Hướng dẫn cấu hình xác thực giữa Cisco ACS với thiết bị router, switch

Hi all. Trong bài viết này mình sẽ hướng dẫn cách dùng Cisco ACS cấu hình xác thực với thiết bị như router, switch. Mọi người tham khảo nhé

1.Cấu hình Cisco ACS lấy thông tin user trên AD ( Window server 2008 )

Sau khi đã cài đặt và join domain thành công với Window server 2008 như bài viết trước thì ta tiến hành trên Window server tạo 2 user là admin2018 và monitor2018

Trong đó :

User Admin2018 có login name là admin1 và password: Admin@123

User monitor2018 có login name là monitor1 và password: Admin@123

Sau khi thực hiện tao 2 user thành công trên AD thì trên Cisco ACS ta tiến hành map với AD để lấy thông tin của 2 user này như hình dưới.

Chọn Users and Indentify Stores -> Active Directory -> Directory Groups -> Select

Sẽ xuất hiện bảng như hình dưới. Tìm đến group user mà ta đã tạo trên AD và tick chọn. Sau đó nhấn OK và Save Change

Vậy là ACS đã lấy được thông tin user từ AD thành công.

2.Cisco ACS chứng thực với các thiết bị Router, Switch Access, Core

Sơ đồ bài lab.

Trong bài lab này , các thiết bị như router , switch access, core sẽ tiến hành xác thực thông tin user name đăng nhập với Cisco ACS qua giao thức TACACS+

Ví dụ: Khi ta telnet hay ssh vô các thiết bị này với user name và password thì nó sẽ đem thông tin này đi xác thực với Cisco ACS.

  • Tiến hành add thiết bị cần chứng thực lên Cisco ACS

Chọn Network Resources -> Network Devices and AAA Clients -> Create.  Sẽ xuất hiện 1 bảng mới.

Nhập đầy đủ thông tin vào ô trống, ở đây sẽ dùng giao thức TACACS+ để xác thực giữa ACS với thiết bị nên ta tick chọn TACACS+. Sau khi nhập xong thông tin thì nhấn Submit.Vậy là ta đã add các thiết bị cần chứng thực với ACS thành công

Name: Tên thiết bị như router, core

IP: nhập IP đã tạo trên interface của thiết bị

Share Secret: key dùng xác thực giữa ACS với thiết bị

Tiếp đến ta tiến hành phân loại các thiết bị, phân ra thiết bị nào là router, switch access, core để dễ phân quyền hơn.

Chọn Network Resources -> Device Type -> Create. Như hình mình họa bên dưới. Làm tương tự với các thiết bị khác

Kết quả ta được như hình dưới là ta đã phân loại thiết bị thành công

 

Tiếp theo cấu hình  Shell Profiles trên ACS

 Chọn Policy Elements --> Authorization and Permissions --> Device Administrations --> Shell Profiles --> Create

Nhập tên cho Shell Profiles

Sau đó chuyển sang tab Common Tasks và chọn quyền cho shell profile đã tạo. Ở đấy sẽ có 15 mức privilege. Ta có quyền set từ 1-15 theo mục đích

Và đây là kết quả ta đã tạo 2 shell profile như thực hiện các bước ở trên

  • Sau khi đã cấu hình Shell Profile xong thì ta tiền hành cấu hình Command Sets. Command Sets được sử dụng để tạo ra tập lệnh cho những user chứng thực thành công được sử dụng và tập lệnh nào họ không được sử dụng.

Để tạo conmmand sets các ta chọn.
Policy Elements --> Authorization and Permiessions --> Device Administration --> Command Sets --> Create

Sau đó nhập tên cho command sets và tiến hành permit hay deny các câu lệnh mà user được phép sử dụng khi dùng user đó để xác thực với ACS. Giống như hình minh họa bên dưới. Khi điền xong thông tin thì ta nhấn Submit để lưu lại

Và đây là kết quả mình đã tạo Commnad sets khác

Sau khi đã tạo xong Shell Profile và Command sets thì ta tiến hành tạo rule để set nó lên từng account đã tạo ở trước đó trên AD

Chọn Access Policies -> Service Selection Rule -> Create để tạo 1 rule mới và chọn như hình dưới

Sau đó chọn Access Policies -> Default Device Admin -> Authorization ->Create .Giống như hình họa bên dưới

Name: tên rule

Shell Profile, Command Sets: Chọn Shell Profile , Command Sets mà ta đã tạo trước đó.

AD1: ExternalGroups: Chon account để áp rule này lên

NDG: Device Type: áp dụng rule này lên tất cả các thiết bị dùng account ADMIN hay chỉ thiết bị mà ta chỉ định như route, switch, core.

Sau khi xong thì nhấn OK và Save Change để lưu cấu hình

Vậy là ta đã cấu hình xác thực xong giữa ACS với thiết bị

3.Câu lệnh chứng thực với ACS trên thiết bị router, switch hay core

Ở đâu mình sẽ làm trên router. Các thiết bị switch hay core thì câu lệnh như nhau

Router(config)#aaa new-model

R2(config)#aaa authentication login default group tacacs+

R2 (config)#aaa authorization exec default group tacacs+ local

R2 (config)#aaa authorization config-commands

R2 (config)#aaa authorization exec default group tacacs+ if-authenticated

R2 (config)#aaa authorization commands 0 default group tacacs+ local

R2 (config)#aaa authorization commands 1 default group tacacs+ if-authenticated

R2 (config)#aaa authorization commands 15 default group tacacs+ if-authenticated

Bật telnet trên Router để test

R2 (config)# line vty 0 4

R2 (config)# transport input telnet

 Ví dụ ta dùng account admin1 có password là Admin@123 như đã tạo trước đó telnet vô Router. Vì account admin này đã set full control nên nó có thể dùng tất cả các lệnh.

 

Đánh giá post

Leave a Reply

Your email address will not be published. Required fields are marked *