root
Specialist
Config Cisco ACS Shell Command Authorization on Switch - Phần 2
- Series các bài lab "Config Cisco ACS shell command authorization on Switch"
- Phần 1: Cấu hình Authentication and authorization trên Switch. Cấu hình TACACS+ giữa Switch và Cisco ACS 5.4
[lab 6.1] Config Cisco ACS Shell Command Authorization on Switch - Phần 2: Cấu hình Shell Profiles, command sets, Access service và authorization trên Cisco ACS 5.4
[lab 6.2] Config Cisco ACS Shell Command Authorization on Switch - Phần 3: Test thử tính năng Authentication và Authorization. Sử dụng Monitor trên Cisco ACS để monitoring authentication and authorization trên Switch
[lab 6.3] Config Cisco ACS Shell Command Authorization on Switch
1.2 Config Shell Profiles on Cisco ACS
- Trước tiên chúng ta cần tạo ra các Shell Profiles để cấu hình phần quyền cho từng group user thuộc các Shell profiles.
Chúng ta sẽ cấp quyền cho các Shell Profiles tương ứng với các privilege level.
Để tạo Shell Profiles trên Cisco ACS 5.4 các bạn vào
Policy Elements --> Authorization and Permissions --> Device Administrations --> Shell Profiles
- Chúng ta sẽ tạo 1 profiles cho group "ADMIN"
- Chúng ta sẽ phần quyền cho Profiles "ADMIN_Profile" là privilege là 15.
Trên tab "Common tasks" các bạn cấu hình Privilege level cho group "ADMIN" là privilege 15.
- Default Privilege: 15
- Maximum privilege: 15
- Tương tự các bạn tạo ra 1 profile cho các user thường với privilege là 10.
- Chúng ta sẽ phần quyền cho Profiles của "USER_Profile" có privilege là 10.
Trên tab "Common tasks" các bạn cấu hình Privilege level cho group "USER" là privilege 10.
- Default Privilege: 10
- Maximum privilege: 10
2.3 Config command sets on Cisco ACS
Command Sets trên Cisco ACS 5.4 được sử dụng để tạo ra tập lệnh cho những user chứng thực thành công được sử dụng và tập lệnh nào họ không được sử dụng.
- Cấu hình command sets để phân quyền user được sử dụng những lệnh nào trên Router
- Để tạo conmmand sets các bạn vào
Policy Elements --> Authorization and Permiessions --> Device Administration --> Command Sets
- Đặt tên cho một command sets "ADMIN_COMMAND" cho group "ADMIN". Chúng ta sẽ cho phép group "ADMIN" được dùng tất cả các lệnh ngoài trừ lệnh "show run"
- Tương tự các bạn tạo "USER_COMMAND" chỉ được quyền sử dụng lệnh "show privilege"

- Ở đây mình đã tạo ra 2 command sets và mình sẽ sử dụng nó để áp lên cho các group "ADMIN và USER" tương ứng
Sửa lần cuối:
Bài viết liên quan
Bài viết mới