Настройка аутентификации aaa на маршрутизаторах cisco

Обновлено: 06.07.2024

Authentication, Authorization, and Accounting (AAA) - Аутентификация, авторизация и акаутинг.

Обзор конфигурации AAA

2. Если Вы решите использовать расширенные возможности security сервера, то сможете настроить использование параметров security протоколов, таких как RADIUS, TACACS+, или Kerberos.

3. Определите методы списков для аутентификации используя команду
aaa authentication .

4. Примените методы списков к отдельным интерфейсам или line, если это потребуется.

5. (Опционально) Настройте авторизацию, используя команду
aaa authorization .

6. (Опционально) Настройте аккаутинг, используя команду
aaa accounting .

Конфигурация Аутентификации.

Рассмотрим методы аутентификации:

1) Настройка Login аутентификации используя AAA

Выполняйте следующие команды в режиме глобального конфигурирования:

Список поддерживаемых методов аутентификации при настройке login

enable Используется пароль enable для аутентификации.
krb5 Используется Kerberos 5 для аутентификации.
krb5-telnet Используется Kerberos 5 Telnet протокол аутентификации, когда используется Telnet для подключения к роутеру. Если выбрана эта аутентификация, то данный метод должен быть первым в списке методов аутентификации.
line Используется пароль line для аутентификации.
local Используется локальная база данных пользователей для аутентификации.
local-case Используется чувствительная к регистру локальная база данных пользователей для аутентификации.
none Не использовать аутентификацию.
group radius Использовать список всех RADIUS серверов для аутентификации.
group tacacs+ Использовать список всех TACACS+ серверов для аутентификации.
group group-name Использовать подмножество RADIUS или TACACS+ серверов для аутентификации, которая определена группой ааа radius сервера или группой сервера tacacs+

Примеры настройки видов аутентификации при методе login

aaa authentication login default enable

aaa authentication login default krb5

aaa authentication login default line

aaa authentication login default local

aaa authentication login default group radius

aaa authentication login default group tacacs+

aaa group server radius loginrad

server 172.16.2.3
server 172.16.2 17
server 172.16.2.32

Настройка PPP аутентификации Используя AAA

Список методов аутентификации для метода PPP

if-needed Не аутентифицировать, если пользователь уже аутентифицировался на TTY line.
krb5 Использовать Kerberos 5 для аутентификации (может быть использовано только с PAP аутентификацией)
local Использовать локальную базу данных пользователей для аутентификации.
local-case Использовать чувствительную к регистру локальную базу данных пользователей для аутентификации.
none Не использовать аутентификацию
group radius Использовать список всех RADIUS серверов для аутентификации.
group tacacs+ Использовать список всех TACACS+ серверов для аутентификации.
group group-name Использовать подмножество RADIUS или TACACS+ серверов для аутентификации, которая определена группой ааа radius сервера или группой сервера tacacs+
Более подробно методы аутентификации описаны на сайте производителя.

Авторизация: краткий обзор

Список названий методов для авторизации:

Типы AAA авторизации:

AAA (Authentication Authorization and Accounting) — система аутентификации авторизации и учета событий, встроенная в операционную систему Cisco IOS, служит для предоставления пользователям безопасного удаленного доступа к сетевому оборудованию Cisco. Она предлагает различные методы идентификации пользователя, авторизации, а также сбора и отправки информации на сервер.

Однако мало того, что ааа по умолчанию выключена; конфигурация этой системы — дело довольно запутанное. Недочеты в конфигурации могут привести либо к нестабильному, небезопасному подключению, либо к отсутствию какого-либо соединения в принципе. В данной статье мы подробно разберем схему настройки аутентификации при помощи aaa.

В общем виде схема аутентификации выглядит так:

Рис. 1. Схема аутентификации (по клику открывается в полном размере)

Рис. 2. Схема аутентификации (продолжение, по клику открывается в полном размере)

Схема разделена на две части не случайно: в первой описывается основной путь прохождения от управляющих линий (vty или con) до методов аутентификации, во второй — сами способы аутентификации.

