Chương trình thử nghiệm “Xác thực phân quyền login bằng giao thức TACACS+ với Cisco ISE”
|
Tên thiết bị |
Interface |
IP Address |
|
Cisco ISE |
NIC |
10.215.26.49 Hoặc
10.215.26.49 |
|
Router |
E0/0 |
DHCP |
|
Client Windows |
NIC |
DHCP |
Phần mềm sử dụng:
Cấu hình AAA trên Router:
Router(config)# aaa new-model
Router(config)#tacacs server ISE49
Router(config-server-tacacs)#address ipv4 10.215.26.49 Router(config-server-tacacs)#key 123abc
Router(config-server-tacacs)#exit
Router(config)#aaa group server tacacs+ ISESRV Router(config-sg-tacacs+)#server name ISE49 Router(config-sg-tacacs+)#exit
Router(config)#aaa authentication login VTY group ISESRV local Router(config)#aaa authorization exec VTY group ISESRV local if- authenticated
Router(config)#aaa authorization commands 1 VTY group tacacs+ local
Router(config)#aaa authorization commands 15 VTY group tacacs+ local
Router(config)#aaa accounting exec default Router(cfg-acct-mlist)#action-type start-stop Router(cfg-acct-mlist)#group ISESRV Router(cfg-acct-mlist)#exit
Router(config)#aaa accounting commands 1 default Router(cfg-acct-mlist)#action-type start-stop Router(cfg-acct-mlist)#group ISESRV
Router(cfg-acct-mlist)#exit
Router(config)#aaa accounting commands 15 default Router(cfg-acct-mlist)#action-type start-stop Router(cfg-acct-mlist)#group ISESRV
Router(cfg-acct-mlist)#exit
Router(config)#aaa accounting network default Router(cfg-acct-mlist)#action-type start-stop Router(cfg-acct-mlist)#group ISESRV Router(cfg-acct-mlist)#exit
Router(config)#aaa accounting connection default Router(cfg-acct-mlist)#action-type start-stop Router(cfg-acct-mlist)#group ISESRV
Router(cfg-acct-mlist)#exit
Router(config)#aaa accounting system default Router(cfg-acct-mlist)#action-type start-stop Router(cfg-acct-mlist)#group ISESRV Router(cfg-acct-mlist)#exit
|
Router(config)#line vty 0 4 Router(config-line)#authorization commands 1 VTY Router(config-line)#authorization commands 15 VTY Router(config-line)#login authentication VTY Router(config-line)#authorization exec VTY Router(config-line)#transport input telnet Router(config-line)#exit |
Bật tính năng TACACS+ trên ISE:
Đầu tiên, ta mở trình duyệt và truy cập vào IP 10.215.26.49 (IP của ISE Server). Đăng nhập bằng username và password được cung cấp. Vào Administration → Deployment → Tích chọn hostname của Cisco ISE → Edit:
Ở phần Policy Service, chọn Enable Device Admin Service và Save lại:
Thêm Router vào ISE:
Vào Work Centers → Device Administration → Network Resources → Network Devices → Add:
Nhập tên, và IP của Router ta muốn thêm:
Ở phần TACACS Authentication Settings ta chỉ định chuỗi “Shared Secret” để Router và ISE giao tiếp với nhau.
Sau đó bấm submit.
Cấu hình xác thực/phân quyền bằng TACACS+:
Vào Work Center → Device Admin Policy Sets:
Chọn Policy Elements → Result → TACACS Command Sets → Add:
Tạo command set cho user adminvnpro có thể dùng đầy đủ các lệnh khi telnet:
Tích chọn “Permit any command that is not listed below” và bấm Save.
Ta cũng tạo thêm command set cho user guest có privilege là 7 khi user này telnet vào router:
Sau đó bấm Submit.
