aaa认证

     

aaa 认证实例  

                   2009-01-03 17:03:31|  分类：          路由交换                          |举报        |字号 订阅      

aaa new-model
aaa authentication login default group tacacs+ local
aaa authentication enable default group tacacs+ enable
aaa authorization config-commands
aaa authorization commands 15 default group tacacs+ local
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 0 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
enable secret 5

有缘人 解释一下每条的意思，小弟初学者请教！

aaa new-model     启用aaa服务
aaa authentication login default group tacacs+ local                                                   定义登陆会话认证，认证名为默认，先采用tacacs服务认证，如果没有就用本地认证
aaa authentication enable default group tacacs+ enable 
定义登陆特权认证，认证名为默认，先采用tacacs服务认证，如果没有就用本地特权密码设置
aaa authorization config-commands 
 设置授权配置命令
aaa authorization commands 15 default group tacacs+ local
定义授权，授权权限为级别15，授权名为默认，先采用tacacs服务授权，如果没有就用本地设置的授权
aaa accounting exec default start-stop group tacacs+   定义审记，审记名为默认，对会话的开始和结束做审记，采用tacacs服务做审记
aaa accounting commands 0 default start-stop group tacacs+
定义审记，对权限为0使用的命令做审记，审记名为默认，采用tacacs服务审记
aaa accounting commands 15 default start-stop group tacacs+
enable secret 5

不足之处，指点指点，共同学习。

 

 

六.Cisco AAA

通常，访问控制系统由两部分组成：Cisco Secure ACS（AAA Server）和网络访问服务器（AAA
Client）。Cisco 设备使用AAA 服务来与Cisco Secure ACS 协同工作以构成一个完整的访问控制系统。
AAA的定义如下：
Authentication（认证）：对用户的身份进行验证，决定是否允许该用户访问网络。
Authorization（授权）：给不同的用户分配不同的权限，限制每个用户可使用的网络服务。
Accounting（统计）：对用户的行为进行审计和计费。
AAA 服务支持的安全协议有：TACACS+、RADIUS、Kerberos，我们可以使用RADIUS 和TACACS+
协议让Cisco 设备和Cisco Secure ACS 协同工作，下面是一个常见的网络拓扑：

6.1 配置AAA 认证
6.1.1 Cisco IOS AAA 认证基本配置

在Cisco IOS 中配置AAA 认证的过程不算复杂，主要步骤如下：
步骤1、全局开启AAA 服务。
要使用AAA，就必须使用aaa new-model 全局配置命令启用AAA 服务。
Router(config)# aaa new-model

步骤2、配置ACS 服务器的地址和AAA client 密码，其命令格式如下：
AAA Client 和AAA Server 之间使用TACACS+协议时：
tacacs-server host IP_address
tacacs-server key key
AAA Client 和AAA Server 之间使用RADIUS 协议时：
radius-server host IP_address
radius-server key key

步骤3、定义认证的方法列表，常见的认证方法主要有：
认证方法 解释与命令示例
enable 使用enable 口令进行身份验证
aaa authentication login name enable
local 使用本地数据库进行身份验证
aaa authentication login name local
定义本地数据库的命令为：
Username username password password
TACACS+ 使用TATCACS+服务器进行身份验证
aaa authentication login name group tacacs+
RADIUS 使用RADIUS 服务器进行身份验证
aaa authentication login name group radius
none 不进行身份验证
aaa authentication login name none
一个方法列表中也可以包含多种身份验证方法，这样可以确保在第一种方法失效的时候，设
备可以使用备用的身份验证系统，例如：
aaa authentication login example group tacacs+ group radius
『注意』在上面一个例子中，Cisco IOS 软件会先使用tacacs+服务器对用户身份进行验证，
如果设备无法联系到所配置的tacacs+服务器，则开始尝试使用radius 服务器对用户身份进行验
证。


下面是一个在不同的VTY 线路上应用不同的身份验证方法列表的实例：
第一步：启用AAA，配置本地数据库以及ACS 用户数据库：
Router(config)#aaa new-model
Router(config)#username user1 password user1
Router(config)#username user2 password user2
Router(config)#username user3 password user3
第二步：配置TACACS+和Radius 服务器的地址和密码：
Router(config)#tacacs-server host 192.168.10.199
Router(config)#tacacs-server key cisco
Router(config)#radius-server host 192.168.10.198
Router(config)#radius-server key cisco
第三步：配置登陆身份验证的方法列表：
Router(config)#aaa authentication login default local
Router(config)#aaa authentication login ex1 group tacacs+
Router(config)#aaa authentication login ex2 enable
Router(config)#aaa authentication login ex3 group tacacs+ none
Router(config)#aaa authentication login ex4 group tacacs+ local
第四步：在虚拟终端线路上应用列表：
Router(config)#line vty 0
Router(config-line)#login authentication ex1
Router(config-line)#exit
Router(config)#line vty 1
Router(config-line)#login authentication ex2
Router(config-line)#exit
Router(config)#line vty 2
Router(config-line)#login authentication ex3
Router(config-line)#exit
Router(config)#line vty 3
Router(config-line)#login authentication ex4
Router(config-line)#exit
在此列中，我们特别规定了0―3 号VTY 链路上的身份验证方法。其他没有特别规定线路将
采用default 方法进行身份验证。