Но обо всем по порядку.

Отсутствие aaa new-model

В данном случае речь идет о правой части схемы (см. рис. 1).

Рис. 3. Схема аутентификации без aaa new-model

Как уже было сказано, по умолчанию сервис aaa new-model выключен. Подключение к устройству может быть выполнено либо физически, путем подключения через консольный порт (line console 0) без ввода каких-либо учетных данных, либо через протокол TELNET (line vty). Причем в последнем случае, даже если задать IP-адрес на Cisco, получить доступ к устройству не получится ввиду отсутствия пароля (способ аутентификации “line”, см. рис. 3). Если пароль на линии vty задан, то устройство потребует от вас только ввести пароль, что существенно снижает безопасность подключения, так как для входа не требуется вводить логин; впрочем, тут все, конечно, зависит также от сложности пароля, который вы настроили.

При выполнении команды “login local” устройство, установив соединение, будет требовать ввести логин и пароль для входа.

Итак: в случае отсутствия aaa new-model максимум, которого вы можете требовать от Cisco IOS, — это использование пароля (способ аутентификации “line”) и использование логина и пароля из локальной базы данных (способ аутентификации “local”).

Рис. 4. Способы аутентификации без aaa new-model

Конфигурация aaa new-model

Преимущество конфигурации aaa в том, что она содержит множество методов аутентификации (в отличие от предыдущего случая). Включение aaa происходит путем добавления команды aaa new-model в режиме глобальной конфигурации. Далее предстоит выбор методов аутентификации. Все методы организуются в списки, которым присваивается либо значение default, либо конкретное имя списка (list-name). Таким образом, на разные типы линий (aux, vty, con. ) можно «повесить» разные методы аутентификации, разграничив доступ между пользователями.

Пример настройки aaa new-model и списков аутентификации:

Методы

Как было сказано ранее, методов аутентификации в aaa довольно много. Попробуем перечислить наиболее распространенные:

Наиболее интересным методом аутентификации является group: он довольно часто встречается в средних и крупных компаниях.

Ниже представлен пример настройки метода group, который обязательно должен реализовываться в совокупности со списками аутентификации.

Пример добавления группы серверов и частного сервера Radius:

Рис. 5. Настройка аутентификации для метода group

Вот, собственно, и вся информация, которая поможет вам успешно настроить аутентификацию на вашем сетевом устройстве. Следуйте схеме, и если ваши настройки привели к “true”, значит будет счастье, а если к “false” — посмотрите на конфигурацию внимательно: возможно, где-то допущена ошибка или доступ к устройству возможен без ввода логина и пароля (способ аутентификации “none”). Надеюсь, статья оказалась полезной и помогла вам разобраться в нюансах конфигурации aaa.
Мы же, в свою очередь, всегда стараемся автоматизировать такие сложные проверки. Как пример — результат проверки MaxPatrol относительно службы ААА:

Этот документ был переведен Cisco с помощью машинного перевода, при ограниченном участии переводчика, чтобы сделать материалы и ресурсы поддержки доступными пользователям на их родном языке. Обратите внимание: даже лучший машинный перевод не может быть настолько точным и правильным, как перевод, выполненный профессиональным переводчиком. Компания Cisco Systems, Inc. не несет ответственности за точность этих переводов и рекомендует обращаться к английской версии документа (ссылка предоставлена) для уточнения.

Содержание

Введение

В данном документе объясняется, как настроить аутентификацию, авторизацию и учет (Authentication, Authorization and Accounting — AAA) на маршрутизаторе Cisco с использованием протоколов Radius или TACACS+. Целью данного документа является не перечисление всех функций аутентификации, авторизации и учета, а объяснение основных команд с примерами и рекомендациями.

Примечание.Прочитайте раздел по общей настройке ААА, перед тем как перейти к настройке Cisco IOS®. В противном случае возможны ошибки в настройке и последующая блокировка.

Перед началом работы

Условные обозначения

Предварительные условия

Используемые компоненты

Информация в данном документе основана на программном обеспечении основной линии Cisco IOS версии 12.1.

