ad证书服务器在ADgroup,ACS 5.x :根据AD组成员配置示例和Authorization命令的TACACS+认证...

本文提供配置根据用户的AD组成员和Authorization命令示例的TACACS+认证思科安全访问控制系统(ACS) 5.x和以后。ACS使用Microsoft Active Directory (AD),外部标识存储存储资源例如用户、机器、组和属性。

尝试进行此配置之前,请确保满足以下要求:

ACS 5.x充分地集成对希望的AD域。如果ACS没有集成与希望的AD域,参考ACS 5.x和以后:与Microsoft Active Directory配置示例的集成欲知更多信息为了执行集成任务。

本文档中的信息基于以下软件和硬件版本:

Cisco Secure ACS 5.3

Cisco IOS软件版本12.2(44)SE6。

注意:此配置在所有Cisco IOS设备可以被执行。

Microsoft Windows服务器2003域

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

有关文档规则的详细信息,请参阅 Cisco 技术提示规则。

在您开始ACS 5.x的配置认证和授权的前,应该顺利地集成ACS与Microsoft AD。如果ACS没有集成与希望的AD域,参考ACS 5.x和以后:与Microsoft Active Directory配置示例的集成欲知更多信息为了执行集成任务。

在此部分,您映射两AD组对两不同命令集和两Shell配置文件,一与全部存取和其他与有限享用在Cisco IOS设备。

使用Admin凭证,登录ACS GUI。

选择用户,并且标识存储>外部标识存储>活动目录并且验证ACS加入希望的域并且连接状态显示如连接。

点击目录组选项卡。

format,png

单击选择。

bd6cbf3f3e3a0c70c9d23afe44c8927b.png

选择需要被映射到Shell配置文件并且发出命令集在配置的后部的组。单击 Ok。

format,png

点击Save Changes。

format,png

选择访问策略>Access Services>服务选择规则并且识别访问服务,处理TACACS+认证。在本例中,它是默认设备Admin。

format,png

选择访问策略>Access Services>默认设备Admin >标识并且在标识来源旁边单击精选。

41c2c5e1fb62c96589cc4c78184d027d.png

选择AD1并且点击OK键。

0423a78fa2925649626eefe838c5ddb3.png

点击Save Changes。

53a2725dda7264d404a997b0d77ee4f6.png

选择访问策略>Access Services>默认设备Admin >授权并且点击自定义。

format,png

复制AD1:ExternalGroups从联机到自定义情况所选的部分然后移动Shell配置文件并且发出命令集从联机到自定义结果所选的部分。现在请单击 OK。

d0c5c113878e1d488ca7701821a32262.png

单击创建为了创建新规则。

5c12836668d1394777ad4fdf92c0d90b.png

点击精选在AD1:ExternalGroups情况。

143c1ccde380caa60a5e4ea479fb367a.png

选择组您在Cisco IOS设备要提供完全权限。单击 Ok。

format,png

在Shell配置文件字段点击精选。

711b9fd2246f7639417d577927a929bb.png

单击创建为了创建全部存取的用户的一新的Shell配置文件。

format,png

提供名称和Description(optional)在常规选项卡并且点击普通的任务选项卡。

c6f7edb06c0fcceb6b0fee3d0b31b080.png

更改默认权限和最大数量权限对与值15的静态。单击 submit。

1c685dc53ba584bde45d7d1ca372bd8d.png

现在请选择新建立的全部存取的Shell配置文件(在本例中的FULL权限)并且点击OK键。

3feaf9c454bbf1a48c222fc04683cd3d.png

在命令集字段点击精选。

8dd45cb86c7bac805640802e449eee5f.png

单击创建为了创建全部存取的用户的new命令集。

format,png

提供一名称并且保证在permit any命令旁边的复选框不在下表的被检查。单击 submit。

format,png

单击 Ok。

b9da32725cb744671ca26c32aac98f16.png

单击 Ok。这完成Rule-1的配置。

4acfd5c03956fb32d50d09ad3078f48f.png

单击创建为了创建有限享用用户的一新规则。

format,png

选择AD1:ExternalGroups并且点击精选。

aab4e7d93495fe79c93a5bb2def47871.png

选择组(或)组您要提供有限访问对和点击OK键。

cc119246b7dd2ee17c683a51f3ee39d4.png

在Shell配置文件字段点击精选。

format,png

单击创建为了创建有限访问的一新的Shell配置文件。

db68cb4b01427dfd3625e7ff50120c55.png

提供名称和Description(optional)在常规选项卡并且点击普通的任务选项卡。

1da184239f9436c8ebfd276d389766c4.png

分别更改默认权限和最大数量权限对与值1和15的静态。单击 submit。

8222ee4b32190aa6762fd8309eb9becc.png

单击 Ok。

02a571bf6438b68c1ceae909c1116f2f.png

在命令集字段点击精选。

format,png

单击创建创建有限享用组的new命令集。

00a3c5436650851d205dd203d6fcf8da.png

提供一名称并且保证在permit any命令旁边的复选框不在下表的没有选择。单击在键入以后添加显示在section命令提供的空间并且选择在授予部分的Permit,以便仅显示命令为用户在有限享用组中允许。

