نحوه authorization در acs

**IMAN4k** · 2014-12-12, 05:34 PM

سلام خدمت دوستان
چطور authorize رو در acs کانفیگ کنم.ممنون میشم راهنمایی کنید؟در مورد کانفیگ روتر هم موندم چرا باید level بعد از commandsوارد بشه مگر acs تعیین نمیکنه؟
الان یک یوزر دارم که میخوام مشخص کنم فقط در مود enable وارد شه و یک سری کامند هایی که مشخص میکنم رو بتونه بزنه (زمانی که به روتر تلنت زده)؟
authenticate هم ok هست.

موضوعات مشابه:

**A.Yazdani** · 2014-12-12, 09:24 PM

ببینید اینکه یک کاربر بتونه چه دستوراتی رو در دیوایس وارد کنه رو ACS مشخص نمی کنه این کار رو Switch انجام میده .
شما میتونید سطح دسترسی های مختلف در Switch داشته باشید مثلا سطح 2 یک سری کانفیگ بتونه انجام بده سطح 3 یک سری و . . . .
بعد در ACS میرید و کاربری رو که ایجاد کردید رو عضو یکی از این level ها میکنید.

برای قسمت دوم سوال شما :
کاربر که سطح 2 داره بتونه کامند های زیر رو بزنه :

کد:

privilege exec level 2 show vlan
privilege exec level 2 show vlan brief
privilege exec level 2 copy running-config startup-config
privilege exec level 2 sho run interface

اگر قراره از local database خود Switch استفاده کنید باید به کاربر privilege بدین اگر هم قراره از ACS استفاده کنید کاربر رو باید عضو گروه 2 کنید.

**IMAN4k** · 2014-12-12, 09:52 PM

نوشته اصلی توسط A.Yazdani

ببینید اینکه یک کاربر بتونه چه دستوراتی رو در دیوایس وارد کنه رو ACS مشخص نمی کنه این کار رو Switch انجام میده .
شما میتونید سطح دسترسی های مختلف در Switch داشته باشید مثلا سطح 2 یک سری کانفیگ بتونه انجام بده سطح 3 یک سری و . . . .
بعد در ACS میرید و کاربری رو که ایجاد کردید رو عضو یکی از این level ها میکنید.

برای قسمت دوم سوال شما :
کاربر که سطح 2 داره بتونه کامند های زیر رو بزنه :

کد:

privilege exec level 2 show vlan
privilege exec level 2 show vlan brief
privilege exec level 2 copy running-config startup-config
privilege exec level 2 sho run interface

اگر قراره از local database خود Switch استفاده کنید باید به کاربر privilege بدین اگر هم قراره از ACS استفاده کنید کاربر رو باید عضو گروه 2 کنید.

دوست عزیز ممنون از توجهت
من کانفیگ رو انجام دادم در روتر و در acs 5.2 یعنی internal user تعریف کردم Identity Groups هم تعریف کردم و یوزر ها رو عضو گروه ها کردم.Service Selection Rules هم ایجاد کردم shell profile و command set و..
حالا موقع وارد کردن کامند پیغام command authorization failed رو میبینم.
این کانفیگ روتر:

aaa group server tacacs+ TAC-SERVER
server 10.1.1.4
!
aaa authentication login default group TAC-SERVER
aaa authorization config-commands
aaa authorization exec default group TAC-SERVER if-authenticated
aaa authorization commands 0 default group TAC-SERVER
aaa authorization commands 1 default group TAC-SERVER
aaa authorization commands 15 default group TAC-SERVER
!

این هم debug

*Mar 1 05:59:37.354: AAA: parse name=tty226 idb type=-1 tty=-1
*Mar 1 05:59:37.354: AAA: name=tty226 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=226 channel=0
*Mar 1 05:59:37.354: AAA/MEMORY: create_user (0x65C5629C) user='help' ruser='R1' ds0=0 port='tty226' rem_addr='10.1.1.2' authen_type=ASCII service=NONE priv=0 initial_task_id='0', vrf= (id=0)
*Mar 1 05:59:37.358: tty226 AAA/AUTHOR/CMD(1026714551): Port='tty226' list='' service=CMD
*Mar 1 05:59:37.358: AAA/AUTHOR/CMD: tty226(1026714551) user='help'
*Mar 1 05:59:37.358: tty226 AAA/AUTHOR/CMD(1026714551): send AV service=shell
*Mar 1 05:59:37.358: tty226 AAA/AUTHOR/CMD(1026714551): send AV cmd=show
*Mar 1 05:59:37.358: tty226 AAA/AUTHOR/CMD(1026714551): send AV cmd-arg=<cr>
*Mar 1 05:59:37.362: tty226 AAA/AUTHOR/CMD(1026714551): found list "default"
*Mar 1 05:59:37.362: tty226 AAA/AUTHOR/CMD(1026714551): Method=TAC-SERVER (tacacs+)
*Mar 1 05:59:37.362: AAA/AUTHOR/TAC+: (1026714551): user=help
*Mar 1 05:59:37.362: AAA/AUTHOR/TAC+: (1026714551): send AV service=shell
*Mar 1 05:59:37.366: AAA/AUTHOR/TAC+: (1026714551): send AV cmd=show
*Mar 1 05:59:37.366: AAA/AUTHOR/TAC+: (1026714551): send AV cmd-arg=<cr>
*Mar 1 05:59:37.586: AAA/AUTHOR (1026714551): Post authorization status = FAIL
*Mar 1 05:59:37.590: AAA/MEMORY: free_user (0x65C5629C) user='help' ruser='R1' port='tty226' rem_addr='10.1.1.2' authen_type=ASCII service=NONE priv=0 vrf= (id=0
این هم لاگ acs
http://bayanbox.ir/view/1785890615386806182/Capture.png