Сведения, содержащиеся в данном документе, были получены с устройств в специальной лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. При работе с реальной сетью необходимо полностью осознавать возможные результаты использования всех команд.

Схема сети

Общая настройка AAA

Включение AAA

Чтобы включить AAA, настройте в глобальной конфигурации команду aaa new-model.

Примечание.Пока эта команда не активирована, все другие команды AAA скрыты.

******************************* Warning *******************************: Команда aaa new-model сразу применяет локальную аутентификацию ко всем линиям и интерфейсам (кроме консольной линии line con 0). Если сеанс Telnet установлен с маршрутизатором после активации этой команды (или если время ожидания соединения истекло и требуется повторное соединение), пользователь должен пройти аутентификацию с использованием локальной базы данных маршрутизатора. Чтобы избежать блокировки маршрутизатором, перед началом настройки ААА рекомендуется определить на сервере доступа имя пользователя и пароль. Сделайте это следующим образом:

Совет: Сохраните конфигурацию до настройки команд AAA. Только после того, как вы полностью завершите настройку AAA (и удостоверитесь в правильности работы), можно сохранить конфигурацию снова. Это позволяет проводить восстановление после непредвиденных блокировок (до сохранения конфигурации) путем перезагрузки маршрутизатора.

Выбор внешнего сервера AAA

В глобальной конфигурации определите протокол безопасности, используемый с функциями AAA (Radius, TACACS+). Если эти два протокола не подходят, можно использовать локальную базу данных на маршрутизаторе.

Если вы используете протокол TACACS+, введите команду tacacs-server host <IP-адрес_сервера_AAA> <ключ>.

Если вы используете протокол Radius, введите команду radius-server host <IP-адрес_сервера_AAA> <ключ>.

Настройка сервера AAA

На сервере ААА настройте следующие параметры:

Имя сервера доступа.

IP-адрес, который сервер доступа использует для связи с сервером AAA.

Примечание.Если оба устройства расположены в одной и той же сети Ethernet, то по умолчанию при отправке пакета ААА сервер доступа использует IP-адрес, определенный в интерфейсе Ethernet. Эта проблема становится важной, когда маршрутизатор имеет несколько интерфейсов (и соответственно несколько адресов).

Тот же ключ <ключ>, что и заданный на сервере доступа.

Примечание.Ключ интерпретируется с учетом регистра символов.

Протокол, используемый сервером доступа (TACACS+ или RADIUS).

Точная процедура, используемая для настройки указанных выше параметров, описана в документации сервера ААА. Если сервер AAA настроен неверно, запросы AAA от сетевого устройства хранения данных будут игнорироваться сервером AAA и подключение может быть прервано.

Сервер AAA должен быть доступен по IP-протоколу с сервера доступа (выполните эхо-запрос для проверки подключения).

Настройка аутентификации

Аутентификация служит для проверки личности пользователей, прежде чем им будет предоставлен доступ к сети и к сетевым сервисам (для проверки которых используется авторизация).

Настройка аутентификации ААА:

Сначала определите именованный список способов аутентификации (в режиме глобальной конфигурации).

Примените данный список к одному или нескольким интерфейсам (в режиме конфигурации интерфейса).

Единственным исключением является список методов по умолчанию (который называется «default»). Список методов по умолчанию автоматически применяется ко всем интерфейсам, кроме тех, у которых есть явно определенный именованный список методов. Определенный список методов переопределяет список методов по умолчанию.

Ниже приведены примеры аутентификации по протоколу Radius, при входе в систему и по протоколу РРР (наиболее часто используемый способ, чтобы объяснить методы и именованные списки. Во всех примерах протокол TACACS+ может быть заменен Radius или локальной аутентификацией.

Программное обеспечение Cisco IOS использует для аутентификации пользователей первый метод. Если этот метод не отвечает (о чем сообщает слово ERROR), программное обеспечение Cisco IOS выбирает следующий метод аутентификации из списка методов. Этот процесс продолжается до тех пор, пока посредством указанного в списке метода не будет установлено соединение или пока не будет осуществлена попытка подключения всеми указанными способами.