cb73bf47864a1a5e2b072b0a8821cea1.png

同样请添加所有其他命令为用户允许在有使用的有限享用组中Add。单击 submit。

9c4de290c2692e50e982ac50fcd31f4c.png

单击 Ok。

fe694be5b8660f31b01288e08f62083b.png

单击 Ok。

d4bf0a269b453c542e4a46659556901e.png

点击Save Changes。

f3908fedb9bb4b6f256abc76097bfca1.png

单击创建为了添加Cisco IOS设备作为ACS的一个AAA客户端。

format,png

为TACACS+提供一名称, IP地址,共享塞克雷并且单击提交。

a24d88de7ea3c66b4dda4adf3bd4f3db.png

完成这些步骤为了配置Cisco IOS设备和ACS认证和授权的。

创建一个本地用户有fallback的全双工权限用username命令如显示此处:

username admin privilege 15 password 0 cisco123!

提供ACS的IP地址为了启用AAA和添加ACS 5.x作为TACACS服务器。

aaa new-model

tacacs-server host 192.168.26.51 key cisco123

注意:密钥应该配比与在ACS提供的共享密钥为此Cisco IOS设备。

测试与

test aaa group tacacs+ user1 xxxxx legacy

Attempting authentication test to server-group tacacs+ using tacacs+

User was successfully authenticated.

前面的命令的输出显示TACACS服务器可及的,并且用户顺利地验证。

注意:User1和密码xxx属于AD。如果测试请失败请保证在上一步提供的共享密钥正确。

配置登录并且启用认证然后请使用Exec和命令授权如显示此处:

aaa authentication login default group tacacs+ local

aaa authentication enable default group tacacs+ enable

aaa authorization exec default group tacacs+ local

aaa authorization commands 0 default group tacacs+ local

aaa authorization commands 1 default group tacacs+ local

aaa authorization commands 15 default group tacacs+ local

aaa authorization config-commands

注意:如果TACACS服务器分别为不可得到的,本地和Enable (event)关键字使用对Cisco IOS本地用户和enable secret的fallback。

为了验证认证和授权请登陆到Cisco IOS设备通过Telnet。

远程登录到属于AD的全部存取的组的Cisco IOS设备作为user1。网络管理员组是被映射的FULL权限Shell配置文件和全部存取的Set命令在ACS AD的组。设法运行所有命令保证您有完全权限。

fc0d534972d75bf51249fb308e712113.png

远程登录到属于AD的有限享用组的Cisco IOS设备作为user2。(网络维护团队组是在ACS的被映射的有限权限Shell配置文件和SHOW访问Set命令) AD的组。如果设法运行任何命令除在SHOW访问set命令提及的那个之外,您应该收到Authorization命令失败的错误,显示该user2有有限访问。

d508d699c9a99a85de1b725fcda44ae0.png

登陆对ACS GUI并且启动监听并且报告查看器。选择AAA协议> TACACS+Authorization为了验证user1和user2执行的活动。

7901f9eb40ee2608e4276759b07df1f2.png

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/417477.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

一年中最后一个月的最后一天说说_一年的最后一天说说

今天是2021的最后一天,让我们跟它说一声再见吧!小编整理了一年的最后一天说说,希望你们喜欢!1、2021年就要过去了!在这一年中、有期待、有开心、有悲伤,然而这一切的情绪都将随着元旦的到来化作记忆。让我们在2021年最…

Red5 修改RTMP监听端口和ip

conf/red5.properties # RTMPrtmp.host192.168.0.100 //监听IPrtmp.port1935 //监听端口

轻快的VIM(三):删除

这一节我们来看看删除,删除命令比较简单,不过要使删除更有效率 你需要配合我们第一节中讲的各种移动命令 字符删除 x 删除光标所在处字符 X 删除光标所在前字符 这里没有什么可注意的地方,但需要说明一下的是 通常情况…

xpath 取标签下所有文字内容_对Xpath 获取子标签下所有文本的方法详解

对Xpath 获取子标签下所有文本的方法详解在爬虫中遇见这种怎么办想提取名称, 但是 名称不在一个标签里使用xpath string()方法例如data.xpath("string(path)")path -- 你xpath提取的路径 这里提取到父标签string() 方法会提取子标签多有的文本内容。以上这…

Flex 获取时间戳、随机数

获取时间戳 new Date().getTime()获取随机数Math.random()

