中国XX银行河北省分行

 

 

 

 

 

ACS项目实施方案

 

 

TACACS+认证

 

 

 

 

 

目录

 

项目背景........................................................................ 3

资源配置........................................................................ 3

实验网络架构................................................................ 3

ACS管理方案................................................................ 3

权限规定........................................................................ 4

ACS组件........................................................................ 4

网络资源......................................................................... 4

设备属性......................................................................... 4

设备位置属性.................................................................. 5

设备型号属性.................................................................. 8

AAA客户端设置............................................................. 9

用户标识仓库................................................................ 12

用户组属性.................................................................... 12

用户属性......................................................................... 13

策略组件......................................................................... 15

设备过滤器..................................................................... 15

用户级别控制................................................................. 18

命令控制......................................................................... 20

许可策略......................................................................... 23

条件选择器..................................................................... 23

许可服务......................................................................... 23

服务选择规则................................................................. 26

用户认证库..................................................................... 28

授权策略......................................................................... 29

客户端配置..................................................................... 30

配置脚本......................................................................... 31

脚本解释......................................................................... 31

认证................................................................................. 32

授权................................................................................. 32

审计................................................................................. 33

配置验证......................................................................... 33

区域路由器登录验证..................................................... 34

省行路由器登录验证..................................................... 35

查看认证日志................................................................. 36

查看授权日志................................................................. 36

查看审计日志................................................................. 37

总结................................................................................. 37

 

 

 

项目背景

全省网络设备的远程管理现状

1.通过各网络设备中设置的本地账户和密码进行远程登录和管理;

2.用户没有跟设备绑定;

3.用户的权限没有区分和限制;

4.用户登录以及操作没有详细的记录;

 

根据总行网络设备管理的要求:

1.省行以及二级行的网络设备管理员实行统一的身份验证和管理;

2.通过部署在省行的ACS服务器对网络管理员进行验证和授权;

3.管理员在获得ACS服务器的验证后方可对相应的网络设备实行远程登录和管理;

4.管理员分为不同的级别,对于不同级别的管理员有不同的授权;

5.管理员对被管理设备的操作会在ACS服务器上进行记录;

 

资源配置

实验网络架构

01

 某银行系统ACS认证之TACACS+认证方案_第1张图片

 

ACS管理方案

 

分别建立各种需要的属性,然后将属性组合进授权策略

授权策略中匹配用户、匹配设备、符合则授权,不符合则拒绝

02

 某银行系统ACS认证之TACACS+认证方案_第2张图片

 

权限规定

5级用户允许命令:

Exit

Show ip interface brief

Ping

Ping ip

Traceroute

Show ip route

 

15级用户禁止命令

Erase

Delete

Copy

Reload

 

ACS组件

网络资源

设备属性

设备属性、用户组均属于自定义属性,然后根据属性进行挑选并匹配

确定设备属性,由于此项目所有路由器与交换机均属于网络部,因此不需要设置部门属性。设备的区别只是地点区别。

HBSH7200(属性为河北全省)

HBTS3600(属性为唐山市)

HBTSKP2811(属性为唐山市开平区)

HBTSFN2811(属性为唐山市丰南区)

HBBD3600(属性为保定市)

HBBDMC2811(属性为保定市满城区)

HBBDSP2811(属性为保定市顺平县)

设备按位置设置为三级:省、市、区(县)

为了将来管理需求的变更,设置设备类型为7200、3600、2811三种

建立设备属性:

系统默认设置了两种属性

03

 某银行系统ACS认证之TACACS+认证方案_第3张图片

设备位置属性

设备类型和位置点击位置,点击建立

04某银行系统ACS认证之TACACS+认证方案_第4张图片

建立河北省属性

05某银行系统ACS认证之TACACS+认证方案_第5张图片

继续建立市级属性

06某银行系统ACS认证之TACACS+认证方案_第6张图片

选中上级为河北省

07某银行系统ACS认证之TACACS+认证方案_第7张图片

下箭头显示了层级关系

08

 某银行系统ACS认证之TACACS+认证方案_第8张图片

设备型号属性

进入Device Type选项

09某银行系统ACS认证之TACACS+认证方案_第9张图片

点击Create

10

某银行系统ACS认证之TACACS+认证方案_第10张图片

某银行系统ACS认证之TACACS+认证方案_第11张图片

11

同理,也可以根据需要设置其它分类,例如All Switchs(所有交换机)

建立路由器与属性进行关联,并且设置ACS参与的认证方式及密码

可以单独建立路由器,也可以群组建立(如按地域)。本项目需求全部按路由器名称建立。

 

AAA客户端设置

点击进入AAA client设置,并点击Create

12某银行系统ACS认证之TACACS+认证方案_第12张图片

建立省行设备

13某银行系统ACS认证之TACACS+认证方案_第13张图片

依次建立其它设备

 

14某银行系统ACS认证之TACACS+认证方案_第14张图片

设备建立完成,一共七台路由器

15某银行系统ACS认证之TACACS+认证方案_第15张图片

用户标识仓库

用户组属性

建立用户组和用户

16

某银行系统ACS认证之TACACS+认证方案_第16张图片

某银行系统ACS认证之TACACS+认证方案_第17张图片

17

唐山市属于河北省

18

某银行系统ACS认证之TACACS+认证方案_第18张图片

某银行系统ACS认证之TACACS+认证方案_第19张图片

 