Важно отметить, что программное обеспечение Cisco IOS пытается выполнить аутентификацию с помощью следующего метода из списка, только если предыдущий метод не дал результатов. Если произошел сбой аутентификации на любом этапе цикла, то есть, сервер ААА или локальная база данных имен пользователей отказывается предоставить доступ пользователю (на что указывает слово FAIL), процесс аутентификации останавливается и другие методы не применяются.

Для выполнения аутентификации пользователей необходимо настроить имя пользователя и пароль в сервере ААА.

Аутентификация при входе в систему

При помощи команды aaa authentication login можно выполнить аутентификацию пользователей, которым требуется доступ к серверу доступа с правами выполнения (TTY, VTY, консоль и AUX).

Пример 1: Доступ с правами выполнения с использованием протокола Radius, затем локального метода

В приведенной выше команде:

именованный список — это список по умолчанию (default).

существуют два метода аутентификации (групповой RADIUS и локальный).

Все пользователи проходят аутентификацию на сервере Radius (первый метод). Если сервер Radius не отвечает, то используется локальная база данных маршрутизатора (второй метод). Для локальной аутентификации определите имя пользователя и пароль:

Так как используется список по умолчанию в команде aaa authentication login, аутентификация при входе в систему будет автоматически выполнена для всех соединений при входе в систему (таких как TTY, VTY, консоль и AUX).

Примечание.Сервер (Radius или TACACS+) не отвечает на запрос aaa authentication, отправленный сервером доступа, если отсутствует IP-соединение, если сервер доступа неправильно определен на сервере ААА либо если сервер ААА неправильно определен на сервере доступа.

Примечание.Если использовать пример, приведенный выше, не включая ключевое слово «local», то получится следующее:

Примечание.Если сервер AAA не отвечает на запрос проверки подлинности, аутентификация закончится неудачно (поскольку маршрутизатор не имеет альтернативного способа).

Примечание.Ключевое слово group позволяет группировать имеющиеся серверные хосты. Данная возможность позволяет выбирать подмножество настроенных серверных хостов и использовать их для той или иной службы. Дополнительные сведения по этой функции см. в документе Группа серверов AAA.

Пример 2: Доступ к консоли с использованием пароля линии

Давайте Давайте Давайте Расширим конфигурацию, использовавшуюся в примере 1, так чтобы при входе на консоль выполнялась только аутентификация по паролю, заданному для линии консоли 0.

Список CONSOLE определен и применяется к линии консоли 0.

В приведенной выше команде:

именованный список – это CONSOLE.

существует только один способ аутентификации (линейный).

После того, как создан именованный список (в данном случае CONSOLE), чтобы он вступил в силу, его необходимо применить к линии или интерфейсу. Для этого используется команда login authentication имя_списка:

Список CONSOLE переопределяет список методов по умолчанию для линии консоли 0. Чтобы получить доступ к консоли, введите пароль «cisco» (настроен для линии консоли 0). Список по умолчанию по-прежнему используется для соединений TTY, VTY и AUX.

Примечание.Для аутентификации доступа к консоли по локальному имени пользователя и паролю используйте следующую команду:

Примечание.В этом случае в локальной базе данных маршрутизатора должны быть настроены имя пользователя и пароль. Список необходимо также применить к линии или интерфейсу.

Примечание.Чтобы аутентификация отсутствовала, используйте команду

Примечание.В данном случае аутентификация при доступе к консоли отсутствует. Список необходимо также применить к линии или интерфейсу.

Пример 3: Переход в привилегированный режим (enable) с использованием внешнего сервера AAA

Чтобы перейти в режим enable, введите команды аутентификации (привилегии уровня 15).

Будет запрашиваться только пароль, имя пользователя — $enab15$. Следовательно, имя пользователя $enab15$ должно быть определено на сервере AAA.

Если сервер Radius не отвечает, нужно ввести разрешающий пароль, локально настроенный на маршрутизаторе.

