Powered by Blogger.

XÁC THỰC BẰNG CISCO ACS

Hướng dẫn cơ bản việc xác thực người quản trị bằng TACAC+  hoặc RADIUS Cisco ACS


Để hoàn chỉnh cấu hình cho việc xác thực qua TACAC+ hoặc RADIUS bằng Cisco ACS các bạn phải hoành thành ít nhất 04 mục cấu hình cơ bản sau: Network Resources; Users and Identity Store; Policy Elements và Access Policies.1. Network Resources: Trong phần này cho phép người quản trị khai báo:
 - Location: Vị trí phân chia của thiết bị, có thể phân chia theo sites; vị trí địa lý hoặc bất kỳ sự phân chia nào phù hợp với nhu cầu quản trị.
- Device Type: Chủng loại thiết bị: Cisco; Juniper; Firewall...
- Network devices and AAA Client: Đây là phần khai báo thiết bị muốn quản trị, một thiết bị sẽ thuộc một loại thiết bị và một vị trí địa lý. Trong phần này cũng có chi tiết cho việc thiết bị làm việc với ACS thông qua giao thức nào TACAC+ hay RADIUS, phần lớn Appliance không hỗ trợ TACAC+ chỉ hỗ trợ RADIUS.
2. Users and Identity Stores
Phần này dùng để xác thực người quản trị, có thể chọn nguồn user xác thực từ Local hoặc từ bên ngoài, các nguồn xác thực từ bên ngoài được hỗ trợ như AD hoặc openldap, tuy nhiên ACS chỉ hỗ trợ một kiểu uses xác thực tại một thời điểm, vì thế người quản trị cần phải xác định rõ ràng sẽ dùng nguồn user nào để xác thực.
3. Policy Elements

Trong phần Device Administration, có 2 mục nhỏ cần chú ý Shell Profiles và Command Sets:
- Shell profiles: Qui định cụ thể cho từng đối tượng người dùng , tuỳ vào đối tường được cấp level khác nhau khi truy cập.
- Command Sets: Qui định những command mà user được phép sử dụng theo Shell Profile được cấp. 

4. Access Policies
- Services selection rules: Khai báo tương ứng qui định những rules nào sử dụng kiểu xác thực gì, tài nguyên quản trị. Trong phần minh hoạ có 02 rules:
+ Rule1: Dùng để quản trị thiết bị sử dụng Radius và tại nguyên được quản trị là  Default Network Access.
+ Rules2: Dùng để quản trị thiết bị sử dụng Tacac+ và tại nguyên được quản trị là Default Devices Admin.

QUẢN TRỊ TRUY CẬP
Default Network AccessDefault Devices Admin sẽ là 02 phần quan trọng nhất của việc xác thực người dùng, tập hợp tất cả các tài nguyên đã được khai báo ở những phần trên thông qua những tài nguyên này phân quyền cho từng đối tượng:
- Identity: Nguồn user dùng để quản lý tuy cập, được tham chiếu đến phần số 2 Users and Identity Stores.
- Authorization: Đây là tập hợp những thông tin user cần cấp quyền; được quyền truy cập thiết bị nào; thuộc vị trí địa lý nào; được permit theo shell profiles và command sets nào.

Kết luận
Như vậy phần cấu hình cơ bản cho ACS đã hoàn tất, phần còn lại là khai báo trên thiết bị cần quản lý tập trung, tuỳ từng thiết bị, chủng loại thiết bị, nhà cung cấp cụ thể sẽ có những khai báo tương ứng để có thể giao tiếp được với ACS. Tham khảo thêm document của nhà cung cấp để có khai báo chính xác.

Good luck!

    Blogger Comment
    Facebook Comment