viernes, 11 de noviembre de 2016

TACACS+ sobre Cisco ISE v2.1

TACACS+ sobre ISE v2.1

Como leer e interpretar las líneas de comando
              En el presente manual se usan las siguientes convenciones para comandos a ingresar en la interfaz de lineas de configuracion (CLI).
Comando para ingresar al modo de configuracion global:
                 configure terminal
Comando para especificar el valor de una varible:
                 ntp server 172.18.58.200
Comando cuya variable usted debe definir:   
                 Class-map [highest class name]
Comando para ingresar al modo de configuracion privilegiado y campos universales imperativos      :
                 Router>enable
Las comandos de configuracion muy largos y que ocupan varias lineas se subrayan
                 police rate 10000 pps burst 10000 packets conform-action
Las variables que se muestran como salida de respuesta a peticiones en CLI son sombreadas
interface Van64   
 ip address 10.5.204.5 255.255.255.0

_________________________________________________________________________________
Nota Importante: Para este despliegue se debe contar con un Controlador de Dominio establecido al igual que una estructura básica de Directorio Activo. A su vez con un servicio de DNS local.
De igual manera, se debe haber preconfigurado Cisco ISE para integración con Active Directory.
_________________________________________________________________________________

Desplegando Servicio TACACS+ dentro Cisco (ISE)
              En la versión 2.1, Cisco integra el servicio TACACS+ dentro de las características disponibles en la Maquina de Servicios de Identificación ISE.
                 Algunos requisitos son necesarios dentro de este mecanismo:
1)      Configuración de una política de Autenticación.
2)      Configuración de una política de Autorización.
3)      Configuración de elementos de políticas.
4)      Declarar los dispositivos de red que harán uso del servicio TACACS+.

Proceso 1: Configurar protocolo de Autenticación de dispositivos.
Paso 1: Navegar a traves de la ruta Policy > Policy Elements > Results.
Paso 2: En el panel de la izquierda, desplegar la sección de Authentication y allí click sobre Allowed Protocols.
              Paso 3: Ahora sobre la derecha en el campo Name colocar un nombre para la condición, por ejemplo: DeviceProtocolPAP. En la seccion Allowed Protocols, click en la casilla Allow PAP/ASCII. Para finalizar hace click en Save. Validar Figura16.


Figura16.: Selección Protocolos de Autenticación


Proceso 2: Configurar política de Autenticación.
Paso 1: Navegar a traves de la ruta Work Centers > Device Administration > Admin Policy Sets.
Paso 2: En el panel a la izquierda clic sobre Default.
              Paso 3: En la seccion Authentication Policy, click en el link Edit.
              Paso 4: En el campo Allow Protocols elegir DeviceProtocolPAP y en el campo and use elegir SETRYS. Validar Figura17.

Figura17.: Configuracion politica de Autenticacion para TACACS+



Proceso 3: Configurar condiciones para la Autorización de dispositivos.
                 Paso 1: Navegar a través de la ruta Policy > Policy Elements > Conditions.
              Paso 2: En el panel de la izquierda, desplegar la sección de Autorization y allí click sobre Simple Conditions.
              Paso 3: Ahora sobre la derecha en el campo Name colocar un nombre para la condición, por ejemplo: NetworkAdmin
                 Paso 4: En el campo Atributo elegir SETRYS:ExternalGroups, en el campo Operator optar por Equals y en Value, setrys.com/Users/Domain Admins.Validar Figura18.
Nota: Este proceso tiene como objetivo elegir al grupo de usuarios que podran administrar a los dispositivos de red.


Figura18.: Condicion Simple utilizada en la Política de Autorización TACACS+



Proceso 4: Configurar condiciones para la Autorización de dispositivos.
            Paso 1: Navegar en la ruta Work Center > Device Administration > Policy Elements.
              Paso 2: En el panel de la izquierda, desplegar la sección de Result y allí click sobre TACACS Command Sets.
              Paso 3: Ahora sobre la derecha en el campo Name colocar un nombre para la condición, por ejemplo: PermitNODebug.
        Paso 4: Debajo en la sección Commands, seleccionar la casilla Permit any command that is not listed below.
              Paso 5: Luego hacer click en +Add,  en el campo Grant elegir PERMIT y en campo Command elegir debug. Clic en Save. Validar Figura 19.