Аутентификация по протоколу PPP

Для аутентификации соединения РРР используется команда aaa authentication ppp. Обычно проводится аутентификация удаленных пользователей, подключенных через сеть ISDN или аналоговую сеть, которым нужен доступ к Интернету или к сети центрального офиса через сервер доступа.

Пример 1: Единый метод аутентификации по протоколу РРР для всех пользователей

Сервер доступа имеет интерфейс ISDN, настроенный на прием вызовов от внешних клиентов РРР. Используется команда dialer rotary-group 0, но настройку можно выполнить на главном интерфейсе или интерфейсе профиля номеронабирателя.

Эта команда обеспечивает аутентификацию всех пользователей PPP, использующих Radius. Если сервер Radius не отвечает, используется локальная база данных.

Пример 2: Аутентификация по протоколу PPP с помощью определенного списка

Чтобы использовать именованный список вместо списка по умолчанию, введите следующие команды:

В этом примере списком является ISDN_USER, а методом — Radius.

Пример 3: Запуск протокола РРР в сеансе в символьном режиме

Сервер доступа имеет внутреннюю плату модема (Mica, Microcom или Next Port). Давайте Давайте Давайте Предположим, что обе команды — aaa authentication login и aaa authentication ppp — настроены.

Если пользователь модема сначала получает доступ к маршрутизатору через сеанс выполнения в символьном режиме (например, с помощью окна терминала после набора), аутентификация пользователя выполняется на линии TTY. Чтобы инициировать сеанс в пакетном режиме, пользователям следует ввести команду ppp default или ppp. Поскольку аутентификация по протоколу PPP настроена явно (с использованием команды aaa authentication ppp), аутентификация пользователя снова выполняется на уровне PPP.

Чтобы избежать этой повторной аутентификации, можно использовать ключевое слово if-needed.

Примечание.Если клиент начинает сеанс PPP напрямую, аутентификация по протоколу PPP осуществляется сразу, так как для входа на сервер доступа не требуется регистрации.

Настройка авторизации

Авторизация — это процесс, который позволяет контролировать, что пользователь может и не может делать.

Правила авторизации AAA идентичны правилам аутентификации:

Сначала определите именованный список способов авторизации.

Далее примените данный список к одному или нескольким интерфейсам (за исключением списка методов по умолчанию).

Используется первый метод в списке; в случае сбоя используется второй метод и т. д.

Списки методов зависят от запрошенного типа авторизации. В данном документе рассматриваются авторизация выполнения и авторизация сети.

Авторизация выполнения

Команда aaa authorization exec определяет, обладает ли пользователь правами на запуск оболочки EXEC. Это средство должно вернуть информацию о профиле пользователя, такую как данные автокоманд, время ожидания простоя, таймаут сеанса, список доступа, привилегии и другие факторы, индивидуальные для каждого пользователя.

Авторизация выполнения выполняется только по линиям VTY и TTY.

В следующем примере используется Radius.

Пример 1: Одинаковые методы аутентификации выполнения для всех пользователей

Сначала используется команда аутентификации:

Все пользователи, которые хотят войти на сервер доступа, должны авторизоваться, используя Radius (первый метод) или локальную базу данных (второй метод).

Примечание.На сервере AAA необходимо выбрать Service-Type=1 (login).

Примечание.В этом примере, если не указано ключевое слово local и сервер AAA не отвечает, то авторизация никогда не будет возможной и произойдет сбой соединения.

Примечание.В приведенных ниже примерах 2 и 3 добавлять какие-либо команды на маршрутизаторе не требуется, а нужно только настроить профиль на сервере доступа.

Пример 2: Назначение уровней привилегий выполнения с сервера AAA

Руководствуясь примером 1, если пользователю, выполняющему вход на сервер доступа, разрешено непосредственно входить в привилегированный режим enable, настройте следующую AV-пару Cisco на сервере ААА:

Это означает, что пользователь перейдет непосредственно в режим enable.

Примечание.Если для первого метода ответ не получен, то используется локальная база данных. Однако пользователь не войдет непосредственно в режим enable, ему придется ввести команду enable и указать разрешающий пароль (enable).

