Característica del consentimiento para el Routers del Cisco IOS

Transcripción

1 Característica del consentimiento para el Routers del Cisco IOS Descargue este capítulo Característica del consentimiento para el Routers del Cisco IOS Descargue el libro completo Guía de configuración de la Seguridad de Cisco IOS: Asegurando los servicios de usuario, versión 12.2SR (PDF - 6 MB) Feedback Contenidos Característica del consentimiento para el Routers del Cisco IOS Encontrar la información de la característica Contenido Requisitos previos para la característica del consentimiento para el Routers del Cisco IOS Información sobre la característica del consentimiento para el Routers del Cisco IOS Descripción del Proxy de autenticación Un Web page integrado del proxy de la Consentimiento-autenticación Cómo configurar el consentimiento del Proxy de autenticación Configurar una regla de la admisión IP para el consentimiento del Proxy de autenticación Consejos de Troubleshooting Definición de un mapa del parámetro para el consentimiento del Proxy de autenticación Ejemplos de configuración para el consentimiento del Proxy de autenticación Interfaz de ingreso ACL y configuración ACL de la interceptación: Ejemplo: Configuración de la política de la página del consentimiento: Ejemplo: Configuración de asignación del parámetro: Ejemplo: Configuración de la regla del consentimiento de la admisión IP: Ejemplo: Referencias adicionales Documentos Relacionados Estándares MIB RFC Asistencia Técnica Información de la característica para la característica del consentimiento para el Routers del Cisco IOS Característica del consentimiento para el Routers del Cisco IOS Primera publicación: De julio el 19 de 2007 Última actualización: De agosto el 12 de 2009 La característica del consentimiento para que organizaciones de los permisos del Routers del Cisco IOS proporcionen Internet y el acceso corporativo temporales a los usuarios finales con su haber atado con alambre y a las redes inalámbricas presentando un Web page del consentimiento. Este Web page enumera los términos y condición en los cuales la organización está dispuesta a conceder el acceso pedido a un usuario final. Los usuarios pueden conectar con la red solamente después que validan los términos del uso en el Web page del consentimiento. Encontrar la información de la característica Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea información de la característica para la característica del consentimiento para la sección del Routers del Cisco IOS. Utilice Cisco Feature Navigator para buscar información sobre el soporte de plataformas y el soporte de imágenes del software Cisco IOS y Catalyst OS. Para acceder el Cisco Feature Navigator, vaya a Una cuenta en el cisco.com no se requiere. Contenido Requisitos previos para la característica del consentimiento para el Routers del Cisco IOS Información sobre la característica del consentimiento para el Routers del Cisco IOS Cómo configurar el consentimiento del Proxy de autenticación Ejemplos de configuración para el consentimiento del Proxy de autenticación Referencias adicionales Información de la característica para la característica del consentimiento para el Routers del Cisco IOS