前端学习(2226):react之状态

index.js import React from react; import ReactDOM from react-dom;class Clock extends React.Component {constructor(props) {super(props)//状态 时间this.state {time: new Date().toLocaleTimeString()}console.log(this.state.time)}render() {return ( <div >…

python selenium与自动化

大学是学习过java&#xff0c;但是工作中没用&#xff0c;忘完了&#xff0c;而且哪怕以后有了机会&#xff0c;就是很不愿意去学这个语言&#xff0c;开始喜欢上了c#&#xff0c;但是随着学的升入&#xff0c;感觉.net太庞大了&#xff0c;要学习那么多&#xff0c;总感觉我学…

sevlet 注释initparams_servlet3.0注解配置学习笔记

使用WebServlet将一个继承于javax.servlet.http.HttpServlet的类定义为Servlet组件。WebServlet有很多的属性&#xff1a;asyncSupported&#xff1a;声明Servlet是否支持异步操作模式。description&#xff1a;   Servlet的描述。displayName&#xff1a; Servlet的显示名称…

rails4 ajax 例子,Ajax和Rails 4:创建实例变量并更新视图而不刷新

我有一个部分的coaching_notes索引和一个用于创建备注的表单。我想创建一个教练笔记&#xff0c;并进行部分更新而不刷新页面。我收到一个未知动作错误&#xff1a;CoachingNotesController无法找到show动作。如果我添加显示操作&#xff0c;我会收到缺少的模板错误。当我尝试从…

Red5 webapp配置

例&#xff1a;MyStream应用程序 访问地址&#xff1a;rtmp://localhost/MyStream webapps/MyStream/WEB-INF/red5-web.properties webapp.contextPath/MyStreamwebapp.virtualHosts*, localhost, localhost:8088, 127.0.0.1:8088webapps/MyStream/WEB-INF/red5-web.xml<?x…

前端学习(2227):react之状态二

import React from react; import ReactDOM from react-dom;class Clock extends React.Component {constructor(props) {super(props)//状态 时间this.state {time: new Date().toLocaleTimeString()}console.log(this.state.time)}render() {return ( <div ><h1 &g…

【引用】Json 定义与操作

Json定义&#xff1a; JSON(JavaScript Object Notation) 是一种轻量级的数据交换格式。它基于JavaScript&#xff08;Standard ECMA-262 3rd Edition - December 1999&#xff09;的一个子集。 JSON采用完全独立于语言的文本格式&#xff0c;但是也使用了类似于C语言家族的习惯…

asp判断是否移动端_asp判断用户端是电脑访问还是移动设备方法

展开全部直接用JS更方便&#xff0c;更准确&#xff0c;ASPif InStr(LCase(Request.ServerVariables("HTTP_ACCEPT")),"text/vnd.wap.wml")>0 thenresponse.redirect "wap.asp" 如果是手机访问则跳转到32313133353236313431303231363533e59b…

前端学习(2228):react之状态三

index.js import React from react; import ReactDOM from react-dom;import ./App.cssclass Tab extends React.Component {constructor(props) {super(props)//状态 时间this.state {c2: "content",c1: "content active"}this.clickEvent this.click…

sql服务器如何复制数据库文件,如何将架构和一些数据从SQL Server复制到另一个实例?...

我的产品使用SQL Server数据库-每个客户端在自己的Intranet上都有自己的部署实例。该数据库大约有200个表。它们中的大多数是只有几行的配置表&#xff0c;但是有几个事务数据表可能有几百万行。通常&#xff0c;我需要对客户的配置问题进行故障排除&#xff0c;因此我需要他们…

benchmark问题_使用U盘来掩盖CEPH IO性能低下的问题

背景最近Gemfield利用团队废弃的硬件搭建了一个CEPH集群&#xff0c;这些硬件的关键信息如下&#xff1a;主流的Intel x86 cpu&#xff1b;64GB RAM per node&#xff1b;1GbE NIC&#xff1b;1GbE 交换机&#xff1b;5400RPM的普通机械硬盘&#xff1b;当然&#xff0c;这些寒…

【引用】jQuery 选择器

jQuery 选择器 基本选择器 1、#myid 返回: <jQuery对象> &#xff1a;匹配一个id为myid的元素。 2、element 返回: <jQuery对象> 数组&#xff1a;匹配所有的element元素 3、.myclass 返回: <jQuery对象> 数组&#xff1a;匹配所有class为myclass的元素 4、…

【codeforces 749E】 Inversions After Shuffle

http://codeforces.com/problemset/problem/749/E (题目链接) 题意 给出一个1~n的排列&#xff0c;从中等概率的选取一个连续段&#xff0c;设其长度为l。对连续段重新进行等概率的全排列&#xff0c;求排列后整个原序列的逆序对的期望个数。 Solution 考虑对于每一对数${(a_i,…

前端学习(2229):react条件渲染实现登录

index.js import React from react; import ReactDOM from react-dom;function UserGree(props) {return ( < h1 > 欢迎登陆 < /h1>)}function UserLogin(props) {return ( < h1 > 请先登陆 < /h1>)}class ParentCom extends React.Component {constr…

log4net 配置

AssemblyInfo.cs 添加[assembly: log4net.Config.XmlConfigurator(ConfigFile"log4net.config")]web根目录下log4net.config<?xml version"1.0" encoding"utf-8" ?><log4net><appender name"RollingLogFileAppender"…