Пример 3: Назначение времени ожидания простоя от сервера ААА

Для настройки времени ожидания простоя (так, чтобы в случае отсутствия трафика по истечении этого времени сеанс прекращался) используйте атрибут RADIUS IETF 28: Idle-Timeout для профиля пользователя.

Авторизация сети

Команда aaa authorization network выполняет авторизацию для всех запросов сетевых сервисов, например PPP, SLIP и ARAP. В этом разделе рассматривается протокол РРР, который наиболее часто используется.

Сервер ААА проверяет, разрешен ли сеанс PPP для клиента. Более того, клиент может запросить параметры PPP: обратный вызов, сжатие, IP-адрес и т.п. Данные параметры необходимо настраивать в профиле пользователя на сервере AAA. Для определенного клиента профиль AAA может содержать время ожидания простоя, список доступа и другие атрибуты пользователя, которые будут загружены программным обеспечением Cisco IOS и применены к данному клиенту.

Следующий пример демонстрирует авторизацию с использованием Radius:

Пример 1: Одинаковые методы авторизации сети для всех пользователей

Сервер доступа используется для приема удаленных соединений PPP.

Во-первых, пользователи проходят аутентификацию (как было настроено ранее) с помощью команды:

затем они должны быть авторизованы с помощью команды:

Примечание.На сервере AAA выполните следующую настройку:

Пример 2: Применение пользовательских атрибутов

Можно использовать сервер ААА для назначения атрибутов каждого пользователя, таких как IP-адрес, номер обратного вызова, значение времени ожидания простоя номеронабирателя или список доступа и т. д.. В этом случае сетевое устройство хранения данных будет загружать соответствующие атрибуты из профиля пользователя с сервера AAA.

Пример 3: Авторизация по протоколу РРР с использованием определенного списка

Подобно аутентификации, можно настроить имя списка, а не использовать список по умолчанию:

Затем к интерфейсу применяется этот список:

Настройка учета

Функция учета AAA позволяет отслеживать сервисы, к которым пользователи получают доступ, а также потребляемый объем сетевых ресурсов.

Правила учета AAA идентичны правилам аутентификации и авторизации:

Сначала следует определить именованный список методов учета.

Далее примените данный список к одному или нескольким интерфейсам (за исключением стандартного списка методов).

Используется первый метод в списке; в случае сбоя используется второй метод и т. д.

Учет ресурсов сети служит для предоставления данных всем сеансам PPP, SLIP и ARAP (AppleTalk Remote Access Protocol): количество пакетов, количество октетов, время сеанса, время начала и окончания.

Учет выполнения предоставляет данные о пользовательских сеансах терминала выполнения (например, о сеансе Telnet) для сервера доступа к сети: время сеанса, время начала и окончания.

Нижеприведенные примеры показывают, как можно отправлять данные на сервер AAA.

Примеры настройки учета

Пример 1: Создание записей учета начала и окончания сеанса

Для каждого удаленного сеанса PPP учетные данные передаются на сервер AAA после аутентификации клиента и после отключения с использованием ключевого слова start-stop.

Пример 2: Создание только записей учета окончания сеанса

Если учетные данные нужно послать только после отключения клиента, используйте ключевое слово stop и введите следующую строку:

Пример 3: Создание записей учета ресурсов для ошибок согласования и аутентификации

До этого момента учет ААА поддерживал записи начала и окончания сеанса для вызовов, прошедших пользовательскую аутентификацию.

В случае ошибок аутентификации или согласования РРР запись аутентификации отсутствует.

В качестве решения можно использовать учет окончания сеанса для ошибок ресурса AAA:

На сервер AAA посылается запись об окончании сеанса.

Пример 4: Включение полного учета ресурсов

Для включения функции полного учета ресурсов, которая формирует запись начала сеанса при установлении вызова и запись окончания сеанса при завершении вызова, настройте следующие параметры:

Эта команда была введена в программное обеспечение Cisco IOS версии 12.1(3)T.

