Configuración del Router Cisco para la Autenticación de Marcado con TACACS+

Opciones de descarga

  • PDF     (142.8 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (90.5 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (78.4 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:14 de mayo de 2009
ID del documento:13866

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo configurar un router Cisco para la autenticación de marcado con el TACACS+ que se ejecuta en UNIX. TACACS+ no ofrece tantas funciones como Cisco Secure ACS para Windows o Cisco Secure ACS para UNIX disponibles comercialmente.

El software TACACS+ proporcionado anteriormente por Cisco Systems se ha interrumpido y ya no es compatible con Cisco Systems.

Actualmente, puede encontrar muchas versiones disponibles de TACACS+ freeware cuando busca "TACACS+ freeware" en su motor de búsqueda favorito de Internet. Cisco no recomienda específicamente ninguna implementación de software libre TACACS+ en particular.

Cisco Secure Access Control Server (ACS) está disponible para su compra a través de los canales de distribución y ventas habituales de Cisco en todo el mundo. Cisco Secure ACS para Windows incluye todos los componentes necesarios para una instalación independiente en una estación de trabajo de Microsoft Windows. Cisco Secure ACS Solution Engine se envía con una licencia de software Cisco Secure ACS preinstalada. Consulte el Boletín de producto Cisco Secure ACS 4.0 para ver los números de producto. Visite la página de inicio de pedidos de Cisco (sólo clientes registrados) para realizar un pedido.

Nota: Necesita una cuenta de CCO con un Contrato de servicio asociado para obtener la versión de prueba de 90 días para Cisco Secure ACS para Windows (sólo clientes registrados).

La configuración del router en este documento se desarrolló en un router que ejecuta Cisco IOS® Software Release 11.3.3. Cisco IOS Software Releases 12.0.5.T y posteriores utilizan group tacacs+ en lugar de tacacs+. Declaraciones como aaa authentication login default tacacs+ enable aparecen como aaa authentication login default group tacacs+ enable.

Puede descargar TACACS+ freeware y la guía del usuario de anónimamente ftp a ftp-eng.cisco.com en el directorio /pub/tacacs.

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Configuraciones

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Use la Command Lookup Tool (sólo clientes registrados) para encontrar información adicional sobre los comandos utilizados en este documento.

En este documento, se utilizan estas configuraciones:

Configuración del router 
!
aaa new-model
aaa authentication login default tacacs+ enable
aaa authentication ppp default if-needed tacacs+
aaa authorization exec default tacacs+ if-authenticated
aaa authorization commands 1 default tacacs+ if-authenticated 
aaa authorization commands 15 default tacacs+ if-authenticated 
aaa authorization network default tacacs+ 
enable password ww
!
chat-script default "" at&fls0=1&h1&r2&c1&d2&b1e0q2 OK
!
interface Ethernet0
 ip address 10.6.1.200 255.255.255.0
! 

!--- Challenge Handshake Authentication Protocol !--- (CHAP/PPP) authentication user.

  interface Async1
  ip unnumbered Ethernet0
  encapsulation ppp
  async mode dedicated
  peer default ip address pool async
  no cdp enable
  ppp authentication chap
 !
 
!--- Password Authentication Protocol (PAP/PPP) authentication user.

  interface Async2
  ip unnumbered Ethernet0
  encapsulation ppp
  async mode dedicated
  peer default ip address pool async
  no cdp enable
  ppp authentication pap
 !
 
!--- Authentication user with autocommand PPP.

  interface Async3
  ip unnumbered Ethernet0
  encapsulation ppp
  async mode interactive
  peer default ip address pool async
  no cdp enable
 !
 ip local pool async 10.6.100.101 10.6.100.103
 tacacs-server host 171.68.118.101
 tacacs-server timeout 10
 tacacs-server key cisco
 !
 line 1
  session-timeout 20
  exec-timeout 120 0
  autoselect during-login
  script startup default
  script reset default
  modem Dialin
  transport input all
  stopbits 1
  rxspeed 115200
  txspeed 115200
  flowcontrol hardware
 !
 line 2
  session-timeout 20
  exec-timeout 120 0
  autoselect during-login
  script startup default
  script reset default
  modem Dialin
  transport input all
  stopbits 1
  rxspeed 115200
  txspeed 115200
  flowcontrol hardware
 !
 line 3
  session-timeout 20
  exec-timeout 120 0
  autoselect during-login
  autoselect ppp
  script startup default
  script reset default
  modem Dialin
  autocommand ppp
  transport input all
  stopbits 1
  rxspeed 115200
  txspeed 115200
  flowcontrol hardware
 !
 end

