如何在A10的AX上实现TACACS+的AAA认证

在一些大型企业中，管理员希望通过TACACS+或RADIUS服务器对各种网络设备的管理接入进行AAA认证，以实现对管理员帐号的集中管理。A10的AX系列负载均衡交换机支持这两种常见的认证方式。

由于TACACS+是Cisco的一个私有协议，因此，如果希望实现对管理员命令行操作的授权访问，需要在TACACS+上进行进一步的配置。因此，本文除了介绍如何在AX上配置实现TACACS+的AAA认证，还将介绍如何在Cisco的ACS服务器上配置实现AX的授权访问。

1. AX的AAA基本功能介绍

通常情况下，我们所说的AAA是三个英文单词的缩写，分别是：认证（Authentication）、授权（Authorization）和审计（Accounting）。下面将分别进行介绍：

 

1.1 认证（Authentication）

在默认情况下，当管理账户需要登陆到AX设备时，AX设备根据用户输入的用户名和密码检查本地的管理员数据库。如果输入的用户名和密码在本地数据库中，则登陆成功，否则，登陆用户被拒绝访问。

我们可以为AX设备配置一个外部的TACACS+服务器，用于管理账户的认证。在这种情况下，AX仍然会优先检查本地数据库，以进行认证。

• 如果AX设备的本地管理员数据库有这个用户名和密码，则用户通过认证，获得访问系统的权限。
• 如果AX设备的本地管理员数据库有这个用户名，但密码错误，则AX设备会拒绝该访问。
• 如果AX设备的本地管理员数据库没有这个用户名，并且配置了TACACS+服务器，则AX采用这些服务器上的数据库进行认证。

1.2 授权（Authorization）

在AX上配置TACACS+授权时，可以授权管理帐号执行以下几个级别的CLI命令。

• 15（admin）：允许执行所有级别的CLI命令。
• 14（config）：可以执行除了修改管理员账号的其他CLI命令。
• 1（Privileged EXEC）：可以执行特权模式或用户模式下的所有命令。
• 0（User EXEC）：可以执行用户模式下的所有命令。

注：配置为2-13等同于1这个级别。

 

1.3 审计（Accounting）

你可以为AX设备配置外部TACACS+服务器实现审计功能。通过审计功能，你可以追踪管理帐号登陆以后的所有活动。你可以配置以下审计内容：

• Login/Logoff 活动
• 命令

你可以配置以下几个级别的审计，来追踪管理员执行命令的情况：

• 15（admin）：审计所有级别的CLI命令的执行情况。
• 14（config）：审计除了修改管理员账号的其他CLI命令。
• 1（Privileged EXEC）：审计特权模式或用户模式下的所有命令。
• 0（User EXEC）：审计用户模式下的所有命令。

 

2. 为AX配置TACACS+的AAA认证

为AX配置TACACS+的AAA的方式很简单，只需要几条命令即可实现。基本上，配置命令可以简单的分为几个部分：

1）  在AX上配置TACACS+服务器信息。通常情况下，建议配置第二台TACACS+作为备份服务器。

tacacs-server host 192.168.103.101 secret tacacs_secret     //设定TACACS+服务器，及共享密钥
authentication type local tacplus           //设定认证服务器类型

2） 配置是否需要进行授权控制。

authorization commands 15 method tacplus    //设定授权的命令行等级

  3）           配置审计方式和内容。

accounting exec start-stop tacplus          //设定审计管理帐号login/logoff行为
accounting commands 15 stop-only tacplus    //设定对命令行的审计等级

 

3. Cisco ACS服务器上的配置方式

由于TACACS+是Cisco的私有协议，因此，在默认配置方式下，如果在AX上配置了授权（Authorization）控制，需要在TACACS+上进行一些额外的配置，以实现对AX的授权控制。否则，AX上可能会出现类似以下的告警日志：

Nov 30 2011 17:43:53 Error   [SYSTEM]:tacplus_read_response: authorization failed with TACACS+ server 192.168.103.101

 

以下以Cisco ACS 4.2为例，说明TACACS+的配置方式：

1）        在“Shared Profile Components”下，设置“Shell Command Authorization Set”。

在“Unmatched Commands”中，如果默认拒绝执行所有命令，你需要将允许执行的命令添加至列表中，并选择“Permit Unmatched Args”。

2）        在“Network Configuration”中，将AX添加为“AAA Clients”。

  

如上图所示，你需要指定AX的管理地址及共享密钥。添加后，选择“Submit+Apply”，以使配置生效。

3）        在“Group Setup”中，选择相应的组并按照下图对组设置进行编辑。

4）        将管理帐号与组进行关联。

 

至此，完成ACS上的TACACS+配置。

 

E.S.