6.2 配置AAA 授权
6.2.1 使用AAA 在Cisco IOS 中对用户的等级进行授权
在Cisco IOS 中配置AAA 授权主要步骤如下：

步骤1、全局开启AAA 服务。由于“授权”一般是在“认证”之后实施的，因此在配置授权
时aaa new-model 通常是打开的。
步骤2、配置ACS 服务器的地址和AAA client 密码，此步骤和AAA 认证中的相应步骤类似。
步骤3、定义授权方法列表。
步骤4、在线路上加载授权方法列表，使其对某个线路上的授权产生作用。

下面以在Cisco IOS 中配置EXEC 会话授权为例讲述AAA 授权的基本配置，首先需要介绍一
下IOS 命令的权限级别，默认情况下，Cisco IOS 设备使用三种权限级别：
等级0：包括5 个命令：disable、enable、exit、help、logout。
等级1：用户模式，提示符为>，它是用户登陆后的默认级别。
等级15：特权模式，提示符为#，它拥有最高的权限。
当用户通过VTY 线路登陆到路由器时，默认可以执行等级0 和等级1 的所有命令；如果用户
输入enable 命令并且输入了正确的密码（提示符由>改为#），则他的权限变为等级15。使用show
privilege 命令可以查看用户当前的权限级别。
下面时一个使用AAA 配置EXEC 会话的全过程：
第一步：启用AAA，配置本地数据库，为不同的用户设置不同的权限
Router(config)#aaa new-model
Router(config)#username user1 privilege 1 password user1
Router(config)#username user2 privilege 7 password user2
Router(config)#username user3 privilege 15 password user3
第二步：配置EXEC 会话授权的方法
Router(config)#aaa authorization exec cisco local
第三步：在虚拟终端线路上应用授权
Router(config)#line vty 0 4
Router(config-line)#authorization exec cisco
用户还可以对Cisco CLI 的命令权限级别进行修改，例如：clear line 命令的默认级别为
15，但是我们可以使用privilege exec 命令将其权限修改为级别7。
Router(config)# privilege exec level 7 clear line
通过以上设置，如果用户使用user2 进行登陆的话，他就可以在不进入特权模式的情况下直
接使用clear line 命令。

6.2.2 使用AAA 在Cisco IOS 中对用户可使用的命令进行授权
Cisco Secure ACS 支持IOS 命令的授权，它可以限制管理用户所能够使用的命令以及命令
参数。下面，我们使用一个示例来说明如何配置IOS 命令的授权。
如上图所示，管理员希望使用ACS 实现以下功能：
普通管理员（等级15）只能使用“show ip route”、“show interface”命令查看设备的基
本信息，并且无法进入配置模式对设备的配置进行修改；超级管理员（等级15）可以使用所有
命令。
第一步：在IOS 设备上启动AAA，并且配置AAA 认证（授权之前必须先通过认证）。
Router(config)# aaa new-model
Router(config)# username cisco password cisco
Router(config)# tacacs-server host 10.1.1.2 key cisco
Router(config)# aaa authentication login default group tacacs+ local
第二步：在ACS 管理页面上点击“Network Configuration”，添加一个AAA client，地址
为10.1.1.1，key 为cisco，协议使用TACACS +，最后点击“Submit + Restart”完成设置。

第三步：点击“group setup”，将“group 1”重命名为“normal”，将“group 2”重命名
为“super”。
第四步：点击“user setup”添加用户test1 和test2，其中test1 属于“normal”组，test2
属于“super”组。

第五步：在IOS 设备上配置命令授权。
Router(config)# aaa authorization exec default group tacacs+ local
Router(config)# aaa authorization commands 1 default group tacacs+ none
！对等级1 的命令进行授权
Router(config)# aaa authorization commands 15 default group tacacs+ none
！对等级15 的命令进行授权
第六步：在Cisco Secure ACS 的“group setup”中按照要求设置组的权限。
点击“group setup”，选择“normal”组，点击“Edit Settings”。

6.6.3 使用AAA 在Cisco IOS 中对管理员的行为进行审计

本节将接着“使用AAA 在Cisco IOS 中对用户可使用的命令进行授权”一节继续讨论，因此
关于认证和授权部分的配置，本节不再列出。
如上图所示，假如我们想在ACS 服务器上记录管理员每次登陆的时间和所使用的命令，此时
就必须在IOS 设备上配置AAA 审计，配置命令如下：
Router(config)# aaa accounting exec default start-stop group tacacs+
!对用户的登陆进行审计
Router(config)# aaa accounting commands 1 default start-stop group tacacs+
Router(config)# aaa accounting commands 15 default start-stop group tacacs+
!对用户所使用的命令进行审计