aaa 认证实例
2009-01-03 17:03:31| 分类: |举报 |字号
aaa new-model
aaa authentication login default group tacacs+ localaaa authentication enable default group tacacs+ enableaaa authorization config-commandsaaa authorization commands 15 default group tacacs+ localaaa accounting exec default start-stop group tacacs+aaa accounting commands 0 default start-stop group tacacs+aaa accounting commands 15 default start-stop group tacacs+enable secret 5有缘人 解释一下每条的意思,小弟初学者请教!
aaa new-model 启用aaa服务
aaa authentication login default group tacacs+ local 定义登陆会话认证,认证名为默认,先采用tacacs服务认证,如果没有就用本地认证aaa authentication enable default group tacacs+ enable 定义登陆特权认证,认证名为默认,先采用tacacs服务认证,如果没有就用本地特权密码设置aaa authorization config-commands 设置授权配置命令aaa authorization commands 15 default group tacacs+ local定义授权,授权权限为级别15,授权名为默认,先采用tacacs服务授权,如果没有就用本地设置的授权aaa accounting exec default start-stop group tacacs+ 定义审记,审记名为默认,对会话的开始和结束做审记,采用tacacs服务做审记aaa accounting commands 0 default start-stop group tacacs+定义审记,对权限为0使用的命令做审记,审记名为默认,采用tacacs服务审记aaa accounting commands 15 default start-stop group tacacs+enable secret 5不足之处,指点指点,共同学习。
六.Cisco AAA通常,访问控制系统由两部分组成:Cisco Secure ACS(AAA Server)和网络访问服务器(AAAClient)。Cisco 设备使用AAA 服务来与Cisco Secure ACS 协同工作以构成一个完整的访问控制系统。AAA的定义如下:Authentication(认证):对用户的身份进行验证,决定是否允许该用户访问网络。Authorization(授权):给不同的用户分配不同的权限,限制每个用户可使用的网络服务。Accounting(统计):对用户的行为进行审计和计费。AAA 服务支持的安全协议有:TACACS+、RADIUS、Kerberos,我们可以使用RADIUS 和TACACS+协议让Cisco 设备和Cisco Secure ACS 协同工作,下面是一个常见的网络拓扑:6.1 配置AAA 认证6.1.1 Cisco IOS AAA 认证基本配置在Cisco IOS 中配置AAA 认证的过程不算复杂,主要步骤如下:步骤1、全局开启AAA 服务。要使用AAA,就必须使用aaa new-model 全局配置命令启用AAA 服务。Router(config)# aaa new-model步骤2、配置ACS 服务器的地址和AAA client 密码,其命令格式如下:AAA Client 和AAA Server 之间使用TACACS+协议时:tacacs-server host IP_addresstacacs-server key keyAAA Client 和AAA Server 之间使用RADIUS 协议时:radius-server host IP_addressradius-server key key步骤3、定义认证的方法列表,常见的认证方法主要有:认证方法 解释与命令示例enable 使用enable 口令进行身份验证aaa authentication login name enablelocal 使用本地数据库进行身份验证aaa authentication login name local定义本地数据库的命令为:Username username password passwordTACACS+ 使用TATCACS+服务器进行身份验证aaa authentication login name group tacacs+RADIUS 使用RADIUS 服务器进行身份验证aaa authentication login name group radiusnone 不进行身份验证aaa authentication login name none一个方法列表中也可以包含多种身份验证方法,这样可以确保在第一种方法失效的时候,设备可以使用备用的身份验证系统,例如:aaa authentication login example group tacacs+ group radius『注意』在上面一个例子中,Cisco IOS 软件会先使用tacacs+服务器对用户身份进行验证,如果设备无法联系到所配置的tacacs+服务器,则开始尝试使用radius 服务器对用户身份进行验证。下面是一个在不同的VTY 线路上应用不同的身份验证方法列表的实例:第一步:启用AAA,配置本地数据库以及ACS 用户数据库:Router(config)#aaa new-modelRouter(config)#username user1 password user1Router(config)#username user2 password user2Router(config)#username user3 password user3第二步:配置TACACS+和Radius 服务器的地址和密码:Router(config)#tacacs-server host 192.168.10.199Router(config)#tacacs-server key ciscoRouter(config)#radius-server host 192.168.10.198Router(config)#radius-server key cisco第三步:配置登陆身份验证的方法列表:Router(config)#aaa authentication login default localRouter(config)#aaa authentication login ex1 group tacacs+Router(config)#aaa authentication login ex2 enableRouter(config)#aaa authentication login ex3 group tacacs+ noneRouter(config)#aaa authentication login ex4 group tacacs+ local第四步:在虚拟终端线路上应用列表:Router(config)#line vty 0Router(config-line)#login authentication ex1Router(config-line)#exitRouter(config)#line vty 1Router(config-line)#login authentication ex2Router(config-line)#exitRouter(config)#line vty 2Router(config-line)#login authentication ex3Router(config-line)#exitRouter(config)#line vty 3Router(config-line)#login authentication ex4Router(config-line)#exit在此列中,我们特别规定了0—3 号VTY 链路上的身份验证方法。