “Shared Secret” để Router và ISE giao tiếp với nhau.
Sau đó bấm submit.
Cấu hình xác thực/phân quyền bằng TACACS+:
Vào Work Center → Device Admin Policy Sets
Chọn Policy Elements → Result → TACACS Command Sets → Add:
Tạo command set cho user adminvnpro có thể dùng đầy đủ các lệnh khi telnet:
Tích chọn “Permit any command that is not listed below” (Cho phéo tất cả những câu lệnh không được liệt kê bên dưới) và bấm Save
Kết hợp với danh sách trống, command set này được thực hiện tất cả các câu lệnh (Privilege 15)
Ta cũng tạo thêm command set cho user guest có privilege là 7, khi user này telnet vào router chỉ dùng được lệnh các lệnh show:
Sau đó bấm Submit.
Tiếp theo, ta vào TACACS Profiles → Add:
Tạo profile cho adminvnpro với privilege 15. Đảm bảo tick vào ô Default Privilege và Maximum Privilege với giá trị là 15
Profile cho guest với privilege 7. Đảm bảo tick vào ô Default Privilege và Maximum Privilege với giá trị là 7
Tiếp theo, ta tạo group cho admin và guest user.
Vào Administration → Groups → User Identify Groups → Add:
Tạo admin group
Tạo guest group
Sau đó, tao tạo 1 user cho mỗi group
Vào Identities → Add
Trong đó:
Kết quả:
Tiếp theo, ta tạo Device Admin policy set để tạo policy cho việc xác thực và phân quyền
Vào Work Center --> Device Admin Policy Sets --> Bấm (+) ở bước 1:
Sau đó, tao tạo Conditions để Policy Sets thông qua đó để chọn đối tượng cần được áp dụng. --> Bấm (+) ở bước 3.
Ở Condition Studio, ta thiết lập như sau:
Sau khi click “AND” ta chọn “New” và thiết lập như sau:
DEVICE.Device Type Equals All Device Types là chọn tất cả các loại thiết bị
Network Acess.Protocol Equals TACACS là chọn giao thức kết nối TACACS+
Gắn cả 2 vào hàm AND, ta được điều kiện là Policy Sets sẽ chọn tất cả các loại thiết bị sử dụng giao thức TACACS+ để áp dụng, bao gồm Router của bài lab.
Sau đó bấm “Use”, ta được kết quả:
Default Device Admin cho phép hầu hết các giao thức xác thực liên quan đến TACACS+.
(Để xem, vào Work Center-Device Administration-Policy Elements-Result-Allowed Protocols-Default Admin Device và xem kết quả)
Sau đó save lại.
Sau đó, ta click vào mũi tên qua phải của policy vừa mới tạo:
Ở phần “Authentication Policy” ta chọn Use: Internal Users:
-->User được policy set thông qua phải đăng nhập với thông tin nằm trong nội bộ Identities của Cisco ISE mới được xác thực (adminvnpro, guest)
Tiếp theo, ta cấu hình phần Authorization Policy (chính sách phân quyền)
Tạo 1 luật cho admin user, đặt tên
Cấu hình conditions như sau:
-->Luật phân quyền này sẽ được áp dụng cho các user trong Group_Admin
Sau đó bấm “Use” để quay lại mục Authorization Policy, ở mục bên phải, ta chọn command set là “CommandSet15” và shell profile là “Shell 15”.
--> Các user trong Group_Admin khi đăng nhập vào sẽ được cho CommandSet15 đã tạo trước đó (cho phép thực hiện tất cả các lệnh).
Tương tự vậy, ta cũng tạo Authorization Policy cho account guest:
Sau đó ta save lại.
Ta dùng PC telnet vào Router với username là adminvnpro password là VnPro@123:
Kết quả: Telet thành công:
Gõ “?” để kiểm tra các lệnh user này có thể sử dụng, ta thấy user adminvnpro có thể dùng tất cả các lệnh:
Thử lại với account guestta thấy account này được sử dụng rất ít lệnh và chỉ sử dụng được các lệnh show:
Shutdown cổng F0/0 của Router. Ta sẽ không còn telnet vào Router được nữa vì đã mất kết nối đến ISE server:
Cấu hình xác thực/phân quyền local:
Kết nối vào cổng console của Router, ta dùng các lệnh sau:
Telnet lại vào Router, sử dụng account adminvnpro, ta thấy telnet thành công:
Sử dụng account guest ta vẫn không kết nối được do không kết nối được với ISE và ta chưa tạo account guest trong local:
Bật trở lại cổng F0/0 của router, ta telnet lại lần nữa với account guest:
Telnet thành công do kết nối được với ISE và dùng user guest trên ISE.