Tiếp theo, ta vào TACACS Profiles → Add:
Tạo profile cho adminvnpro với privilege 15:
Profile cho guest với privilege 7:
Vào Administration → Groups → User Identify Groups → Add:
Tạo 2 group cho user adminvnpro và user guest:
Vào Identities → Add → Tạo user adminvnpro:
Trong đó:
Tương tự, ta cũng tạo thêm user guest với User Groups là Group_Guest:
Kết quả:
Tiếp theo, ta vào Work Center → Device Admin Policy Sets → bấm ( + ):
Tạo policy như sau:
Sau khi click “AND” ta chọn “New” và thiết lập như sau:
Sau đó bấm “Use”, ta được kết quả:
Sau đó save lại.
Sau đó, ta click vào mũi tên qua phải của policy vừa mới tạo:
Ở phần “Authentication Policy” ta chọn Use: Internal Users:
Tiếp theo, ta cấu hình phần Authorization Policy:
Cấu hình conditions như sau:
Sau đó bấm “Use” để quay lại mục Authorization Policy, ở mục bên phải, ta chọn command set là “CommandSet15” và shell profile là “Shell 15”.
Tương tự vậy, ta cũng tạo Authorization Policy cho account guest:
Sau đó ta save lại.
Kiểm tra:
Ta dùng PC telnet vào Router với username là adminvnpro password là
VnPro@123:
Kết quả: Telet thành công:
Gõ “?” để kiểm tra các lệnh user này có thể sử dụng, ta thấy user adminvnpro có thể dùng tất cả các lệnh:
Dùng lệnh “show privilege” ta sẽ thấy privilege của user này là 15:
Thử lại với account guest ta thấy account này được sử dụng rất ít lệnh và có privilege là 7:
Để xem thông tin về phiên đăng nhập trên Cisco ISE, ta vào Operations → TACACS → Live Log:
*Chú ý: Do sử dụng giao thức DHCP nên nếu shutdown port hoặc reload lại router, có thể IP router sẽ bị thay đổi, ta sẽ phải đổi lại thiết bị trên ISE Server.
PHẦN MỞ RỘNG THÊM
Bring Your Own Device (BYOD) dần trở thành một trong những xu hướng có tầm ảnh hướng lớn lên mọi tổ chức IT. Thuật ngữ này được định nghĩa nhằm phản ánh phần nào cách thức các thiết bị được sử dụng trong môi
trường làm việc trong doanh nghiệp.
Vậy BYOD là gì? BYOD có nghĩa là các thiết bị có thể thuộc sở hữu của nhân viên hoặc của doanh nghiệp và có thể sử dụng ở bất kỳ đâu, giúp người dùng đầu cuối sử dụng các thiết bị số cá nhân để làm việc, hỗ trợ cho quá trình truyền thông giúp tăng năng suất công việc và khả năng di động, thay đổi vị trí làm việc linh hoạt.
Cisco Identity Services Engine (ISE) là một trong những thành phần cốt lõi của kiến trúc Cisco BYOD và có khả năng cung cấp một số những dịch vụ sau:
Một trong những chức năng quan trọng nhất của Cisco ISE là khả năng xác
định vị trí của các thiết bị đã tiến hành đăng ký. Khi các thiết bị này tiến
hành kết nối vào hệ thống mạng, chúng sẽ được chuyển hướng tới cửa sổ đăng ký self-service registration portal nơi mà các user có thể tiến hành đăng ký thiết bị, thu hồi thiết bị và tiếp nhận các điều khoản chính sách tự động auto-provisioning tới thiết bị. Đây là một trong những dịch vụ quan trọng nhất của ISE giúp giảm nhẹ gánh nặng tác vụ quản trị cho đội ngũ IT nhưng vẫn triển khai đầy đủ các điều khoản, chính sách lên từng thiết bị trên hệ thống mạng, bên cạnh đó, nó còn đem đến cho đội ngũ IT khả năng giám sát các thiết bị trong quá trình truy cập vào hệ thống.
Với chức năng xác thực Authentication và cấp quyền Authorization, Cisco ISE cung cấp cho các thiết bị đầu cuối khả năng truy cập vào hạ tầng mạng thông qua divece profiling. Device Profiling có thể được sử dụng để nhận diện vị trí, xác định loại thiết bị và các chức năng hỗ trợ trên thiết bị đầu cuối, cho phép thiết bị đấu nối vào hệ thống mạng thông qua các quyền đặc thù được giới hạn bởi các Authorization rule.