2 Requisitos previos para la característica del consentimiento para el Routers del Cisco IOS Para habilitar un Web page del consentimiento, usted debe funcionar con una imagen Enterprise avanzada. Información sobre la característica del consentimiento para el Routers del Cisco IOS Antes de habilitar la característica del consentimiento para el Routers del Cisco IOS, usted debe entender los conceptos siguientes: Descripción del Proxy de autenticación Un Web page integrado del proxy de la Consentimiento-autenticación Descripción del Proxy de autenticación El Proxy de autenticación es una característica de autenticación del ingreso que concede el acceso a un usuario final (hacia fuera una interfaz) solamente si el usuario somete el nombre de usuario válido y los credenciales de contraseña para un Tráfico de ingreso que sea destinado para el HTTP, Telnet, o los protocolos FTP. Después de que los credenciales de autenticación sometidos se hayan marcado contra las credenciales que se configuran en una autenticación, autorización, el servidor que considera (AAA), el acceso se concede al solicitante (dirección IP de origen). Cuando un usuario final fija un HTTP, un FTP, o una petición de Telnet en la interfaz de ingreso autenticación-proxy-habilitada de un router, el dispositivo de autenticación de la red (NAD) verifica independientemente de si el mismo host se haya autenticado ya. Si una sesión está ya presente, la petición del ingreso no se autentica otra vez, y se sujeta (Auténtico-proxy) a los ACE dinámicos y a la interfaz de ingreso ACE. Si una entrada no está presente, el Proxy de autenticación responde al pedido de conexión del ingreso indicando al usuario para un nombre de usuario válido y una contraseña. Cuando están autenticados, los perfiles del acceso a la red (siestas) que deben ser aplicados se descargan del servidor de AAA o se toman de los perfiles localmente configurados. Un Web page integrado del proxy de la Consentimiento-autenticación El Web page del proxy de la autenticación HTTP se ha ampliado para soportar los botones de radio valide y no valide para la característica del Web page del consentimiento. Los botones de radio del Web page del consentimiento son seguidos por los campos de la entrada del Proxy de autenticación para un nombre de usuario y una contraseña. (Véase el cuadro 1.) Los escenarios siguientes del consentimiento son posibles: Si se disminuye el consentimiento (es decir, no valide el botón de radio se selecciona), se inhabilitan los botones de radio del Proxy de autenticación. El acceso de la sesión de cliente del ingreso será gobernado por la interfaz de ingreso predeterminada ACL. Si se valida el consentimiento (es decir, valide el botón de radio se selecciona), se habilitan los botones de radio del Proxy de autenticación. Si se ingresan el nombre de usuario incorrecto y los credenciales de contraseña, la autenticación del HTTP-Auth-proxy fallará. El acceso de la sesión de cliente del ingreso será gobernado otra vez solamente por la interfaz de ingreso predeterminada ACL. Si se valida se selecciona el consentimiento (es decir, valida el botón de radio) y se ingresan el nombre de usuario válido y los credenciales de contraseña, la autenticación del HTTP-Auth-proxy es acertada. Así, una de las posibilidades siguientes puede ocurrir: Si la petición del acceso de la sesión de cliente del ingreso es HTTP_GET, el Web page del destino se abrirá y el acceso de la sesión de cliente del ingreso será gobernado por la interfaz de ingreso predeterminada ACL y (Auténticoproxy) los ACE dinámicos. Si la petición del acceso de la sesión de cliente del ingreso es HTTPS_GET, un cuadro de diálogo de la Seguridad será visualizado en el navegador de cliente. Si el usuario selecciona los YE en la ventana del cuadro de diálogo de la Seguridad, el Web page del destino se abrirá y el acceso de la sesión de cliente del ingreso será gobernado por la interfaz de ingreso predeterminada ACL y (Auténtico-proxy) los ACE dinámicos. Si el usuario selecciona NO en la ventana del cuadro de diálogo de la Seguridad, la página del destino no se abrirá y el usuario verá que el mensaje paginar no se puede visualizar. Sin embargo el acceso de la sesión de cliente del ingreso todavía será gobernado por la interfaz de ingreso predeterminada ACL y (Auténtico-proxy) los ACE dinámicos. Figura 1