19

用户属性

sunxin:北方博业管理员,所有设备均可访问,15级权限

hbts:唐山市行管理员,所有唐山市设备均可访问,15级权限

hbtskp:唐山市行开平区管理员,所以本区域设备均可访问,5级权限

hbtsfn:唐山市行丰南区管理员,所以本区域设备均可访问,5级权限

hbbd:保定市行管理员,所有保定市设备均可访问,15级权限

hbbdmc:保定市行满城区管理员,所有本区域设备均可访问,5级权限

hbbdsp:保定市行顺平县管理员,所有本区域设备均可访问,5级权限

除bfby外,其他用户均不可以访问上级设备和不同地区的设备

所有用户密码均为bfby

 

建立用户

20

某银行系统ACS认证之TACACS+认证方案_第20张图片

某银行系统ACS认证之TACACS+认证方案_第21张图片

某银行系统ACS认证之TACACS+认证方案_第22张图片

21

22

 

策略组件

设备过滤器

作用是根据不同权限范围,将所需要管理的设备用一条指令挑选出来,方便策略调用

 23某银行系统ACS认证之TACACS+认证方案_第23张图片

匹配方法多种多样,本例将所有型号的路由器都匹配进去

24某银行系统ACS认证之TACACS+认证方案_第24张图片

唐山市和保定市使用位置匹配

25某银行系统ACS认证之TACACS+认证方案_第25张图片

唐山和保定区级分别使用IP地址和设备名匹配

26

某银行系统ACS认证之TACACS+认证方案_第26张图片

某银行系统ACS认证之TACACS+认证方案_第27张图片

某银行系统ACS认证之TACACS+认证方案_第28张图片

27

28

 

用户级别控制

29

某银行系统ACS认证之TACACS+认证方案_第29张图片

某银行系统ACS认证之TACACS+认证方案_第30张图片

某银行系统ACS认证之TACACS+认证方案_第31张图片

某银行系统ACS认证之TACACS+认证方案_第32张图片

30 

31 

32

 

命令控制

 33某银行系统ACS认证之TACACS+认证方案_第33张图片

 

输入允许的命令点击add添加

34某银行系统ACS认证之TACACS+认证方案_第34张图片

允许其它命令

35某银行系统ACS认证之TACACS+认证方案_第35张图片

 

 

许可策略

目前所需要的属性组件已全部建立完成,接下来进行核心部分:策略设置

设置策略选择条件,根据需要设置需要匹配的条目

 

36某银行系统ACS认证之TACACS+认证方案_第36张图片

条件选择器

37某银行系统ACS认证之TACACS+认证方案_第37张图片

许可服务

38某银行系统ACS认证之TACACS+认证方案_第38张图片

建立规则服务,以便被规则调用

39

某银行系统ACS认证之TACACS+认证方案_第39张图片

某银行系统ACS认证之TACACS+认证方案_第40张图片

40

点击完成

是否马上建立选择策略以激活此服务

选择是,也可以以后建立

匹配原则:先匹配设备,匹配上设备后送给服务,服务进行匹配用户,最后根据不同的用户进行授权

41

42

某银行系统ACS认证之TACACS+认证方案_第41张图片

某银行系统ACS认证之TACACS+认证方案_第42张图片

 

服务选择规则

进入服务选择规则,建立规则

43

 某银行系统ACS认证之TACACS+认证方案_第43张图片

建立设备访问规则,按设备优先级进行配置,先匹配上面的,后匹配下面的。

44某银行系统ACS认证之TACACS+认证方案_第44张图片

保存规则

45

某银行系统ACS认证之TACACS+认证方案_第45张图片

某银行系统ACS认证之TACACS+认证方案_第46张图片

46

继续设置其它匹配规则

由于每个地区只设置了一台路由器,因此这里效果看起来不太明显。感觉有点儿累。

按等级顺序,等级最低的在上,最先被选择。

47

 某银行系统ACS认证之TACACS+认证方案_第47张图片

 

用户认证库

修改服务

修改用户认证数据库为本地用户

保存

48某银行系统ACS认证之TACACS+认证方案_第48张图片

授权策略

点击Authorization选项

建立一条规则

赋予省行用户15级权限

赋予市行用户15级权限

赋予区域用户5级权限

49某银行系统ACS认证之TACACS+认证方案_第49张图片

继续建立其它规则

50某银行系统ACS认证之TACACS+认证方案_第50张图片

客户端配置

配置脚本

所有省行和市行的设备删除区域路由器配置中以下几条

aaa authorization commands 5 vty group tacacs+

aaa accounting commands 5 vty start-stop group tacacs+

authorization commands 5 vty

accounting commands 5 vty

 

