实验环境,拓扑图见这个认证实验http://3824597.blog.51cto.com/3814597/1172212

授权一般是在认证配置好了的前提下在配置的!

ACS上的客服端 服务器配置见认证实验文章!

 

接下来点击“group  setup”,将“group  1”重命名为“normal”,将“group  2”重命名 为“super”。

然后点击“user setup”添加用户 user1 和 user2,其中 user1 属于“normal”组,user2 属于“super”组。

再然后在路由器上配置授权

Router(config)#  aaa  authorization  exec  default  group  tacacs+  local

Router(config)#  aaa  authorization  commands  1  default  group  tacacs+  none

!对等级 1 的命令进行授权

Router(config)#  aaa  authorization  commands  15  default  group  tacacs+  none

!对等级 15 的命令进行授权

接着在 Cisco  Secure  ACS 的“group  setup”中按照要求设置组的权限。 点击“group  setup”,选择“normal”组,点击“Edit  Settings”

 

GNS3+VMware做AAA授权,审计实验_第1张图片

如上图所示,在  TACACS  +选项组中选择“shell(exec)”,并且将“privilege  Level”设 置为 15。

 

GNS3+VMware做AAA授权,审计实验_第2张图片

如上图所示,在“Shell  Command  Authorization  Set”中设置该组所能执行的命令以及参 数,最后点击“Submit  +  Restart”。

“super ”组 的权限设置 和“normal ”组基本类 似,唯独不 同的就是“ Shell  Command 

Authorization  Set”部分,下图显示了 normal 组的“Shell  Command  Authorization  Set”设置

 

GNS3+VMware做AAA授权,审计实验_第3张图片

OK,一切准备OK,该测试了!

当user1登录时

R1#show interface

FastEhernet0/0 is up, line protocol is up 

R1#show ip route

 192.168.17.0/24 is directly connected, FastEthe

 192.168.16.0/24 is directly connected, FastEthe

R1#show run

command authorization failed

可以看到在group中没有允许的命令就不能用!

然后用user2测试,所有命令都能用,这里俺就不贴图了

 

然后就是审计实验

Router(config)#  aaa  accounting  exec  default  start-stop  group  tacacs+

//对用户的登陆进行审计

Router(config)#  aaa  accounting  commands  1  default  start-stop  group  tacacs+ Router(config)#  aaa  accounting  commands  15  default  start-stop  group  tacacs+

//对用户所使用的命令进行审计

完成设置后,在 ACS 的管理页面上点击“Report  and  activity”,可以看到以下界面:

 

GNS3+VMware做AAA授权,审计实验_第4张图片

其中“TACACS  +  Accounting”中记录了用户登陆的记录,“TACACS  +  Administration”中 记录了用户曾经使用的命令记录,如下图所示:

 

GNS3+VMware做AAA授权,审计实验_第5张图片

 

OK实验完毕

GNS3+VMware做AAA授权,审计实验_第6张图片