*Chú ý:Do sử dụng giao thức DHCP nên khi bật lại cổng F0/0 của Router có thể IP sẽ bị thay đổi, có thể ta sẽ phải add lại thiết bị trên ISE Server.
LAB – Xác thực và phân quyền login bằng giao thức TACAS+ sử dụng Cisco ISE
I. Sơ đồ:
Ta có bảng thông tin như sau:
Tên thiết bị | Interface | IP/Netmask | Gateway |
Cisco ISE | NIC | 10.215.26.49 | - |
Router | F0/0 | DHCP | - |
Router | F0/1 | 192.168.99.1/24 | - |
Client | NIC | 192.168.99.99/24 | 192.168.99.1 |
1. Cấu hình ban đầu
- Thực hiện cấu hình IP cho PC, Router, thực hiện NAT sao cho PC có thể ping thấy ISE server.
2. Cấu hình TACACS+:
- Tiến hành xác thực và phân quyền privilege cho các user truy cập telnet đến Router như sau (việc xác thực/phân quyền phải do Cisco ISE kiểm soát):
- [*=1]Username: guest, password VnPro@123, privilege 7[*=1]Username: adminvnpro, password VnPro@123, privilege 15
- Cấu hình xác thực local với privilege cho các user như trên để khi hoạt động xác thực với Cisco ISE không thành công, chuyển sang phương thức xác thực/phân quyền local.
Cấu hình cho Router
Code:
Router(config)#int f0/0
Code:
Router(config-if)#ip address dhcp Router(config-if)#no shutdown Router(config)#int f0/1 Router(config-if)#ip address 192.168.99.1 255.255.255.0 Router(config-if)#no shutdown
Code:
Router(config)#access-list 1 permit 192.168.99.0 0.0.0.255 Router(config)#ip nat inside source list 1 interface f0/0 overload Router(config)#int f0/0 Router(config-if)#ip nat outside Router(config)#int f0/1 Router(config)#ip nat inside
Chỉ định TACACS+ Server cho Router:
Code:
Router(config)#tacacs-server host 10.215.26.49 Router(config)#tacacs-server key 123abc
Cấu hình Router xác thực với ISE bằng giao thức TACACS+:
Trên Router, ta dùng các lệnh sau:
Code:
Router(config)#aaa new-model
Code:
Router(config)#aaa group server tacacs+ ISESRV Router(config-sg-tacacs+)#server 10.215.26.49 Router(config-sg-tacacs+)#exit
Trong server group có thể chỉ định nhiều server
Server group sử dụng các server theo thứ tự được chỉ định, nếu server đầu tiên thất bại thì server thứ hai sẽ thực hiện công việc
Code:
Router(config)#aaa authentication login VTY group ISESRV local
Code:
Router(config)#aaa authorization exec VTY group ISESRV local if-authenticated
Độc lập với phương thức xác thực VTY, việc đặt cùng tên 2 phương thức cho cùng một cổng là phép thực hành phổ biến
Cấu hình telnet cho Router:
Code:
Router(config)#line vty 0 4 Router(config-line)#transport input telnet Router(config-line)#login authentication VTY Router(config-line)#authorization exec VTY Router(config-line)#exit
Sau bước này, router bắt đầu đòi hỏi xác thực trên telnet.
Bật tính năng TACACS+ trên ISE:
Đầu tiên, ta mở trình duyệt và truy cập vào IP 10.215.26.49 (IP của ISE Server). Đăng nhập bằng username và password được cung cấp.
Vào Administration → Deployment → Tích chọn hostname của Cisco ISE → Edit:
Trên Deployment Node có thể có nhiều node Cisco ISE, cần phải check đúng địa chỉ IP (10.215.26.49).
Ở phần Policy Service, chọn Enable Device Admin Service và Save lại:
Bật tính năng Device Admin đồng nghĩa với bật chế độ TACACS+
Thêm Router vào ISE:
Vào Work Centers → Device Administration → Network Resources → Network Devices → Add:
Nhập tên, và IP của Router ta muốn thêm
Ở phần TACACS Authentication Settings ta chỉ định chuỗi “Shared Secret” để Router và ISE giao tiếp với nhau.
Sau đó bấm submit.