دیگه نمیدونم چی کار کنم؟؟

**al1p0ur** · 2014-12-13, 04:35 PM

شما به وسیله ACS میتونید مشخص کنید که چه کسی ، روی چه دستگاههایی چه دستوراتی رو اجرا کنه و لازم نیست روی سوئیچ کاری انجام بدید .
زمانی که ارور command authorization failed رو روی سوئیچ دریافت میکنید به خاطره اینه که تنظیمات CommandSet توی ACS به درستی ست نشده .

برای مسئله شما پیشنهاد من اینه که توسط CommandSet اجازه همه دستورات به جز Configure رو به کاربر بدید . اینجوری کاربر هیچ وقت نمیتونه وارد مد کانفیگ بشه .

**A.Yazdani** · 2014-12-13, 04:56 PM

کاری که من شخصا اینجور مواقع انجام می دم اینه که روی Switch سطح دسترسی ها رو و اینکه به چه قسمت هایی دسترسی داشته باشند رو برای level های مختلف مشخص می کنم و بعد کاربرا رو در ACS ایجاد می کنم و عضو گروه مورد نظر می کنم.
پیکر بندی برای ارتباط Switch با ACS هم به صورت زیر است :

کد:

aaa new-model
aaa authentication login VTY group tacacs+ local
aaa authorization exec VTY group tacacs+ local 

!

tacacs-server host 192.168.1.1

!


line vty 0 15


 authorization exec VTY
 logging synchronous
 login authentication VTY

!

**IMAN4k** · 2014-12-13, 05:28 PM

هدف من در این سناریو این هست که هیچ database و هیچ access policy به شکل لوکال نباشه.احتمال داره مشکل از باگ gns3 و یا vmware باشه.
من چندین و چند بار طبق لاگ زیر کانفیگ acs و command set ها و shell profile هارو بررسی کردم.روتر هم که مشکلی نداره.
document.pdf
طبق عکس زیر هیچ کدوم از رول ها در authorization استفاده نمیشن(hit count 0) همه درخواست با دیفالت مچ میشن (hit count 32 ) که اونم permit هست.
http://bayanbox.ir/view/2473460586511102539/01.png
حالا چرا رو هیچ کدوم از رول ها ست نمیشه؟دیفالت هم که هست permit ولی باز کار نمیکنه ؟command set ها هم چیزی نداره که بخواد پیچیده باشه؟
واقعا دیگه موندم

**al1p0ur** · 2014-12-13, 07:07 PM

اصلا فلسفه استفاده از ACS تو شبکه ، مدیریت متمرکز دستگاههاست . اگه قرار باشه تنظیمات به صورت لوکال انجام بشه دیگه چه نیازی به ACS هست ؟!

دوست عزیز مشکل شما رو عرض کردم چیه .
بازم میگم

1- با توجه به رولهات و اینکه تعداد Hit Count شون صفره ، معلومه که رولت رو درست ننوشتی . شما با استفاده از دکمه Customize ستونهای مورد نظر رو اضافه کن و طوری رول بنویس که کلاینت هنگام اتصال به سوئیچ در اون رول بیوفته . ضمنا چون رولت درست نیست ، کاربر تو رول دیفالت میوفته اما چون Command Set ای که تو دیفالت گذاشتی هم مشکل داره هیچ دستوری رو نمیتونی اجرا کنی .

2- کامند ستی که به نام Admins Command Set ساختی مشکل داره و دستوراتش طوریه که کاربر نمیتونه چیزی رو اجرا کنه برای همین اون پیغام command authorization failed را میده .

پیشنهاد میکنم از اول کانفیگ کنی و قدم به قدم مراحل را با دقت انجام بدی چون نه باگی وجود داره و نه کار پیچیده ایه .

موفق باشید .

**IMAN4k** · 2014-12-13, 07:56 PM

**al1p0ur** · 2014-12-13, 10:03 PM

عکس ها رو دیدم . مشکلی مشاهده نمیشه !
1- ورژن ACS شما چنده ؟
2- تغییراتی برای سطح دسترسی تو سوئیچ ندادید ؟ مثل پست 2 . اگه دادید اونارو حذف کنید و چک کنید
3- اگه با 2 درست نشد ، یکبار ACS و روتر رو Reset Config کن و دوباره تنظیمات رو انجام بدید و چک کنید .

