在一些大型企业中,管理员希望通过TACACS+或RADIUS服务器对各种网络设备的管理接入进行AAA认证,以实现对管理员帐号的集中管理。A10的AX系列负载均衡交换机支持这两种常见的认证方式。
由于TACACS+是Cisco的一个私有协议,因此,如果希望实现对管理员命令行操作的授权访问,需要在TACACS+上进行进一步的配置。因此,本文除了介绍如何在AX上配置实现TACACS+的AAA认证,还将介绍如何在Cisco的ACS服务器上配置实现AX的授权访问。

1. AX的AAA基本功能介绍

通常情况下,我们所说的AAA是三个英文单词的缩写,分别是:认证(Authentication)、授权(Authorization)和审计(Accounting)。下面将分别进行介绍:
 
1.1 认证(Authentication)
在默认情况下,当管理账户需要登陆到AX设备时,AX设备根据用户输入的用户名和密码检查本地的管理员数据库。如果输入的用户名和密码在本地数据库中,则登陆成功,否则,登陆用户被拒绝访问。
我们可以为AX设备配置一个外部的TACACS+服务器,用于管理账户的认证。在这种情况下,AX仍然会优先检查本地数据库,以进行认证。
  • 如果AX设备的本地管理员数据库有这个用户名和密码,则用户通过认证,获得访问系统的权限。
  • 如果AX设备的本地管理员数据库有这个用户名,但密码错误,则AX设备会拒绝该访问。
  • 如果AX设备的本地管理员数据库没有这个用户名,并且配置了TACACS+服务器,则AX采用这些服务器上的数据库进行认证。
1.2 授权(Authorization)
在AX上配置TACACS+授权时,可以授权管理帐号执行以下几个级别的CLI命令。
  • 15(admin):允许执行所有级别的CLI命令。
  • 14(config):可以执行除了修改管理员账号的其他CLI命令。
  • 1(Privileged EXEC):可以执行特权模式或用户模式下的所有命令。
  • 0(User EXEC):可以执行用户模式下的所有命令。
注:配置为2-13等同于1这个级别。
 
1.3 审计(Accounting)
你可以为AX设备配置外部TACACS+服务器实现审计功能。通过审计功能,你可以追踪管理帐号登陆以后的所有活动。你可以配置以下审计内容:
  • Login/Logoff 活动
  • 命令
你可以配置以下几个级别的审计,来追踪管理员执行命令的情况:
  • 15(admin):审计所有级别的CLI命令的执行情况。
  • 14(config):审计除了修改管理员账号的其他CLI命令。
  • 1(Privileged EXEC):审计特权模式或用户模式下的所有命令。
  • 0(User EXEC):审计用户模式下的所有命令。
 

2. 为AX配置TACACS+的AAA认证

为AX配置TACACS+的AAA的方式很简单,只需要几条命令即可实现。基本上,配置命令可以简单的分为几个部分:

1)  在AX上配置TACACS+服务器信息。通常情况下,建议配置第二台TACACS+作为备份服务器。

 
    
     
     
  1. tacacs-server host 192.168.103.101 secret tacacs_secret     //设定TACACS+服务器,及共享密钥 
    2.  
     
  2. authentication type local tacplus           //设定认证服务器类型 
    3.  
    
 
    
2) 配置是否需要进行授权控制。
 
    
 
     
 
     
     
      
  1. authorization commands 15 method tacplus    //设定授权的命令行等级 
    2.  
     
 
    
 
    

        
     3)           配置审计方式和内容。 
    
 
    
 
    
     
     
  1. accounting exec start-stop tacplus          //设定审计管理帐号login/logoff行为 
    2.  
     
  2. accounting commands 15 stop-only tacplus    //设定对命令行的审计等级 
    3.  
    
 
    

        
    
 
    
3. Cisco ACS服务器上的配置方式
 
    

      由于TACACS+是Cisco的私有协议,因此,在默认配置方式下,如果在AX上配置了授权(Authorization)控制,需要在TACACS+上进行一些额外的配置,以实现对AX的授权控制。否则,AX上可能会出现类似以下的告警日志: 
    
 
    
 
     
 
     
     
      
  1. Nov 30 2011 17:43:53 Error   [SYSTEM]:tacplus_read_response: authorization failed with TACACS+ server 192.168.103.101 
    2.  
     
 
     
 
 
     
以下以Cisco ACS 4.2为例,说明TACACS+的配置方式:
 
    
 
    
1)        在“Shared Profile Components”下,设置“Shell Command Authorization Set”。
 
    
  
    
 
    

      在“Unmatched Commands”中,如果默认拒绝执行所有命令,你需要将允许执行的命令添加至列表中,并选择“Permit Unmatched Args”。 
    
 
    
2)        在“Network Configuration”中,将AX添加为“AAA Clients”。
 
    
  
 
    

      如上图所示,你需要指定AX的管理地址及共享密钥。添加后,选择“Submit+Apply”,以使配置生效。 
    
 
    
3)        在“Group Setup”中,选择相应的组并按照下图对组设置进行编辑。
 
    
 
    
4)        将管理帐号与组进行关联。
 
    
  
    
 
    

        
    
 
    

      至此,完成ACS上的TACACS+配置。 
    
 
    

        
    
 
    

      E.S.