Jump to content

ACS 3.0 Access Einschränkung


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute !

 

Kennt sich einer von euch mit dem ACS 3.0 von Cisco gut aus.

 

Ich regle über die 2.6 Version und ein NAS (Cisco 5300) die Einwahl in meiner Firma. Das funzt auch soweit einwandfrei !

 

Ich will jetzt den Zugriff für Fremdfirmen auch da drauf legen, will

sie aber vom Access her einschränken also ACL's.

 

Meine Frage ist: wie funzt das mit den AV-Pairs ich muss

die ACL's auf dem Router machen das ist klar. Aber irgendwie

bekomme ich sobald die ACL mit einbezogen sind im ACS gar keinen Zugriff. Die Access Liste müsste eigentlich stimmen

 

z.B.access list 105 permit tcp 192.168.17.0 0.0.0.255 any eq ftp

access list 105 permit tcp 192.168.17.0 0.0.0.255 any eq www

.

.

access list 105 deny ip any any

 

Danach beziehe ich das ganze unter den IP Einstellungen im ACS ein.

 

Bin für jeden Tip dankbar ! :confused::cry:

Link zu diesem Kommentar

Hi Zion,

 

sorry, dass ich nicht früher antworten konnte.

Ich hab zwar schon mal mit dem ACS "rumgespielt", aber so aus dem Stegreif kann ich Dir bei Deinem Problem leider auch nicht weiterhelfen.

 

Ich schau morgen mal in meinen Unterlagen nach, kann Dir aber leider aus der Arbeit nicht antworten....also bitte Geduld ;)

Ich tu mein Bestes :rolleyes:

 

CYa HenryNo1

Link zu diesem Kommentar

Und noch en Debug

 

AUTHOR/START queued

3w2d: TAC+: 10.128.132.47 (2815543761) AUTHOR/START queued

3w2d: TAC+: 10.128.132.47 ESTAB id=2815543761 wrote 75 of 75 bytes

3w2d: TAC+: 10.128.132.47 req=6147E66C Qd id=2815543761 ver=192 handle=0x613FAFD4 (ESTAB) expire=9 AUTHOR/START sent

3w2d: TAC+: 10.128.132.47 ESTAB read=12 wanted=12 alloc=12 got=12

3w2d: TAC+: 10.128.132.47 ESTAB read=149 wanted=149 alloc=149 got=137

3w2d: TAC+: 10.128.132.47 received 149 byte reply for 6147E66C

3w2d: TAC+: req=6147E66C Tx id=2815543761 ver=192 handle=0x613FAFD4 (ESTAB) expire=9 AUTHOR/START processed

3w2d: TAC+: (2815543761) AUTHOR/START processed

3w2d: TAC+: periodic timer stopped (queue empty)

3w2d: TAC+: (2815543761): received author response status = PASS_ADD

3w2d: TAC+: Closing TCP/IP 0x613FAFD4 connection to 10.128.132.47/49

3w2d: TAC+: Received Attribute "inacl#1=permit icmp 10.128.0.0 0.0.255.255 10.128.0.0 0.0.255.255"

3w2d: TAC+: Received Attribute "inacl#2=permit tcp 10.128.0.0 0.0.255.255 10.128.0.0 0.0.255.255"

3w2d: Se0:14 AAA/AUTHOR/IPCP (263633215): found list "default"

3w2d: AAA/AUTHOR/TAC+: (263633215): user=test

3w2d: AAA/AUTHOR/TAC+: (263633215): send AV service=ppp

3w2d: AAA/AUTHOR/TAC+: (263633215): send AV protocol=ip

3w2d: AAA/AUTHOR/TAC+: (263633215): send AV addr*10.128.99.3

3w2d: TAC+: using previously set server 10.128.132.47 from group tacacs+

3w2d: TAC+: Opening TCP/IP to 10.128.132.47/49 timeout=10

3w2d: TAC+: Opened TCP/IP handle 0x613FB470 to 10.128.132.47/49

3w2d: TAC+: Opened 10.128.132.47 index=1

3w2d: TAC+: periodic timer started

3w2d: TAC+: 10.128.132.47 req=6147CF90 Qd id=263633215 ver=192 handle=0x613FB470 (ESTAB) expire=10 AUTHOR/START queued

