Autorizare comenzi pe echipament folosind TACACS+

Pasul 1. Configurare ISE

Accesăm serverul de ISE la adresa: https://172.20.16.100, apoi selectăm opțiunea WLC_Admin din meniul Work Centers => Device Administration => Policy Elements => Results => TACACS Profiles => WLC_Admin.

Obiectivul este să limităm accesul pentru utilizatorul wlc-admin la o serie de comenzi cu toate ca el este autorizat inițial cu nivelul maxim adică Level 15, așa cum se poate vedea în print screen-ul de mai jos:

Accesăm meniul: Work Centers => Device Administration => Policy Elements => Results => TACACS Command Sets => PermiteOrice

Ne asigurăm ca este bifată opțiunea "Permit any command that is not listed below", apoi în tabelul de mai jos introducem comenzile pe care vrem să le blocăm. În cazul nostru vom bloca accesul la comanda "show running-config". Apasăm butonul +Add (pct. 1), în prima coloana Grant alegem Deny pentru a opri accesul apoi comanda și argumentul (pct. 2).

Altfel spus altfel vom permite toate comenzile mai puțin comanda "show running-config". La final trebuie să nu uităm să apăsăm bifa din capătul liniei și butonul Save pentru salvarea setărilor făcute.

Pasul 2. Configurare controler WiFi 9800

În acest pas vom configura controlerul WiFi 9800 pentru a solicita autorizarea către ISE pentru comenzile primite.

În CLI vom introduce următoarele comenzi:

WLC9800-demo(config)#aaa authorization config-commands

WLC9800-demo(config)# aaa authorization commands 15 Autorizare group TacacsRares

WLC9800-demo(config)#aaa accounting commands 15 Autorizare start-stop group TacacsRares

 

WLC9800-demo(config)#line vty 0 15

WLC9800-demo(config-line)#authorization commands 15 Autorizare

 

Configul pe WLC arată ca în imaginea de mai jos pentru AAA și pentru liniile virtuale:

 

WLC9800-demo#show run | s aaa

aaa new-model

aaa group server radius RADIUS-GROUP

 server name ISE-demo

 deadtime 5

aaa group server tacacs+ TacacsRares

 server name ISE-Tacacs

aaa authentication login default local

aaa authentication login Autentificare local group TacacsRares

aaa authorization config-commands

aaa authorization exec default local

aaa authorization exec Autorizare local group TacacsRares

aaa authorization commands 15 Autorizare group TacacsRares

aaa accounting commands 15 Autorizare start-stop group TacacsRares

aaa accounting network RaresAccounting start-stop group RADIUS-GROUP

aaa server radius dynamic-author

 client 172.20.16.100 server-key Cisco123

aaa session-id common

ip http authentication aaa login-authentication Autentificare

ip http authentication aaa exec-authorization Autorizare

snmp-server enable traps aaa_server

wireless aaa policy default-aaa-policy

 

WLC9800-demo#show run | s vty

line vty 0 4

 authorization commands 15 Autorizare

 authorization exec Autorizare

 login authentication Autentificare

 length 0

 transport input ssh

line vty 5 15

 authorization commands 15 Autorizare

 authorization exec Autorizare

 login authentication Autentificare

 transport input ssh

Pasul 3. Testare

Pentru început ne conectăm la controler folosind utilzatorul: wlc-admin și încercăm cumanda „show run” (1). Vom vedea că nu avem autorizare pentru ea și nu va fi rulată. În schimb dacă rulăm altă comandă ca de exemplu „show start” (2) rezultatul ei va fi afișat pentru că suntem autorizați sa o dăm.

Verificăm în ISE logurile de TACACS în meniul: Operations => TACACS =>Live Logs

Ne oprim atenția pe ultimele două intrări, marcate cu roșu. Pentru a detalia apăsăm pe coloana Details.

Motivul pentru care comanda “show run” nu a funcționat este că nu a primit autorizarea (vezi detaliile marcate mai jos în poză).

Cercetăm autorizarea de sus și constatăm faptul că pentru același user (wlc-admin) comanda show start este autorizată și rulată.