其他没有特别规定线路将采用default 方法进行身份验证。6.2 配置AAA 授权6.2.1 使用AAA 在Cisco IOS 中对用户的等级进行授权在Cisco IOS 中配置AAA 授权主要步骤如下:步骤1、全局开启AAA 服务。由于“授权”一般是在“认证”之后实施的,因此在配置授权时aaa new-model 通常是打开的。步骤2、配置ACS 服务器的地址和AAA client 密码,此步骤和AAA 认证中的相应步骤类似。步骤3、定义授权方法列表。步骤4、在线路上加载授权方法列表,使其对某个线路上的授权产生作用。下面以在Cisco IOS 中配置EXEC 会话授权为例讲述AAA 授权的基本配置,首先需要介绍一下IOS 命令的权限级别,默认情况下,Cisco IOS 设备使用三种权限级别:等级0:包括5 个命令:disable、enable、exit、help、logout。等级1:用户模式,提示符为>,它是用户登陆后的默认级别。等级15:特权模式,提示符为#,它拥有最高的权限。当用户通过VTY 线路登陆到路由器时,默认可以执行等级0 和等级1 的所有命令;如果用户输入enable 命令并且输入了正确的密码(提示符由>改为#),则他的权限变为等级15。使用showprivilege 命令可以查看用户当前的权限级别。下面时一个使用AAA 配置EXEC 会话的全过程:第一步:启用AAA,配置本地数据库,为不同的用户设置不同的权限Router(config)#aaa new-modelRouter(config)#username user1 privilege 1 password user1Router(config)#username user2 privilege 7 password user2Router(config)#username user3 privilege 15 password user3第二步:配置EXEC 会话授权的方法Router(config)#aaa authorization exec cisco local第三步:在虚拟终端线路上应用授权Router(config)#line vty 0 4Router(config-line)#authorization exec cisco用户还可以对Cisco CLI 的命令权限级别进行修改,例如:clear line 命令的默认级别为15,但是我们可以使用privilege exec 命令将其权限修改为级别7。Router(config)# privilege exec level 7 clear line通过以上设置,如果用户使用user2 进行登陆的话,他就可以在不进入特权模式的情况下直接使用clear line 命令。6.2.2 使用AAA 在Cisco IOS 中对用户可使用的命令进行授权Cisco Secure ACS 支持IOS 命令的授权,它可以限制管理用户所能够使用的命令以及命令参数。下面,我们使用一个示例来说明如何配置IOS 命令的授权。如上图所示,管理员希望使用ACS 实现以下功能:普通管理员(等级15)只能使用“show ip route”、“show interface”命令查看设备的基本信息,并且无法进入配置模式对设备的配置进行修改;超级管理员(等级15)可以使用所有命令。第一步:在IOS 设备上启动AAA,并且配置AAA 认证(授权之前必须先通过认证)。Router(config)# aaa new-modelRouter(config)# username cisco password ciscoRouter(config)# tacacs-server host 10.1.1.2 key ciscoRouter(config)# aaa authentication login default group tacacs+ local第二步:在ACS 管理页面上点击“Network Configuration”,添加一个AAA client,地址为10.1.1.1,key 为cisco,协议使用TACACS +,最后点击“Submit + Restart”完成设置。第三步:点击“group setup”,将“group 1”重命名为“normal”,将“group 2”重命名为“super”。第四步:点击“user setup”添加用户test1 和test2,其中test1 属于“normal”组,test2属于“super”组。第五步:在IOS 设备上配置命令授权。Router(config)# aaa authorization exec default group tacacs+ localRouter(config)# aaa authorization commands 1 default group tacacs+ none!对等级1 的命令进行授权Router(config)# aaa authorization commands 15 default group tacacs+ none!对等级15 的命令进行授权第六步:在Cisco Secure ACS 的“group setup”中按照要求设置组的权限。点击“group setup”,选择“normal”组,点击“Edit Settings”。6.6.3 使用AAA 在Cisco IOS 中对管理员的行为进行审计本节将接着“使用AAA 在Cisco IOS 中对用户可使用的命令进行授权”一节继续讨论,因此关于认证和授权部分的配置,本节不再列出。如上图所示,假如我们想在ACS 服务器上记录管理员每次登陆的时间和所使用的命令,此时就必须在IOS 设备上配置AAA 审计,配置命令如下:Router(config)# aaa accounting exec default start-stop group tacacs+!对用户的登陆进行审计Router(config)# aaa accounting commands 1 default start-stop group tacacs+Router(config)# aaa accounting commands 15 default start-stop group tacacs+!对用户所使用的命令进行审计