acs (access control server)

Upload: fabio-hernan

Post on 15-Oct-2015

3 views

Category:

Documents


0 download

TRANSCRIPT

Cisco: acceso basado en funciones

Acceso basado en funciones es una tecnologa que permite crear perfiles de acceso a los dispositivos de cisco. Puede ser muy til en entornos donde varios administradores de red administran los mismos dispositivos, pero con distintos privilegios.

El proceso de creacin de una plantilla (view) empieza habilitando (Authorization, Authentication, Accounting):Router(config)#aaa new-model
Ahora habilitamos root view el unico modo que permite crear plantillas de acceso:

Router#enable view
Al ejecutar este comando el sistema nos pedir la contrasea enable (puesta con el comando enable secret [password]).

Ahora podemos crear la nueva plantilla. Por ejemplo, vamos a crear dos plantillas de acceso: ST_ONLY y SP_ONLY. La primera permitir al administrador ejecutar los comandos que empiezan por show y telnet. La segunda permitir ejecutar los comandos que empiezan por show y ping. Despus vamos a establecer una contrasea a cada View (ojo! la contrasea no para el usuario, pero para el View). Router(config)#parser view ST_ONLY*Oct 17 20:58:12.943: %PARSER-6-VIEW_CREATED: view 'ST_ONLY' successfully created.Router(config-view)#secret pass2stRouter(config-view)#commands exec include all showRouter(config-view)#commands exec include all telnetRouter(config)#parser view SP_ONLY*Oct 17 21:00:12.771: %PARSER-6-VIEW_CREATED: view 'SP_ONLY' successfully created.Router(config-view)#secret pass2spRouter(config-view)#commands exec include showRouter(config-view)#commands exec include ping
En el caso de necesidad podemos crear tal llamado Super View, la plantilla que une los dos Views creados en el paso anterior.Router(config)#parser view SUP_VIEW superviewRouter(config-view)#secret pass2sviewRouter(config-view)#view ST_ONLYRouter(config-view)#view SP_ONLY
Ahora podemos crear los usuarios y asignar a cada uno su propia plantilla de acceso:Router(config)#username st_admin view ST_ONLY secret cisco1Router(config)#username sp_admin view SP_ONLY secret cisco2Router(config)#username sview_admin view SUP_VIEW secret cisco3

Un ejemplo completo de sein de configuracinRouter>enableRouter#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#aaa new-modelRouter(config)#enable secret supersecretciscopasswordRouter(config)#exit*Oct 17 21:13:37.511: %SYS-5-CONFIG_I: Configured from console by consoleRouter#enable viewPassword:Router#*Oct 17 21:13:56.035: %PARSER-6-VIEW_SWITCH: successfully set to view 'root'.Router#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#parser view ST_ONLY*Oct 17 21:14:41.699: %PARSER-6-VIEW_CREATED: view 'ST_ONLY' successfully created.Router(config-view)#secret pass2stRouter(config-view)#commands exec include all showRouter(config-view)#commands exec include all telnetRouter(config-view)#exitRouter(config)#Router(config)#parser view SP_ONLY*Oct 17 21:15:32.279: %PARSER-6-VIEW_CREATED: view 'SP_ONLY' successfully created.Router(config-view)#secret pass2spRouter(config-view)#commands exec include all showRouter(config-view)#commands exec include all pingRouter(config-view)#exitRouter(config)#Router(config)#parser view SUP_VIEW superview*Oct 17 21:16:31.783: %PARSER-6-SUPER_VIEW_CREATED: super view 'SUP_VIEW' successfully created.Router(config-view)#secret pass2sviewRouter(config-view)#view ST_ONLY*Oct 17 21:17:39.451: %PARSER-6-SUPER_VIEW_EDIT_ADD: view ST_ONLY added to superview SUP_VIEW.Router(config-view)#view SP_ONLY*Oct 17 21:17:44.083: %PARSER-6-SUPER_VIEW_EDIT_ADD: view SP_ONLY added to superview SUP_VIEW.Router(config-view)#exitRouter(config)#username st_admin view ST_ONLY secret cisco1Router(config)#username sp_admin view SP_ONLY secret cisco2Router(config)#username sview_admin view SUP_VIEW secret cisco3Router(config)#aaa authentication login default localRouter(config)#aaa authorization exec default localRouter(config)#aaa authorization consoleRouter(config)#exitRouter#wrBuilding configuration*Oct 17 21:23:19.771: %SYS-5-CONFIG_I: Configured from console by console[OK]Router#
Ahora al entrar en el sistema, los usuarios st_admin, sp_admin sview_admin disponen de un numero de comandos muy limitado.

Por ejemplo, la sesin del usuario st_admin seria parecida a esto:Username: st_adminPassword:Router>?Exec commands:enable Turn on privileged commandsexit Exit from the EXECshow Show running system informationtelnet Open a telnet connection