3 Web page del consentimiento: Ejemplo: Observecuando proxy de la autenticación HTTP se configura así como la característica del consentimiento, cualesquiera configuraciones o directiva proxy-relacionadas de la autenticación HTTP reemplazarán las configuraciones o las directivas Página-relacionadas del consentimiento. Por ejemplo, si se configura el comando del consentimientoadmission-name del nombre de la admisión del IP, ip admission consent banner se ignora el comando, y solamente se muestra el banner que es configurado por el comando del auténtico-proxy-banner de la admisión del IP. Cómo configurar el consentimiento del Proxy de autenticación Utilice las tareas siguientes de configurar un Web page del consentimiento y de habilitar un Web page del consentimiento que deba ser visualizado a los usuarios finales: Configurar una regla de la admisión IP para el consentimiento del Proxy de autenticación Definición de un mapa del parámetro para el consentimiento del Proxy de autenticación Configurar una regla de la admisión IP para el consentimiento del Proxy de autenticación Utilice esta tarea de definir la regla de la admisión IP para el consentimiento del Proxy de autenticación y de asociar la regla a una interfaz. PASOS SUMARIOS 1. enable 2. configure terminal 3. ip admission name admission-name consent []absolute-timer minutesdel [{}]eventdel []inactivity-time minutesdel []list acl acl-namedel [[]parameter-map consent-parameter-map-name] 4. ip admission consent banner [file file-name text banner-text] 5. interface type number 6. ip admission admission-name PASOS DETALLADOS

4 1 Comando o acción Propósito enable Router> enable Habilita el modo EXEC privilegiado. Ingrese su contraseña si se le pide que lo haga configure terminal Router# configure terminal ip admission name admission-name consent [[absolute-timer minutes] [event] [ inactivity-time minutes] [list {acl acl-name}] [parameter-map consent-parameter-map-name]] Router(config)# ip admission name consent_rule consent absolute-timer 304 list 103 inactivity-time 204 parametermap consent_parameter_map ip admission consent banner [file filename text banner-text] Router(config)# ip admission consent banner file flash:consent_page.html interface type number Router(config)# interface FastEthernet 0/0 ip admission admission-name Router(config-if)# ip admission consent_rule Ingresa en el modo de configuración global. Define la regla de la admisión IP para el consentimiento del Proxy de autenticación. (Opcional) visualiza un banner en el Web page del consentimiento del Proxy de autenticación. Especifica la interfaz en la cual la regla de la admisión IP del consentimiento será aplicada y ingresa al modo de configuración de la interfaz. Aplica la regla de la admisión IP creada en el paso 3 a una interfaz. Consejos de Troubleshooting Para visualizar la información de la página del consentimiento del Proxy de autenticación en el router, usted puede utilizar debug ip admission consent el comando. Router# debug ip admission consent errors IP Admission Consent Errors debugging is on Router# debug ip admission consent events IP Admission Consent Events debugging is on Router# debug ip admission consent messages IP Admission Consent Messages debugging is on Router# Router# show debugging IP Admission Consent: IP Admission Consent Errors debugging is on IP Admission Consent Events debugging is on IP Admission Consent Messages debugging is on

5 Definición de un mapa del parámetro para el consentimiento del Proxy de autenticación Utilice esta tarea de definir una correspondencia del parámetro que deba ser utilizada para el consentimiento del Proxy de autenticación. PASOS SUMARIOS 1. enable 2. configure terminal 3. parameter-map type consent parameter-map-name 4. copy src-file-name dst-file-name 5. file file-name 6. authorize accept identity identity-policy-name 7. timeout file download minutes 8. logging enabled 9. salida 10. muestre el []del consentimiento del tipo del parámetro-mapaparameter-map-name PASOS DETALLADOS Comando o acción enable Router> enable configure terminal Router# configure terminal parameter-map type consent parameter-mapname Router(config)# parameter-map type consent consent_parameter_map copy src-file-name dst-file-name Router(config-profile)# copy tftp:// /consent_page.html flash:consent_page.html file file-name Router(config-profile)# file flash:consent_page.html authorize accept identity identity-policyname Router(config-profile)# authorize accept identity consent_identity_policy timeout file download minutes Router(config-profile)# timeout file download logging enabled Router(config-profile)# logging enabled Propósito Habilita el modo EXEC privilegiado. Ingrese su contraseña si se le pide que lo haga. Ingresa en el modo de configuración global. Define una correspondencia consentimiento-específica del parámetro del Proxy de autenticación y ingresa al modo de configuración del consentimiento del tipo del parámetro-mapa. Para utilizar un directiva-mapa predeterminado, ingrese default para el parámetromapa-nombre. Transfiere un archivo (Web page del consentimiento) de un servidor externo a un sistema de archivo local en su dispositivo. (Opcional) especifica un nombre de fichero local que deba ser utilizado como el Web page del consentimiento. (Opcional) configura una directiva del validar. Observeactualmente, sólo una directiva del validar puede ser configurada. (Opcional) especifica cuantas veces el archivo de paginación del consentimiento se debe descargar del servidor TFTP externo. Mensajes de Syslog (opcionales) de los permisos. Devoluciones a la