Figura19.: Lineas de comandos a autorizar dentro de la política


Proceso 5: Configurar Niveles de Acceso, interfaz línea de comandos CLI.
              Paso 1: Navegar en la ruta Work Center > Device Administration > Policy Elements.
              Paso 2: En el panel de la izquierda, desplegar la sección de Result y allí click sobre TACACS Profile.
              Paso 3: Ahora sobre la derecha en el campo Name colocar un nombre para la condición, por ejemplo: IOS.
      Paso 4: Debajo en la pestaña Task Attribute View, seccion Common Task, elegir Shell en el campo Commons Task Type.
              Paso 5: Luego hacer click en las casillas de los campos Default Privilege y Maximun Privilege, llenar el campo con los niveles a configurar. Por ejemplo 15. Click en Save. Ver Fig. 20.


Figura20.: Nivel de privilegios de restricción dentro de las lineas de la CLI


Proceso 6: Configurar política de Autenticación.
  Paso 1: Navegar a traves de la ruta Work Centers > Device Administration > Admin Policy Sets.
  Paso 2: En el panel a la izquierda clic sobre Default.
            Paso 3: En la seccion Autorization Policy, Exceptions click en el link Edit y elegir Insert a new rule above.
            Paso 4: En el campo Rule Name escribir un nombre, por ejemplo: AAA_Tacacs, en el campo Coditions elegir NetworkAdmin, en el campo Command Sets optar por PermitNODebug y  en campo Shell Profiles click sobre IOS. Validar figura 21.


Figura21.: Configuracion de Politica de Autorizacion.


Proceso 7: Ingreso de dispositivos de red dentro Cisco ISE.
Paso 1: Navegar a traves de la ruta Work Centers > Device Administration > Network Resources.
Paso 2: En el panel a la izquierda clic sobre Network Devices.
              Paso 3: A la derecha dentro del campo Name colocar el hostname del dispositivo a ingresar, por ejemplo: SW3650G.
Paso 4: En el campo IP Address colocar la direccion IP del dispositivo, por ejemplo: 172.19.50.28.
Paso 5: En la parte inferior, marcar la casilla TACACS+ Authentication Settings y llenar el campo Shared Secret con la llave precompartida a configurar, validar Figura22, por ejemplo setrys.


Figura22.: Ingreso de Dispositivos de red a autenticar TACACS+ dentro de Cisco ISE


Líneas de Comandos en equipos de red, Servicio TACACS+ Cisco (ISE)

aaa new-model
aaa authentication login default group tacacs+ local
aaa authorization console
aaa authorization exec default group tacacs+ local
aaa authorization commands 15 default group tacacs+ local
aaa authorization network default group tacacs+
aaa authorization auth-proxy default group tacacs+
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
aaa session-id common

tacacs-server host 172.19.50.18
tacacs-server directed-request

tacacs-server key setrys

¿Cómo verificar Logs de Autenticaciones?
Paso 1: Navegar a traves de la ruta Operations > TACACS+ > Live Logs.
Paso 2: Click en el botón Refresh. Validar Figura23.
¿Cómo verificar Logs de Auditorias de Actividades?
Paso 1: Navegar a través de la ruta Operations > Repots.
Paso 2: En el panel a la izquierda clic sobre ISE Reports > Device Administration >  TACACS Command Accounting.
Paso 3: Ahora elegir el rango de tiempo en cual quiere hacerse la búsqueda. Por ejemplo: Today. Y luego hacer clic en el botón Run. Figura 24.


 Referencias
Cisco Identity Services Engine Administrator Guide, Release 2.1. Marzo 2015.
Campus 802.1X Authentication. Technology Design Guide. Agosto 2014.
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)