**IMAN4k** · 2014-12-13, 10:37 PM

نوشته اصلی توسط al1p0ur

عکس ها رو دیدم . مشکلی مشاهده نمیشه !
1- ورژن ACS شما چنده ؟
2- تغییراتی برای سطح دسترسی تو سوئیچ ندادید ؟ مثل پست 2 . اگه دادید اونارو حذف کنید و چک کنید
3- اگه با 2 درست نشد ، یکبار ACS و روتر رو Reset Config کن و دوباره تنظیمات رو انجام بدید و چک کنید .

ورژن 5.2 هستش (با اوبونتو 13.10 ک*رک رو انجام دادم)
نه هیچ privilege داخل روتر کانفیگ نشده
حقیقتش دومین بار کلا acs رو از vm پاک کردم دوباره نصب کردم کانفیگ هم از اول انجام دادم.(عکس ها برای بار دوم هست)

aaa new-model
!
!
aaa authentication login default group tacacs+
aaa authentication login CONSOLE-LOGIN none
aaa authorization config-commands
aaa authorization exec default group tacacs+ if-authenticated
aaa authorization commands 0 default group tacacs+
aaa authorization commands 1 default group tacacs+
aaa authorization commands 15 default group tacacs+
!
!
tacacs-server host 10.1.1.4 key cisco@123
!

R1#
*Mar 1 00:02:25.015: AAA/AUTHOR (0x3): Pick method list 'default'
*Mar 1 00:02:25.099: AAA/AUTHOR/EXEC(00000003): processing AV cmd=
*Mar 1 00:02:25.099: AAA/AUTHOR/EXEC(00000003): Authorization successful
R1#

R1#
*Mar 1 00:03:31.003: AAA: parse name=tty226 idb type=-1 tty=-1
*Mar 1 00:03:31.007: AAA: name=tty226 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=226 channel=0
*Mar 1 00:03:31.007: AAA/MEMORY: create_user (0x65C54B98) user='admin' ruser='R1' ds0=0 port='tty226' rem_addr='10.1.1.2' authen_type=ASCII service=NONE priv=1 initial_task_id='0', vrf= (id=0)
*Mar 1 00:03:31.011: tty226 AAA/AUTHOR/CMD(2934244665): Port='tty226' list='' service=CMD
*Mar 1 00:03:31.011: AAA/AUTHOR/CMD: tty226(2934244665) user='admin'
*Mar 1 00:03:31.011: tty226 AAA/AUTHOR/CMD(2934244665): send AV service=shell
*Mar 1 00:03:31.011: tty226 AAA/AUTHOR/CMD(2934244665): send AV cmd=ping
*Mar 1 00:03:31.011: tty226 AAA/AUTHOR/CMD(2934244665): send AV cmd-arg=10.1.1.4
*Mar 1 00:03:31.015: tty226 AAA/AUTHOR/CMD(2934244665): send AV cmd-arg=<cr>
*Mar 1 00:03:31.015: tty226 AAA/AUTHOR/CMD(2934244665): found list "default"
*Mar 1 00:03:31.015: tty226 AAA/AUTHOR/CMD(2934244665): Method=tacacs+ (tacacs+)
*Mar 1 00:03:31.015: AAA/AUTHOR/TAC+: (2934244665): user=admin
*Mar 1 00:03:31.015: AAA/AUTHOR/TAC+: (2934244665): send AV service=shell
*Mar 1 00:03:31.019: AAA/AUTHOR/TAC+: (2934244665): send AV cmd=ping
*Mar 1 00:03:31.019: AAA/AUTHOR/TAC+: (2934244665): send AV cmd-arg=10.1.1.4
*Mar 1 00:03:31.019: AAA/AUTHOR/TAC+: (2934244665): send AV cmd-arg=<cr>
*Mar 1 00:03:31.247: AAA/AUTHOR (2934244665): Post authorization status = FAIL
*Mar 1 00:03:31.247: AAA/MEMORY: free_user (0x65C54B98) user='admin' ruser='R1' port='tty226' rem_addr='10.1.1.2' authen_type=ASCII service=NONE priv=1 vrf= (id=0)
R1#

**al1p0ur** · 2014-12-21, 11:31 AM

دوست من این لینک رو خوندید ؟
https://supportforums.cisco.com/disc...on-status-fail

روی روترتون Enable Password ست کردید ؟

**IMAN4k** · 2014-12-22, 10:07 AM

بله با ست کردن enable secret مشکل برطرف شد.ممنون
فقط الان یوزری که ادمین نیست(help) اجازه دسترسی به تمام کامند هارو داره؟

**IMAN4k** · 2014-12-22, 12:39 PM

مشکل دوم هم برطرف شد که max privilege گروه helpdesk برابر 15 بود که به 1 تغییر داده شد

موضوع: نحوه authorization در acs

پیوند

ابزارهای موضوع

نمایش

نحوه authorization در acs

کلمات کلیدی در جستجوها:

tacacs cmd auth یعنی چی؟

برچسب برای این موضوع

مجوز های ارسال و ویرایش