6 9 10 Router(config-profile )# Router(config)# show parameter-map type consent [parametermap-name] Router# show parameter-map type consent configuración global y a los modos EXEC privilegiados. (Opcional) visualiza todos o los perfiles configurados especificados de un consentimiento. Ejemplos de configuración para el consentimiento del Proxy de autenticación Esta sección contiene los ejemplos de configuración siguientes: Interfaz de ingreso ACL y configuración ACL de la interceptación: Ejemplo: Configuración de la política de la página del consentimiento: Ejemplo: Configuración de asignación del parámetro: Ejemplo: Configuración de la regla del consentimiento de la admisión IP: Ejemplo: Interfaz de ingreso ACL y configuración ACL de la interceptación: Ejemplo: Las demostraciones del siguiente ejemplo cómo definir la interfaz de ingreso ACL (vía ip access-list extended 102 el comando) a la cual la directiva de la página del consentimiento los ACE será añadida al final del fichero dinámicamente. Este ejemplo también muestra cómo definir una interceptación ACL (vía ip access-list extended 103 el comando) para interceptar el tráfico interesante del ingreso por la regla del consentimiento de la admisión IP. ip access-list extended 102 permit ip any permit ip any host permit udp any any eq bootps permit udp any any eq domain permit tcp any any eq www permit tcp any any eq 443 permit udp any any eq 443 ip access-list extended 103 permit ip any host permit udp any host eq domain permit tcp any host eq www permit udp any host eq 443 permit tcp any host eq 443 Configuración de la política de la página del consentimiento: Ejemplo: Las demostraciones del siguiente ejemplo cómo configurar la directiva ACL de la página del consentimiento y la directiva de la identidad de la página del consentimiento: ip access-list extended consent-pg-ip-acc-group permit ip any host permit ip any host

7 identity policy consent_identity_policy description ### Consent Page Identity Policy ### access-group consent-pg-ip-acc-group Configuración de asignación del parámetro: Ejemplo: Las demostraciones del siguiente ejemplo cómo definir la correspondencia consentimiento-específica consent_parameter_map y una correspondencia predeterminada del parámetro del parámetro del consentimiento: parameter-map type consent consent_parameter_map copy tftp:// /consent_page.html flash:consent_page.html authorize accept identity consent_identity_policy timeout file download file flash:consent_page.html logging enabled parameter-map type consent default copy tftp:// /consent_page.html flash:consent_page.html authorize accept identity test_identity_policy timeout file download file flash:consent_page.html logging enabled Configuración de la regla del consentimiento de la admisión IP: Ejemplo: Las demostraciones del siguiente ejemplo cómo configurar una regla del consentimiento de la admisión IP, que incluye la correspondencia del parámetro de la página del consentimiento como definido en la configuración de asignación del parámetro: Sección Ejemplo": ip admission name consent-rule consent inactivity-time 204 absolute-timer 304 param-map consent_parameter_map list 103 ip admission consent-banner file flash:consent_page.html ip admission consent-banner text ^C Consen-Page-Banner-Text ^C ip admission max-login-attempts 5 ip admission init-state-timer 15 ip admission auth-proxy-audit ip admission inactivity-timer 205 ip admission absolute-timer 305 ip admission ratelimit 100 ip http server

8 ip http secure-server interface FastEthernet 0/0 description ### CLIENT-N/W ### ip address ip access-group 102 in ip admission consent-rule no shut interface FastEthernet 0/1 description ### AAA-DHCP-AUDIT-SERVER-N/W ### ip address no shut line con 0 exec-timeout 0 0 login authentication noaaa line vty 0 15 exec-timeout 0 0 login authentication noaaa Referencias adicionales Las secciones siguientes proporcionan las referencias relacionadas con la característica del consentimiento para la característica del Routers del Cisco IOS. Documentos Relacionados Tema relacionado Tareas adicionales de la configuración de servidor alterno de autenticación Título del documento Vea configurando el módulo de función del Proxy de autenticación Estándares Estándar Título Ninguno MIB

9 MIB Link del MIB Ninguno Para localizar y descargar MIB de plataformas, versiones de Cisco IOS y conjuntos de funciones seleccionados, utilice Cisco MIB Locator, que se encuentra en la siguiente URL: RFC RFC Título Ninguno Asistencia Técnica Descripción El sitio Web de soporte técnico de Cisco proporciona los recursos en línea extensos, incluyendo la documentación y las herramientas para localizar averías y resolver los problemas técnicos con los Productos Cisco y las Tecnologías. Para recibir la Seguridad y la información técnica sobre sus Productos, usted puede inscribir a los diversos servicios, tales como la herramienta de alerta del producto (accedida de los Field Notice), el hoja informativa de los servicios técnicos de Cisco, y alimentaciones realmente simples de la sindicación (RSS). El acceso a la mayoría de las herramientas en el sitio Web de soporte técnico de Cisco requiere una identificación del usuario y una contraseña del cisco.com. Link Información de la característica para la característica del consentimiento para el Routers del Cisco IOS La Tabla 1 muestra el historial de versiones de esta función. Puede que no estén disponibles todos los comandos en su versión de software de Cisco IOS. Para la información de versión sobre un comando específico, vea la documentación de referencia de comandos. Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. Cisco Feature Navigator le permite determinar qué imágenes de Cisco IOS y Catalyst OS Software soportan una versión de software, un conjunto de funciones o una plataforma específica. Para acceder el Cisco Feature Navigator, vaya a Una cuenta en el cisco.com no se requiere. Observelas listas del cuadro 1 solamente la versión de Cisco IOS Software que introdujo el soporte para una característica dada en un tren de versión del Cisco IOS Software dado. A menos que se indique lo contrario, las versiones posteriores de dicha serie de versiones de software de Cisco IOS también soportan esa función. Nombre de la función Característica del consentimiento para el Routers del Cisco IOS Versiones Información sobre la Función 12.4(15)T La característica del consentimiento para que organizaciones de los permisos del Routers del Cisco IOS proporcionen Internet y el acceso corporativo temporales a los usuarios finales con su haber atado con alambre y a las redes inalámbricas presentando un Web page del consentimiento. Este Web page enumera los términos y condición en los cuales la organización está dispuesta a conceder el acceso pedido a un usuario final. Los usuarios pueden conectar con la red solamente después que validan los términos del uso en el Web page del consentimiento. En el Cisco IOS Release 12.4(15)T, esta característica fue introducida.

10 Se han insertado o modificado los siguientes comandos: authorize accept identity copy (consent-parameter-map) debug ip admission consent, file (consent-parameter-map) ip admission consent banner ip admission name logging enabled parameter-map type show ip admission, timeout file download Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R) Las direcciones IP (Internet Protocol) y los números de teléfono utilizados en este documento no son direcciones y números de teléfono reales. Cualesquiera ejemplos, muestra de la salida de comandos, diagramas de topología de red y otras figuras incluidos en el documento se muestran solamente con fines ilustrativos. El uso de direcciones IP o números de teléfono reales en contenido ilustrativo es involuntario y fortuito. Cisco Systems, Inc del Todos los derechos reservados Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 2 Agosto