TACACS+ archivo de configuración en el servidor Freeware 

!--- Handshake with router !--- AS needs 'tacacs-server key cisco'.

key = "cisco"


!--- User who can Telnet in to configure.

user = admin {
        default service = permit
        login = cleartext "admin"
        }

 
!--- CHAP/PPP authentication line 1 - !--- password must be cleartext per CHAP specifications.

  user = chapuser {
         chap = cleartext "chapuser"
         service = ppp protocol = ip {
                 default attribute = permit
                 }
         }
 
 
!--- PPP/PAP authentication line 2.

  user = papuser {
         login = file /etc/passwd
         service = ppp protocol = ip {
                 default attribute = permit
                 }
         }

 
!--- Authentication user line 3.

  user = authauto {
         login = file /etc/passwd
         service = ppp protocol = ip {
                 default attribute = permit
                 }
         }

Configuración de Microsoft Windows

Configuración de Microsoft Windows para los usuarios 1 y 2

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Step-by-Step Instructions

Complete los siguientes pasos.

Nota: La configuración del PC puede variar ligeramente según la versión del sistema operativo que utilice.

  1. Seleccione Inicio > Programas > Accesorios > Dial-Up Networking para abrir la ventana Dial-Up Networking.

  2. Elija Make New Connection en el menú Connections, e ingrese un nombre para su conexión.

  3. Ingrese la información específica del módem y haga clic en Configurar.

  4. En la página Propiedades generales, seleccione la velocidad más alta del módem, pero no marque Sólo conectar a esta velocidad... para abrir el Navegador.

  5. En la página Configurar/Propiedades de conexión, utilice 8 bits de datos, sin paridad y 1 bit de parada. Las preferencias de llamada a utilizar son Esperar el tono de marcado antes de marcar y Cancelar la llamada si no está conectada después de 200 segundos.

  6. En la página Connection (Conexión), haga clic en Advanced. En Advanced Connection Settings, seleccione solamente Hardware Flow Control y Modulation Type Standard.

    En la página de propiedades Configurar/Opciones, no se debe activar nada, excepto la casilla de control de estado.

  7. Haga clic en Aceptar y después haga clic en Siguiente.

  8. Introduzca el número de teléfono del destino, haga clic en Siguiente de nuevo y, a continuación, haga clic en Finalizar.

  9. Una vez que aparezca el nuevo icono de conexión, haga clic con el botón derecho y elija Properties > Server Type.

  10. Elija PPP:WINDOWS 95, WINDOWS NT 3.5, Internet y no marque ninguna opción avanzada.

  11. Verifique TCP/IP en Allowed Network Protocols.

  12. Bajo TCP/IP Settings..., elija Server assigned IP address, Server assigned name server address, y Use default gateway on remote network y luego haga clic en OK.

  13. Cuando el usuario hace doble clic en el icono para que aparezca la ventana Conectar a para marcar, el usuario debe rellenar los campos Nombre de usuario y Contraseña y, a continuación, hacer clic en Conectar.

Configuración de Microsoft Windows para usuario 3

La configuración para el usuario 3 (usuario de autenticación con PPP de autocomando) es la misma que para los usuarios 1 y 2 con estas excepciones:

  • En la página de propiedades Configurar/Opciones (paso 6), marque Ventana de inicio después de marcar.

  • Cuando el usuario hace doble clic en el icono para abrir la ventana Conectar a para marcar (Paso 13), el usuario no rellena los campos Nombre de usuario y Contraseña. El usuario hace clic en Connect. Una vez realizada la conexión al router, el usuario escribe el nombre de usuario y la contraseña en la ventana negra que aparece. Después de la autenticación, el usuario presiona Continue (F7).

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshoot

Router

Consulte información importante en los comandos debug antes de ejecutar los comandos debug.

  • terminal monitor: muestra el resultado del comando debug y los mensajes de error del sistema para el terminal y la sesión actuales.

  • debug ppp negotiation: muestra los paquetes PPP enviados durante el inicio PPP, donde se negocian las opciones PPP.

  • debug ppp packet—Muestra los paquetes PPP que se envían y reciben. (Este comando muestra el vaciado de paquetes de bajo nivel).

  • debug ppp chap: muestra información sobre si un cliente pasa la autenticación (para las versiones de software del IOS de Cisco anteriores a 11.2) .

  • debug aaa authentication: muestra información sobre autenticación, autorización y contabilidad (AAA)/autenticación TACACS+.

  • debug aaa authorization—Muestra información sobre la autorización AAA/TACACS+.

Servidor

Nota: Esto supone el código del servidor TACACS+ Freeware de Cisco.

tac_plus_executable -C config.file -d 16
  tail -f /var/tmp/tac_plus.log

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
14-May-2009
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco