root

Leader IT/Architect
Dec 31, 2012
1,153
72
48

Config Cisco ACS Shell Command Authorization on Switch - Phần 2


- Series các bài lab "Config Cisco ACS shell command authorization on Switch"
Tham khảo thêm các bài lab khác tại:

1.2 Config Shell Profiles on Cisco ACS


- Trước tiên chúng ta cần tạo ra các Shell Profiles để cấu hình phần quyền cho từng group user thuộc các Shell profiles.
Chúng ta sẽ cấp quyền cho các Shell Profiles tương ứng với các privilege level.
Để tạo Shell Profiles trên Cisco ACS 5.4 các bạn vào
Policy Elements --> Authorization and Permissions --> Device Administrations --> Shell Profiles


- Chúng ta sẽ tạo 1 profiles cho group "ADMIN"


- Chúng ta sẽ phần quyền cho Profiles "ADMIN_Profile" là privilege là 15.
Trên tab "Common tasks" các bạn cấu hình Privilege level cho group "ADMIN" là privilege 15.
  • Default Privilege: 15
  • Maximum privilege: 15


- Tương tự các bạn tạo ra 1 profile cho các user thường với privilege là 10.


- Chúng ta sẽ phần quyền cho Profiles của "USER_Profile" có privilege là 10.
Trên tab "Common tasks" các bạn cấu hình Privilege level cho group "USER" là privilege 10.
  • Default Privilege: 10
  • Maximum privilege: 10


2.3 Config command sets on Cisco ACS


Command Sets trên Cisco ACS 5.4 được sử dụng để tạo ra tập lệnh cho những user chứng thực thành công được sử dụng và tập lệnh nào họ không được sử dụng.
- Cấu hình command sets để phân quyền user được sử dụng những lệnh nào trên Router
- Để tạo conmmand sets các bạn vào
Policy Elements --> Authorization and Permiessions --> Device Administration --> Command Sets


- Đặt tên cho một command sets "ADMIN_COMMAND" cho group "ADMIN". Chúng ta sẽ cho phép group "ADMIN" được dùng tất cả các lệnh ngoài trừ lệnh "show run"




- Tương tự các bạn tạo "USER_COMMAND" chỉ được quyền sử dụng lệnh "show privilege"

2015-01-28_10-37-52.jpg

- Ở đây mình đã tạo ra 2 command sets và mình sẽ sử dụng nó để áp lên cho các group "ADMIN và USER" tương ứng
 
Last edited:

2.4 Config Access service on Cisco ACS


- Tạo Rule để áp đặt cho các user. Ở đây bạn có thể tạo rule trong default service của ACS cũng được. Nhưng mình sẽ hướng dẫn tạo mới.







- Tạo service rule để áp access service đã tạo ở trên


- Giao thức sử dụng tacacs và service là SVUIT mà bạn vừa mới tạo ra ở trên

- Bây giờ các traffic xác thực tacacs sẽ bị rule này áp đặt
- Tiếp theo là chọn xác thực trên "internet user" tức là xác thực với các user trên database của ACS

- Sau khi xác thực thành công thì sẽ đến bước phân quyền.
- Chúng ta chọn customize để chỉnh lại điều kiện được sử dụng trong các rule



- Tạo rule

- Rule-ADMIN dành cho group "ADMIN"

- Tương tự các bạn tạo rule-USER dành cho group "USER"

- xong, ở đây mình đã tạo thành công 2 rule
 
Last edited:

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu