Jump to content

ACS 3.0 Access Einschränkung


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo Leute !

 

Kennt sich einer von euch mit dem ACS 3.0 von Cisco gut aus.

 

Ich regle über die 2.6 Version und ein NAS (Cisco 5300) die Einwahl in meiner Firma. Das funzt auch soweit einwandfrei !

 

Ich will jetzt den Zugriff für Fremdfirmen auch da drauf legen, will

sie aber vom Access her einschränken also ACL's.

 

Meine Frage ist: wie funzt das mit den AV-Pairs ich muss

die ACL's auf dem Router machen das ist klar. Aber irgendwie

bekomme ich sobald die ACL mit einbezogen sind im ACS gar keinen Zugriff. Die Access Liste müsste eigentlich stimmen

 

z.B.access list 105 permit tcp 192.168.17.0 0.0.0.255 any eq ftp

access list 105 permit tcp 192.168.17.0 0.0.0.255 any eq www

.

.

access list 105 deny ip any any

 

Danach beziehe ich das ganze unter den IP Einstellungen im ACS ein.

 

Bin für jeden Tip dankbar ! :confused::cry:

Link to comment

OK ich seh schon von euch hat auch keiner ne rechte Ahnung.

 

Ich bin jetzt grad dabei das über die PIX ACLs beim 3.0er zu versuchen.

Hab da aber das gleiche Problem das ich gar nicht reinkomme.

Irgendwo bleib ich da an den User/Group Einstellungen hängen, an den ACLs ich hab auch schon das deny weggelassen aber nada ! :cry:...... HILFE......

Link to comment

Hi Zion,

 

sorry, dass ich nicht früher antworten konnte.

Ich hab zwar schon mal mit dem ACS "rumgespielt", aber so aus dem Stegreif kann ich Dir bei Deinem Problem leider auch nicht weiterhelfen.

 

Ich schau morgen mal in meinen Unterlagen nach, kann Dir aber leider aus der Arbeit nicht antworten....also bitte Geduld ;)

Ich tu mein Bestes :rolleyes:

 

CYa HenryNo1

Link to comment

Und noch en Debug

 

AUTHOR/START queued

3w2d: TAC+: 10.128.132.47 (2815543761) AUTHOR/START queued

3w2d: TAC+: 10.128.132.47 ESTAB id=2815543761 wrote 75 of 75 bytes

3w2d: TAC+: 10.128.132.47 req=6147E66C Qd id=2815543761 ver=192 handle=0x613FAFD4 (ESTAB) expire=9 AUTHOR/START sent

3w2d: TAC+: 10.128.132.47 ESTAB read=12 wanted=12 alloc=12 got=12

3w2d: TAC+: 10.128.132.47 ESTAB read=149 wanted=149 alloc=149 got=137

3w2d: TAC+: 10.128.132.47 received 149 byte reply for 6147E66C

3w2d: TAC+: req=6147E66C Tx id=2815543761 ver=192 handle=0x613FAFD4 (ESTAB) expire=9 AUTHOR/START processed

3w2d: TAC+: (2815543761) AUTHOR/START processed

3w2d: TAC+: periodic timer stopped (queue empty)

3w2d: TAC+: (2815543761): received author response status = PASS_ADD

3w2d: TAC+: Closing TCP/IP 0x613FAFD4 connection to 10.128.132.47/49

3w2d: TAC+: Received Attribute "inacl#1=permit icmp 10.128.0.0 0.0.255.255 10.128.0.0 0.0.255.255"

3w2d: TAC+: Received Attribute "inacl#2=permit tcp 10.128.0.0 0.0.255.255 10.128.0.0 0.0.255.255"

3w2d: Se0:14 AAA/AUTHOR/IPCP (263633215): found list "default"

3w2d: AAA/AUTHOR/TAC+: (263633215): user=test

3w2d: AAA/AUTHOR/TAC+: (263633215): send AV service=ppp

3w2d: AAA/AUTHOR/TAC+: (263633215): send AV protocol=ip

3w2d: AAA/AUTHOR/TAC+: (263633215): send AV addr*10.128.99.3

3w2d: TAC+: using previously set server 10.128.132.47 from group tacacs+

3w2d: TAC+: Opening TCP/IP to 10.128.132.47/49 timeout=10

3w2d: TAC+: Opened TCP/IP handle 0x613FB470 to 10.128.132.47/49

3w2d: TAC+: Opened 10.128.132.47 index=1

3w2d: TAC+: periodic timer started

3w2d: TAC+: 10.128.132.47 req=6147CF90 Qd id=263633215 ver=192 handle=0x613FB470 (ESTAB) expire=10 AUTHOR/START queued

3w2d: TAC+: 10.128.132.47 (263633215) AUTHOR/START queued

3w2d: TAC+: 10.128.132.47 ESTAB id=263633215 wrote 92 of 92 bytes

3w2d: TAC+: 10.128.132.47 req=6147CF90 Qd id=263633215 ver=192 handle=0x613FB470 (ESTAB) expire=9 AUTHOR/START sent

3w2d: TAC+: 10.128.132.47 ESTAB read=12 wanted=12 alloc=12 got=12

3w2d: TAC+: 10.128.132.47 ESTAB read=149 wanted=149 alloc=149 got=137

3w2d: TAC+: 10.128.132.47 received 149 byte reply for 6147CF90

3w2d: TAC+: req=6147CF90 Tx id=263633215 ver=192 handle=0x613FB470 (ESTAB) expire=9 AUTHOR/START processed

3w2d: TAC+: (263633215) AUTHOR/START processed

3w2d: TAC+: periodic timer stopped (queue empty)

3w2d: TAC+: (263633215): received author response status = PASS_ADD

3w2d: TAC+: Closing TCP/IP 0x613FB470 connection to 10.128.132.47/49

 

:suspect: // Hier sollten meine Access Listen ziehen die ich unter User Setup->PPP IP->Custom attributes konfiguriert habe

3w2d: TAC+: Received Attribute "inacl#1=permit icmp 10.128.0.0 0.0.255.255 10.128.0.0 0.0.255.255"

3w2d: TAC+: Received Attribute "inacl#2=permit tcp 10.128.0.0 0.0.255.255 10.128.0.0 0.0.255.255"

3w2d: AAA/ACCT/PROG: Updating Connect Progress for ds0 14 to 67

3w2d: AAA/ACCT/PROG: Updating Connect Progress for ds0 14 to 60

 

:cry: // Und hier hat er dann ein Problem die ACLs auf das User Profile zu ziehen

3w2d: %PERUSER-3-ISDNINTF: Se0:14 define-ip-nacl: Can not apply configuration to ISDN channel:

"inacl#1=permit icmp 10.128.0.0 0.0.255.255 10.128.0.0 0.0.255.255"

:confused: // Das mit der Route da peil ich auch nicht ganz

3w2d: Se0:15 IPCP: Install route to 10.128.99.3

3w2d: Se0:15 IPCP: Remove route to 10.128.99.3

 

3w2d: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0:14, changed state to up

3w2d: %ISDN-6-CONNECT: Interface Serial0:14 is now connected to XXXXXXXXX test

ACS30#

 

 

Na denn irgendwann knack ich die Nuss schon noch !

Link to comment
  • 2 months later...

Und hier nochmal nen kleinen Zwischenstand wir hatten gestern nen Oberguru von Cisco da von dem wir hofften mehr über ACS und AV-Pairs zu erfahren. Aber dessen Aussage war leider nur benutzt CISTRON .... bei ACS Accesseinschränkung meinte er es is wohl implementiert aber es hat wohl noch keiner so richtig eingerichtet und es gibt auch keine Beispiel Configs bei CISCO (selbst nicht mit CCO Account) :confused: Der fragt jetzt aber wohl nochmal direkt bei den Amis nach irgendjemand muss das Teil ja programmiert haben ! Wenn wir das hinkriegen sind wir glaub die ersten zumindest in Germany. :D

Link to comment
  • 2 months later...

Hi @all

 

hab schon lang nichts mehr gepostet werd das jetzt mal nachholen. Das Sache mit der Accesseinschränkung beim Cisco ACS habe ich jetzt auch gelöst. Man muss dazu lediglich nur ein sogenanntes virtual template auf dem Router anlegen und schon haut das mit den AV-Pairs bei den Benutzer und auch auf die Gruppen bezogen hin :D

Falls dazu mal jemand genauere Infos braucht kann er mir jederzeit mailen.

So denn in diesem Sinne würd ich den Beitrag für geschlossen betrachten !

 

Gruss

Zion

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...