区域路由器配置:

aaa new-model

tacacs-server host 192.168.5.247 key cisco

aaa authentication login noacs line none

aaa authentication login vty group tacacs+

aaa authorization exec vty group tacacs+

aaa authorization commands 0 vty group tacacs+

aaa authorization commands 1 vty group tacacs+

aaa authorization commands 5 vty group tacacs+

aaa authorization commands 15 vty group tacacs+

aaa authorization config-commands

aaa accounting exec vty start-stop group tacacs+

aaa accounting commands 0 vty start-stop group tacacs+

aaa accounting commands 1 vty start-stop group tacacs+

aaa accounting commands 5 vty start-stop group tacacs+

aaa accounting commands 15 vty start-stop group tacacs+

line con 0

 logging synchronous

 login authentication noacs

line aux 0

 login authentication noacs

line vty 0 4

 login authentication vty

 authorization exec vty

 authorization commands 15 vty

 accounting exec vty

 accounting commands 0 vty

 accounting commands 1 vty

 accounting commands 5 vty

 accounting commands 15 vty

脚本解释

 

Cisco IOS 权限等级

Cisco IOS 提供了16种权限等级:

0级:最低级别

1级:用户模式可以查看少数命令

2-14级:等同于1级,管理员可以根据需要将15级的部分指令开放给其中某个等级,来区别管理

15级:最高级别,进入enable后默认就是15级

 

认证

线下保护作用是排除不必要的认证

定义一条不进行认证的策略

aaa authentication login noacs line none

挂在con和aux接口下

line con 0

 logging synchronous

 login authentication noacs

line aux 0

 login authentication noacs

 

定义服务器

 

tacacs-server host 192.168.5.247 key cisco

 

测试

test aaa grout tacacs+ bfby bfby net-code

 

 

登录认证策略

aaa authentication login vty group tacacs+

line vty 0 4

 login authentication vty

 

授权

exec级别命令授权

aaa authorization exec vty group tacacs+

line vty 0 4

 authorization exec vty

 

 

本地命令授权

privilege configure level 5 router

privilege exec level 5 configure terminal

 

 

将以下等级命令送到ACS上去授权

aaa authorization commands 0 vty group tacacs+

aaa authorization commands 1 vty group tacacs+

aaa authorization commands 5 vty group tacacs+

aaa authorization commands 15 vty group tacacs+

 

针对config terminal下的命令集中授权

aaa authorization config-commands

 

将授权挂到接口上应用

line vty 0 4

 authorization commands 15 vty

 

 

审计

配置审计

 

aaa accounting exec vty start-stop group tacacs+

line vty 0 4

accounting exec vty

命令审计

aaa accounting commands 0 vty start-stop group tacacs+

aaa accounting commands 1 vty start-stop group tacacs+

aaa accounting commands 5 vty start-stop group tacacs+

aaa accounting commands 15 vty start-stop group tacacs+

line vty 0 4

accounting commands 0 vty

accounting commands 1 vty

accounting commands 5 vty

accounting commands 15 vty

 

配置验证

区域路由器登录验证

唐山开平区路由器使用5级用户登录

51某银行系统ACS认证之TACACS+认证方案_第51张图片

唐山开平区路由器使用市行15级用户登录

52某银行系统ACS认证之TACACS+认证方案_第52张图片

唐山开平区路由器使用省行15级用户登录

53某银行系统ACS认证之TACACS+认证方案_第53张图片

省行路由器登录验证

省行路由器,使用唐山区域用户登录

54某银行系统ACS认证之TACACS+认证方案_第54张图片

省行路由器,使用唐山市用户登录

55某银行系统ACS认证之TACACS+认证方案_第55张图片

省行路由器,使用sunxin用户登录

56某银行系统ACS认证之TACACS+认证方案_第56张图片

查看认证日志

57某银行系统ACS认证之TACACS+认证方案_第57张图片

查看授权日志

58某银行系统ACS认证之TACACS+认证方案_第58张图片

查看审计日志

59某银行系统ACS认证之TACACS+认证方案_第59张图片

总结

60某银行系统ACS认证之TACACS+认证方案_第60张图片

服务选择规则中名字为HeiBei的规则,匹配Tacacs协议,匹配设备过滤器中HeBei策略中被选中的设备(其实就是所有路由器),把它送给BFBY-Tacacs这项服务去处理

61

 某银行系统ACS认证之TACACS+认证方案_第61张图片

BFBY-Tacacs这项服务中包括了身份认证和授权服务,但不包括组映射(Windows AD)

62某银行系统ACS认证之TACACS+认证方案_第62张图片

允许的认证方式为PAP

63某银行系统ACS认证之TACACS+认证方案_第63张图片

使用内部用户(ACS中的用户)进行认证

64某银行系统ACS认证之TACACS+认证方案_第64张图片

此服务设置为省行用户专用,因此只有省行用户给予15级权限

65某银行系统ACS认证之TACACS+认证方案_第65张图片

而满城的服务则给予省行、市行15级权限,区域管理员5级权限

审计:

审计在路由器上配置后,路由器发送给ACS,因此在ACS上无需配置。

具体配置的相关项目为:

66某银行系统ACS认证之TACACS+认证方案_第66张图片

 原文下载http://wenku.baidu.com/view/ecc0f8205ef7ba0d4b733b27