1. Настройки на Cisco ACS 5.8
- Добавить CheckPoint в Network Devices and AAA Clients, используем протокол TACACS+
- Подключить ACS к домену. В моем примере на CheckPoint могут зайти только пользователи из определенной группы.
- Создать Shell Profile для CheckPoint, т.к. мы используем протокол TACACS+
- Далее необходимо настроить Access Policy. Для TACACS добавляем Group Mapping
- Настроить Identity. В данном случае условие такое, что при подключении к устройствам типа Firewall, то смотреть учетные данные в AD.
- Настроить Group Mapping. Мы мапим админскую группу из AD к Identity Group в ACS
- Настроить правило авторизации
На этом настройки ACS закончены.
2. Настройки CheckPoint R77.10 Gaia.
Для информации: На CheckPoint'ах установлен гостовый патч версии 5.0. (требуется для построения VPN, не для TACACS+)
- Необходимо добавить TACACS сервер
- Настроить роли. Создаем две роли TACP-0 и TACP-15. По умолчанию все пользователи проваливаются в роль TACP-0. Затем мы повышаем свой уровень до TACP-15.
Проверяем:
- Вошли под своей доменной учетной записью и нажимаем TACACS+ enable
- Вводим тот же самый пароль и попадаем на уровень 15.
Примечание:
- В данном сценарии каждый пользователь из группы может попасть на уровень 15 с полным доступом. Для того, чтобы дать права read-only для какой-то группы или юзера необходимо на ACS для этой группы или юзера создать свой Shell Porfile с уровнем 1 и создаем свои правила в Access Policy.
Для того, чтобы дать пользователю лимитированные права, то создаем свой Shell Profile на ACS с уровнем например 7 и так же создаем свои правила в Access Policy. На CheckPoint создаем роль TACP-7 и там указываем какие права у него будут.
Из проблем заметил, что пароль со * не работает при повышении уровня через TACACS enable в GUI. В CLI проблем нет.
- Создать Shell Profile для CheckPoint, т.к. мы используем протокол TACACS+
- Далее необходимо настроить Access Policy. Для TACACS добавляем Group Mapping
- Настроить Identity. В данном случае условие такое, что при подключении к устройствам типа Firewall, то смотреть учетные данные в AD.
- Настроить Group Mapping. Мы мапим админскую группу из AD к Identity Group в ACS
- Настроить правило авторизации
На этом настройки ACS закончены.
2. Настройки CheckPoint R77.10 Gaia.
Для информации: На CheckPoint'ах установлен гостовый патч версии 5.0. (требуется для построения VPN, не для TACACS+)
- Необходимо добавить TACACS сервер
- Настроить роли. Создаем две роли TACP-0 и TACP-15. По умолчанию все пользователи проваливаются в роль TACP-0. Затем мы повышаем свой уровень до TACP-15.
Проверяем:
- Вошли под своей доменной учетной записью и нажимаем TACACS+ enable
- Вводим тот же самый пароль и попадаем на уровень 15.
Примечание:
- В данном сценарии каждый пользователь из группы может попасть на уровень 15 с полным доступом. Для того, чтобы дать права read-only для какой-то группы или юзера необходимо на ACS для этой группы или юзера создать свой Shell Porfile с уровнем 1 и создаем свои правила в Access Policy.
Для того, чтобы дать пользователю лимитированные права, то создаем свой Shell Profile на ACS с уровнем например 7 и так же создаем свои правила в Access Policy. На CheckPoint создаем роль TACP-7 и там указываем какие права у него будут.
Из проблем заметил, что пароль со * не работает при повышении уровня через TACACS enable в GUI. В CLI проблем нет.
Комментариев нет:
Отправить комментарий