cisco如何查看aaa用戶
有網(wǎng)友問小編cisco 路由器如何查看aaa用戶?學(xué)習(xí)啦小編去網(wǎng)上搜索了相關(guān)資料,給大家奉上,希望大家喜歡。
CISCO路由器AAA介紹及相關(guān)路由配置
CISCO AAA www.2cto.com
3A概念:認(rèn)證authentication 授權(quán)authorization 記帳 accounting
cisco為路由器和交換機(jī)提供多種3A服務(wù)的方法:
1 自包含AAA 路由器/NAS自身包含AAA服務(wù) NAS(網(wǎng)絡(luò)訪問服務(wù)器)
2 CISCO SECURE ACS 路由器/NAS上的AAA服務(wù)與外部CISCO SECURE ACS系統(tǒng)聯(lián)系
3 CISCO SECURE ACS SOLUTION ENGINE 路由器/NAS上的AAA服務(wù)與外部CISCO SECURE ACS SOLUTION
ENGINE系統(tǒng)聯(lián)系
4 第三方ACS 路由器/NAS上的AAA服務(wù)與外部CISCO認(rèn)可的第三方ACS系統(tǒng)聯(lián)系 radius tacacs+
cisco secure acs系列是供安全訪問網(wǎng)絡(luò)的一種全面而靈活的平臺(tái)。他主要負(fù)責(zé)以下一個(gè)方面的安全
通過CISCO NAS和路由器撥號(hào)
管理員進(jìn)行路由器和交換機(jī)的控制臺(tái)及VTY端口訪問
CISCO PIX防火墻訪問 www.2cto.com
3000系列集線器(僅用于RADIUS)
使用CISCO LEAP 和 PEAP的無線局域網(wǎng)支持
交換機(jī)的無線802.1X認(rèn)證
邊界路由器AAA配置過程
1 在vty,異步,aux和tty端口對(duì)特權(quán)EXEC和配置模式進(jìn)行安全訪問
config t
enable password ***
service password-encryption
enable secret ******
2 在邊界路由器上,用aaa new-model命令啟用AAA。
config t
aaa new-model
username *** password ***
aaa authentication login default local
注意點(diǎn),在配置aaa new-model命令的時(shí)候,一定要提供一種本地登入方式,防止由于管理性會(huì)話失效而引發(fā)
路由器鎖定。
3 配置AAA認(rèn)證列表
aaa authentication login 定義用戶視圖登入到路由器時(shí)需要使用哪個(gè)認(rèn)證步驟。
aaa authentication ppp 對(duì)于使用PPP的串行接口上的用戶會(huì)話,定義了要使用的認(rèn)證步驟。
aaa authentication enable default 定義了有人試圖通過enable命令進(jìn)去特權(quán)EXEC模式時(shí),應(yīng)該采用的
認(rèn)證步驟
在訪問服務(wù)器上全局啟用了AAA之后,還需要定義認(rèn)證方法列表,并將其應(yīng)用到鏈路和接口。這些認(rèn)證方法
列表指出了服務(wù)(PPP,ARAP,NASI,LOGIN) 和認(rèn)證方法(本地,TACACS+,RADIUS,login 或enable),這里
建議將本地認(rèn)證作為最后一種方法。
定義認(rèn)證方法列表
1規(guī)定服務(wù)(PPP,ARAP,NASI)或登錄認(rèn)證
2標(biāo)識(shí)一個(gè)列表名稱或采用缺省
3規(guī)定認(rèn)證方法,并規(guī)定其中一種不可用時(shí),路由器如何反應(yīng)
4將其應(yīng)用到一下鏈路或接口之一
鏈路--tty,vty,console,aux和async鏈路,或者供登入的控制臺(tái)端口已經(jīng)供ARA的異步鏈路 www.2cto.com
接口--同步,異步以及為PPP.SLIP.NASI或ARAP而配置的虛擬接口
5在全局配置模式下使用aaa authentication命令,以啟用AAA認(rèn)證過程。
1 aaa authentication login命令
config t
aaa authentication login default enable
aaa authentication login console-in local
aaa authentication login tty-in line
console-in和 tty-in是管理員創(chuàng)建的簡(jiǎn)單的方法列表名稱。
aaa authentication login {default | list-name} method1 [method2~~~]
default 用戶登入時(shí),使用此變量后面列出的認(rèn)證方法,作為缺省的方法列表
list-name 當(dāng)用戶登錄時(shí),用來命名認(rèn)證方法列表的字符串
method:
(enable) 使用enable口令來認(rèn)證
(krb5) 用kerberos 5來認(rèn)證
(krb5-telnet) 當(dāng)借助telnet連接路由器時(shí),使用kerberos 5 telnet認(rèn)證協(xié)議
(line) 用鏈路口令來認(rèn)證
(local) 用本地用戶名數(shù)據(jù)庫來認(rèn)證
(none) 不用認(rèn)證
(group- radius) 使用包含所有RADIUS服務(wù)器的一個(gè)列表來認(rèn)證
(group tacacs+) 使用包含所有TACACS+服務(wù)器的一個(gè)列表來認(rèn)證
(group group-name) 用RADIUS或TACACS+服務(wù)器的一個(gè)子集來認(rèn)證 這些服務(wù)器定義在aaa group
server radius或aaa group server tacacs+命令中