3w2d: TAC+: 10.128.132.47 (263633215) AUTHOR/START queued

3w2d: TAC+: 10.128.132.47 ESTAB id=263633215 wrote 92 of 92 bytes

3w2d: TAC+: 10.128.132.47 req=6147CF90 Qd id=263633215 ver=192 handle=0x613FB470 (ESTAB) expire=9 AUTHOR/START sent

3w2d: TAC+: 10.128.132.47 ESTAB read=12 wanted=12 alloc=12 got=12

3w2d: TAC+: 10.128.132.47 ESTAB read=149 wanted=149 alloc=149 got=137

3w2d: TAC+: 10.128.132.47 received 149 byte reply for 6147CF90

3w2d: TAC+: req=6147CF90 Tx id=263633215 ver=192 handle=0x613FB470 (ESTAB) expire=9 AUTHOR/START processed

3w2d: TAC+: (263633215) AUTHOR/START processed

3w2d: TAC+: periodic timer stopped (queue empty)

3w2d: TAC+: (263633215): received author response status = PASS_ADD

3w2d: TAC+: Closing TCP/IP 0x613FB470 connection to 10.128.132.47/49

 

:suspect: // Hier sollten meine Access Listen ziehen die ich unter User Setup->PPP IP->Custom attributes konfiguriert habe

3w2d: TAC+: Received Attribute "inacl#1=permit icmp 10.128.0.0 0.0.255.255 10.128.0.0 0.0.255.255"

3w2d: TAC+: Received Attribute "inacl#2=permit tcp 10.128.0.0 0.0.255.255 10.128.0.0 0.0.255.255"

3w2d: AAA/ACCT/PROG: Updating Connect Progress for ds0 14 to 67

3w2d: AAA/ACCT/PROG: Updating Connect Progress for ds0 14 to 60

 

:cry: // Und hier hat er dann ein Problem die ACLs auf das User Profile zu ziehen

3w2d: %PERUSER-3-ISDNINTF: Se0:14 define-ip-nacl: Can not apply configuration to ISDN channel:

"inacl#1=permit icmp 10.128.0.0 0.0.255.255 10.128.0.0 0.0.255.255"

:confused: // Das mit der Route da peil ich auch nicht ganz

3w2d: Se0:15 IPCP: Install route to 10.128.99.3

3w2d: Se0:15 IPCP: Remove route to 10.128.99.3

 

3w2d: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0:14, changed state to up

3w2d: %ISDN-6-CONNECT: Interface Serial0:14 is now connected to XXXXXXXXX test

ACS30#

 

 

Na denn irgendwann knack ich die Nuss schon noch !

Link zu diesem Kommentar
  • 2 Monate später...

Und hier nochmal nen kleinen Zwischenstand wir hatten gestern nen Oberguru von Cisco da von dem wir hofften mehr über ACS und AV-Pairs zu erfahren. Aber dessen Aussage war leider nur benutzt CISTRON .... bei ACS Accesseinschränkung meinte er es is wohl implementiert aber es hat wohl noch keiner so richtig eingerichtet und es gibt auch keine Beispiel Configs bei CISCO (selbst nicht mit CCO Account) :confused: Der fragt jetzt aber wohl nochmal direkt bei den Amis nach irgendjemand muss das Teil ja programmiert haben ! Wenn wir das hinkriegen sind wir glaub die ersten zumindest in Germany. :D

Link zu diesem Kommentar
  • 2 Monate später...

Hi @all

 

hab schon lang nichts mehr gepostet werd das jetzt mal nachholen. Das Sache mit der Accesseinschränkung beim Cisco ACS habe ich jetzt auch gelöst. Man muss dazu lediglich nur ein sogenanntes virtual template auf dem Router anlegen und schon haut das mit den AV-Pairs bei den Benutzer und auch auf die Gruppen bezogen hin :D

Falls dazu mal jemand genauere Infos braucht kann er mir jederzeit mailen.

So denn in diesem Sinne würd ich den Beitrag für geschlossen betrachten !

 

Gruss

Zion

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...