Cấu hình xác thực/phân quyền bằng TACACS+:
Vào Work Center → Device Admin Policy Sets
Chọn Policy Elements → Result → TACACS Command Sets → Add:
Tạo command set cho user adminvnpro có thể dùng đầy đủ các lệnh khi telnet:
Tích chọn “Permit any command that is not listed below” (Cho phéo tất cả những câu lệnh không được liệt kê bên dưới) và bấm Save
Kết hợp với danh sách trống, command set này được thực hiện tất cả các câu lệnh (Privilege 15)
Ta cũng tạo thêm command set cho user guest có privilege là 7, khi user này telnet vào router chỉ dùng được lệnh các lệnh show:
Sau đó bấm Submit.
Tiếp theo, ta vào TACACS Profiles → Add:
Tạo profile cho adminvnpro với privilege 15. Đảm bảo tick vào ô Default Privilege và Maximum Privilege với giá trị là 15
Profile cho guest với privilege 7. Đảm bảo tick vào ô Default Privilege và Maximum Privilege với giá trị là 7
Tiếp theo, ta tạo group cho admin và guest user.
Vào Administration → Groups → User Identify Groups → Add:
Tạo admin group
Tạo guest group
Sau đó, tao tạo 1 user cho mỗi group
Vào Identities → Add
Trong đó:
- Password Type: Internal Users
- User Group: Group_Admin
Kết quả:
Tiếp theo, ta tạo Device Admin policy set để tạo policy cho việc xác thực và phân quyền
Vào Work Center --> Device Admin Policy Sets --> Bấm (+) ở bước 1:
Sau đó, tao tạo Conditions để Policy Sets thông qua đó để chọn đối tượng cần được áp dụng. --> Bấm (+) ở bước 3.
Ở Condition Studio, ta thiết lập như sau:
Sau khi click “AND” ta chọn “New” và thiết lập như sau:
DEVICE.Device Type Equals All Device Types là chọn tất cả các loại thiết bị
Network Acess.Protocol Equals TACACS là chọn giao thức kết nối TACACS+
Gắn cả 2 vào hàm AND, ta được điều kiện là Policy Sets sẽ chọn tất cả các loại thiết bị sử dụng giao thức TACACS+ để áp dụng, bao gồm Router của bài lab.
Sau đó bấm “Use”, ta được kết quả:
Default Device Admin cho phép hầu hết các giao thức xác thực liên quan đến TACACS+.
(Để xem, vào Work Center-Device Administration-Policy Elements-Result-Allowed Protocols-Default Admin Device và xem kết quả)
Sau đó save lại.
Sau đó, ta click vào mũi tên qua phải của policy vừa mới tạo:
Ở phần “Authentication Policy” ta chọn Use: Internal Users:
-->User được policy set thông qua phải đăng nhập với thông tin nằm trong nội bộ Identities của Cisco ISE mới được xác thực (adminvnpro, guest)
Tiếp theo, ta cấu hình phần Authorization Policy (chính sách phân quyền)
Tạo 1 luật cho admin user, đặt tên
Cấu hình conditions như sau:
-->Luật phân quyền này sẽ được áp dụng cho các user trong Group_Admin
Sau đó bấm “Use” để quay lại mục Authorization Policy, ở mục bên phải, ta chọn command set là “CommandSet15” và shell profile là “Shell 15”.
--> Các user trong Group_Admin khi đăng nhập vào sẽ được cho CommandSet15 đã tạo trước đó (cho phép thực hiện tất cả các lệnh).
Tương tự vậy, ta cũng tạo Authorization Policy cho account guest:
Sau đó ta save lại.
Ta dùng PC telnet vào Router với username là adminvnpro password là VnPro@123:
Kết quả: Telet thành công:
Gõ “?” để kiểm tra các lệnh user này có thể sử dụng, ta thấy user adminvnpro có thể dùng tất cả các lệnh:
Thử lại với account guestta thấy account này được sử dụng rất ít lệnh và chỉ sử dụng được các lệnh show:
Shutdown cổng F0/0 của Router. Ta sẽ không còn telnet vào Router được nữa vì đã mất kết nối đến ISE server:
Cấu hình xác thực/phân quyền local:
Kết nối vào cổng console của Router, ta dùng các lệnh sau:
Code:
Router(config)#privilege exec level 7 show Router(config)#username adminvnpro privilege 15 password VnPro@123
Sử dụng account guest ta vẫn không kết nối được do không kết nối được với ISE và ta chưa tạo account guest trong local:
Bật trở lại cổng F0/0 của router, ta telnet lại lần nữa với account guest:
Code:
Router(config)#int f0/0 Router(config-if)#no shutdown
Telnet thành công do kết nối được với ISE và dùng user guest trên ISE.
*Chú ý:Do sử dụng giao thức DHCP nên khi bật lại cổng F0/0 của Router có thể IP sẽ bị thay đổi, có thể ta sẽ phải add lại thiết bị trên ISE Server.