С помощью этой команды запись учета начала и окончания сеанса при установлении и завершении вызова позволяет отслеживать подключение ресурсов к устройству. Отдельная запись учета начала и окончания сеанса при аутентификации пользователя отслеживает процесс управления пользователями. Эти два набора записей учета связаны посредством уникального идентификатора сеанса для вызова.

Автор : Максим Хабрат, исследовательский центр Positive Research

В общем виде схема аутентификации выглядит так:

Рис. 1. Схема аутентификации (по клику открывается в полном размере)

Рис. 2. Схема аутентификации (продолжение, по клику открывается в полном размере)

Но обо всем по порядку.

Отсутствие aaa new-model

В данном случае речь идет о правой части схемы (см. рис. 1).

Рис. 3. Схема аутентификации без aaa new-model

Рис. 4. Способы аутентификации без aaa new-model

Конфигурация aaa new-model

Преимущество конфигурации aaa в том, что она содержит множество методов аутентификации (в отличие от предыдущего случая). Включение aaa происходит путем добавления команды aaa new-model в режиме глобальной конфигурации. Далее предстоит выбор методов аутентификации. Все методы организуются в списки, которым присваивается либо значениеdefault, либо конкретное имя списка (list-name). Таким образом, на разные типы линий (aux, vty, con. ) можно «повесить» разные методы аутентификации, разграничив доступ между пользователями.

Пример настройки aaa new-model и списков аутентификации:

Методы

Пример добавления группы серверов и частного сервера Radius:

Рис. 5. Настройка аутентификации для метода group

Вот, собственно, и вся информация, которая поможет вам успешно настроить аутентификацию на вашем сетевом устройстве. Следуйте схеме, и если ваши настройки привели к “true”, значит будет счастье, а если к “false” — посмотрите на конфигурацию внимательно: возможно, где-то допущена ошибка или доступ к устройству возможен без ввода логина и пароля (способ аутентификации “none”). Надеюсь, статья оказалась полезной и помогла вам разобраться в нюансах конфигурации aaa.
Мы же, в свою очередь, всегда стараемся автоматизировать такие сложные проверки. Как пример — результат проверкиMaxPatrol относительно службы ААА:

2. Освойте метод использования сервера Cisco Secure ACS для достижения аутентификации и авторизации AAA.

Во-вторых, топология сети

Три, сертификационная часть экспериментальных требований

Настроить и протестировать локальный сервер и сервер аутентификации AAA Сертификация.

2 , Настроить и протестировать локальный сервер и сервер аутентификации AAA Сертификация.

2 , Конфигурация R2 Реализация основана на TACACS+ Аутентификация сервера аутентификации. TACACS+ Конфигурация сервера аутентификации следующая:

Клиент - R2 ； key — tacacspa55

имя пользователя- Admin2 ;пароль- admin2pa55

3 , Конфигурация R3 Реализация основана на RADIUS Аутентификация сервера аутентификации. RADIUS Конфигурация сервера аутентификации следующая:

Клиент - R2 ； key — radiuspa55

имя пользователя- Admin3 ;пароль- admin3pa55

Четыре экспериментальных шага

1. Базовая конфигурация

(оборудование enable Пароль: ciscoenpa55 ， console пароль: ciscoconpa55 ， vty пароль: ciscovtypa55 ）

1. Построить сеть согласно топологической схеме;

2. Настройте IP-адрес каждого устройства в соответствии с таблицей адресов;

3. Настройте протокол маршрутизации RIPv2 для обеспечения полного сетевого подключения;

2. Проверьте базовое сетевое соединение.

3. Настройте локальную аутентификацию AAA для доступа к консоли / VTY на маршрутизаторе R1.

