Пример настройки классической авторизации пользователей на Cisco Secure ACS v4.0.

Настройка Cisco Secure ACS

Наша задачи:

• создать AAA клиента, использующего TACACS+ аутентификацию
• создать две группы пользователей с нужными свойствами

Этот раздел статьи содержит много рисунков и мало текста. Действительно, удобнее все увидеть на картинке, чем долго читать описание.

Настройка AAA клиента

Начинаем с того, что добавляем AAA клиента на ACS сервере.

Для этого открываем страницу Network Configuration.

Добавляем AAA клиента. В Блоке AAA Clients нажимаем Add Entry.

Заполняем поля как на рисунке и нажимаем Submit + Apply.

В итоге получаем следующую картину.

На странице Interface Configuration появилась строка со ссылкой TACACS+ ( Cisco IOS ). Нажимаем ее.

Проверяем, что флажок рядом Shell ( exec ) установлен. В противном случае нужные нам поля не отобразятся в свойствах групп.

Настройка группы обычных пользователей.

Создадим и настроим группу для рядовых пользователей. Напомню, что им требуется ftp трафик к двум FTP серверам и RDP трафик к терминальному серверу.

На странице Group Setup выбираем нужную группу и нажимаем кнопку Edit Settings.

В блоке TACACS+ Settings / Shell Command Authorization Set устанавливаем переключатели и заполняем поля согласно следующему рисунку.

Согласитесь, на первый взгляд это кажется немного странным: поставив два переключателя в положение Deny, мы разрешили прохождение нужного трафика. На самом деле все логично – оба Deny запрещают то, что не соответствует значением полей команды и аргумента.

И еще один важный момент, на который надо обратить внимание. Обязательно проверьте , нет ли в конце строк аргумента неотображаемых символов. Например, если Вы случайно поставите в конце строки пробел, то соответствующее этой стоке правило работать не будет. Хотя внешне все будет казаться верным.

Итак, сохраняем изменения, нажав Submit + Apply.

Снова открываем свойства редактируемой группы. Как Вы можете заметить, в блоке Shell Command Authorization Set появились поля для новых правил. Заполняем их в соответствии со следующим рисунком и нажимаем Submit + Apply.

Осталось только добавить пользователей в группу.

На странице User Setup находим нужного пользователя и в его свойствах указываем нужную группу.

Настройка группы администраторов серверов.

Администраторам нужен такой же, как у пользователей, FTP доступ, плюс RDP доступ ко всем серверам.

Настройки в той части, которая касается ftp трафика, совпадает на 100%. Во второй части, в поле аргумент в последнем октете адреса вместо цифры ставим «*». Таким образом, мы указали вместо одного адреса всю сеть 192.168.1.0/24.

Другие небольшие хитрости, которые нам не потребовались в этом примере, но могут Вам пригодиться :

— Можно указывать диапазон портов. Строка команды тогда будет выглядеть так: tcp/10000-10007.

— Чтобы открыть все порты, поставьте после черты “0”, например udp/0.

Так же добавим во вторую группу нужных пользователей.

Теперь все, что требовалось сделать на AAA сервере, выполнено.

Комментарий в заключении

Если Вы заметили, мы по-разному описали RDP и ftp трафики. Дело в том, что HTTP, HTTPS, FTP и Telnet трафик описываются явно. Т. е. в поле “Command” надо написать http или https или ftp или telnet. Для всех других портов требуется указывать комбинацию из названия протокола и номера порта, разделенных чертой, например tcp/3389 или udp/53. Но если вы напишете tcp/80, HTTP трафик не пройдет. Надо писать http. Тоже самое для HTTPS, FTP и Telnet. Но и это еще не все. Если нужно описать ICMP трафик, придется писать “1/8” для эхо запросов и “1/0” для эхо ответов. Как Вы, наверное, знаете, у каждого протокола есть свой номер: tcp=6, udp=17, icmp=1 и т. д. Как это не смешно, но если описать, например, RDP трафик через 6/3389, то такой вариант тоже работать не будет.

Как это не удивительно, но описать весь нужный трафик в одном формате не удается. Не могу сказать, в чем здесь причина. Возможно в более свежих версиях Cisco Secure ACS все намного лучше.