2 aaa authentication ppp命令
aaa authentication ppp (default |list-name) method1 [method2~~~]
default 用戶登入時(shí),使用此變量后面列出的認(rèn)證方法,作為缺省的方法列表
list-name 當(dāng)用戶登錄時(shí),用來命名認(rèn)證方法列表的字符串
method:
(if-needed 如果用戶在TTY鏈路上認(rèn)證了,就不需要再認(rèn)證
(krb5 用kerberos 5來認(rèn)證
(local 用本地用戶名數(shù)據(jù)庫來認(rèn)證
(local-case
(none 不用認(rèn)證
(group group-name 用RADIUS或TACACS+服務(wù)器的一個(gè)子集來認(rèn)證 這些服務(wù)器定義在aaa group
server radius或aaa group server tacacs+命令中
3 aaa authentication enable default命令
aaa authentication enable default method1 [method2~~~]
method:
enable 使用enable口令來認(rèn)證
line 用鏈路口令來認(rèn)證
none 不用認(rèn)證
group radius 使用包含所有RADIUS服務(wù)器的一個(gè)列表來認(rèn)證
group tacacs+ 使用包含所有TACACS+服務(wù)器的一個(gè)列表來認(rèn)證
group group-name 用RADIUS或TACACS+服務(wù)器的一個(gè)子集來認(rèn)證 這些服務(wù)器定義在aaa group
server radius或aaa group server tacacs+命令中
4 對(duì)鏈路和接口應(yīng)用認(rèn)證命令
config t
aaa new-model 啟用AAA
aaa authentication login default enable 將enable口令作為缺省的登入方式
aaa authentication login console-in group tacacs+ local 無論何時(shí)使用名為console-in的列
表,都使用TACACS+認(rèn)證,如果TACACS+認(rèn)證失敗,己用本地用戶名和口令
aaa authentication login dial-in group tacacs+ 無論何時(shí)使用名為dial-in的列表,都
使用TACACS+認(rèn)證.
username *** password **** 建立一個(gè)本地用戶名和口令,最可能與console-in登錄方法列
表一起使用
line console 0 進(jìn)入鏈路控制臺(tái)配置模式
login authentication console-in 使用console-in列表作為控制臺(tái)端口0的登錄認(rèn)證
line s3/0
ppp authentication chap dial-in 使用dial-in列表作接口S3/0 的PPP CHAP的登錄認(rèn)證
4 配置供用戶通過認(rèn)證之后的AAA授權(quán)
aaa authorization 命令
aaa authorization {network|exec|commands level|reverse-access|configuration} {default
|list-name} method1 [method2~~~]
network 為所有網(wǎng)絡(luò)相關(guān)的服務(wù)請(qǐng)求進(jìn)行授權(quán),包括SLIP,PPP,PPP NCP和ARA
exec 使用授權(quán),以確定是否用戶可以運(yùn)行一個(gè)EXEC shell.
commands 為所有處于規(guī)定的特權(quán)級(jí)別的命令使用授權(quán)
level 規(guī)定應(yīng)該被授權(quán)的命令級(jí)別,有效值 0-15
reverse-access 為反向訪問連接使用授權(quán),例如反向Telnet
configuration 從AAA服務(wù)器上下載配置
default 使用此變量后列出的認(rèn)證方法,作為缺省方法列表供認(rèn)證
listname 用來命令認(rèn)證方法列表的字符串
method 規(guī)定以下關(guān)鍵字的至少一種
group 用radius或tacacs+服務(wù)器的一個(gè)子集來認(rèn)證,這些服務(wù)器定義在aaa group server radius
或aaa group server tacacs+命令中
if-authenticated 如果用戶為認(rèn)證,允許用戶訪問請(qǐng)求的功能;
krb5-instance 使用被kerberos instance map命令定義的實(shí)例;
local 用本地用戶名數(shù)據(jù)庫來授權(quán)
none 不用授權(quán)
例子:
enable secret level 1 *** 為級(jí)別1的用戶建立一個(gè)enable secret口令
enable secret level 15 *** 為級(jí)別15的用戶建立一個(gè)enable secret口令
aaa new-model 啟用AAA
aaa authentication login default enable 將enable口令作為缺省的登入方式
aaa authentication login console-in group tacacs+ local 無論何時(shí)使用名為console-in的列
表,都使用TACACS+認(rèn)證,如果TACACS+認(rèn)證失敗,己用本地用戶名和口令
aaa authentication login dial-in group tacacs+ 無論何時(shí)使用名為dial-in的列表,都使用
TACACS+認(rèn)證.
username *** password **** 建立一個(gè)本地用戶名和口令,最可能與console-in登錄方法列
表一起使用
aaa authorization commands 1 alpha local 用本地用戶名數(shù)據(jù)庫來為所有級(jí)別1命令的使用進(jìn)行
授權(quán) www.2cto.com
aaa authorization commands 15 bravo if-authenticated group tacplus local 如果用戶已經(jīng)認(rèn)
證了,讓其運(yùn)行級(jí)別15的命令,如果還未認(rèn)證,在允許其訪問級(jí)別15的命令之前,必須基于tacplus組中的
TACACS+服務(wù)器來認(rèn)證
aaa authorization network charlie local none 使用本地?cái)?shù)據(jù)庫來對(duì)所有網(wǎng)絡(luò)服務(wù)的使用授權(quán),
如果本地服務(wù)器不可用,此命令執(zhí)行并不授權(quán),用戶能使用所有的網(wǎng)絡(luò)服務(wù)
aaa authorization exec delta if-authenticated group tacplus 如果用戶已經(jīng)認(rèn)證,讓其運(yùn)行
EXEC過程,如果沒有認(rèn)證,在允許EXEC之前,必須基于tacplus組中的TACACS+服務(wù)器來認(rèn)證
privilege exec level 1 ping 為級(jí)別1的用戶啟用PING
line console 0
login authentication console-in 使用console-in列表作為控制臺(tái)端口0的登錄認(rèn)證
line s3/0
ppp authentication chap dial-in 使用dial-in列表作接口S3/0 的PPP CHAP的登錄認(rèn)證
5 配置規(guī)定如何寫記帳記錄的AAA記帳
aaa accounting [auth-proxy |system |network |exec |connection |commands level]{default
|list-name} [vrf vrf-name] [start-stop|stop-only|none][broadcast][method][method2]
auth-proxy 提供有關(guān)所有認(rèn)證代理用戶事件的信息
system 為所有非用戶相關(guān)的系統(tǒng)級(jí)事件執(zhí)行記帳
network 為所有網(wǎng)絡(luò)相關(guān)的服務(wù)請(qǐng)求運(yùn)行記帳
exec 為EXEC shell會(huì)話運(yùn)行記帳。
connection 提供所有有關(guān)源子NAS的外出連接的信息
commands 為所有處于特定特權(quán)級(jí)別的命令運(yùn)行記帳,有效的特權(quán)級(jí)別取值0-15
default 使用本參數(shù)之后列出的記帳方式
list-name 用來命令記帳方式列表的字符串
vrf vrf-name 規(guī)定一個(gè)VRF配置
start-stop 在一個(gè)過程的開端,發(fā)送一個(gè)開始記帳通知,在過程結(jié)束時(shí),發(fā)送一個(gè)停止記帳通知
。
stop-only 在被請(qǐng)求用戶工程結(jié)束時(shí)發(fā)送一個(gè)停止記帳通知
none 禁止此鏈路或接口上的記帳服務(wù)
broadcast 啟用發(fā)送記帳記錄到多個(gè)3A服務(wù)器,同時(shí)向每個(gè)組中第一臺(tái)服務(wù)器發(fā)送記帳記
錄 www.2cto.com
method 規(guī)定一下關(guān)鍵子中的至少一個(gè)
group radius 用所有RADIUS服務(wù)器列表作為記帳
group tacacs+ 用所有列出的TACACS+服務(wù)器來記帳
group group-name 用RADIUS或TACACS+服務(wù)器的一個(gè)子集作為記帳
在路由器上啟用下列命令以啟用幾張
aaa accounting system wait-start local 用記帳方法審計(jì)系統(tǒng)事件
aaa accounting network stop-only local 當(dāng)網(wǎng)絡(luò)服務(wù)中斷,發(fā)送停止記錄通知
aaa accounting exec start-stop local 當(dāng)EXEC過程開始時(shí),發(fā)送一個(gè)開始記錄通知,結(jié)束時(shí),發(fā)
送停止記錄
aaa accounting commands 15 wait-start local 在任何級(jí)別15的命令開始之前,發(fā)送一個(gè)開始記錄通
知,并等待確認(rèn),當(dāng)命令中止時(shí),發(fā)送一個(gè)停止記錄通知。
6 校驗(yàn)配置
debug aaa authentication 顯示有關(guān)認(rèn)證功能的調(diào)試信息
debug aaa authorization 顯示有關(guān)授權(quán)功能的調(diào)試信息
debug aaa accounting 顯示有關(guān)記帳功能的調(diào)試信息
以上內(nèi)容來源互聯(lián)網(wǎng),希望對(duì)大家有所幫助。