метод первый:

Примечания:

WORD Named authentication list

default The default authentication list

enable Использовать пароль включения для аутентификации // Использовать аутентификацию с привилегированным паролем, в это время Telnet

Если вам нужно указать имя пользователя при удаленном входе в систему, просто введите пользователя

имя(Вообще не нужен), Используйте enableПароль может успешно войти в систему.

group Use Server-group // Используйте протокол Radius или Tacacs +

krb5 Use Kerberos 5 authentication // Использовать Kerberos

line Use line password for authentication // Использовать линейную аутентификацию

local Use local username authentication // Требуется метод локальной аутентификации, имя пользователя и пароль

none NO authentication // Нет сертификации

Рекомендуется, чтобы конфигурация пароля была более сложной, с прописными и строчными буквами, специальными символами и цифрами, а также длиной более 8 цифр. Например: P @ ssw0rd

Сводка команды:

контрольная работа:

Войдите в систему удаленно через консоль и telnet, чтобы проверить метод аутентификации.

Метод 2. Настройте метод вызова списка аутентификации

Во втором методе список аутентификации для вызова аутентификации настраивается, и его нужно вызывать из консоли и интерфейса VTY. Первая конфигурация будет меньше в команде. Если имя аутентификации для входа настроено как "default" по умолчанию, его не нужно вызывать снова в VTY и консоли, поскольку локальное имя по умолчанию будет запрашиваться при выполнении аутентификации. Если список аутентификации настроен как self Определенный, например "net12", должен перейти к VTY и Console для выполнения вызовов, прежде чем аутентификация может быть пройдена. В противном случае аутентификация безопасности не выполняется при входе в систему с консоли.

4. Настройте аутентификацию AAA с помощью сервера аутентификации TACACS + на R2.

При тестировании вы должны авторизоваться с Admin2 и admin2pa55 в tacacs +.

5. Настройте аутентификацию AAA с помощью сервера аутентификации RADIUS на R3.

Просмотр пользователей на сервере аутентификации RADIUS

6. Авторизация AAA

Метод реализации 1: не имеет ничего общего с AAA и имеет низкий уровень безопасности.

Шаг 1. Настройте имя пользователя и пароль для удаленного входа. Здесь настраиваются два разных имени пользователя, и уровни этих двух пользователей различаются.Цель состоит в том, чтобы войти в систему с разными именами пользователей и паролями для входа в разные режимы работы маршрутизатора. Пароль должен отображаться в зашифрованном виде в show running-config, чтобы другие пользователи не могли смотреть на экран.

Вы можете попробовать разные уровни пользователей:

(Определите уровень полномочий, просмотрев команды, которые могут использовать разные пользователи, метод: войдите в режим пользователя и введите «?»)

Шаг 2: Результаты тестирования удаленного входа через Telnet. После успешного входа в систему вы можете ввести команду привилегий show в пользовательском режиме, чтобы просмотреть уровень безопасности пользователя.

Метод реализации второй, через реализацию AAA, высокий уровень безопасности

Определите список авторизации:

auth-proxy For Authentication Proxy Services

cache For AAA cache configuration

commands For exec (shell) commands.

config-commands For configuration mode commands.

configuration For downloading configurations from AAA server

console For enabling console authorization

exec For starting an exec (shell).

ipmobile For Mobile IP services.

network For network services. (PPP, SLIP, ARAP)

reverse-access For reverse access connections

template Enable template authorization

// Авторизуйте пользователя, который входит в систему локально. Когда пользователь пытается войти в систему с другим именем пользователя и паролем на клиенте, введенное имя пользователя и пароль отправляются на маршрутизатор, и маршрутизатор запрашивает имя пользователя и пароль локальной базы данных. Если имя пользователя и пароль получены Если заданное имя пользователя совпадает успешно, аутентификация пользователя передается. После завершения аутентификации, даже если уровень пользователя равен 15, поскольку AAA был включен, AAA имеет высокий уровень безопасности.Если вы хотите, чтобы этот пользователь с 15 уровнями входил в привилегированный режим, это должно быть достигнуто посредством авторизации.

Авторизуйте команды на уровне пользователя:

Список аутентификации звонков и список авторизации:

Используйте разные уровни пользователей для входа в систему, чтобы проверить эффект авторизации

show privilege //Просмотр текущего уровня пользователя

show user //Просмотр пользователей, вошедших в систему

Читайте также: