AAA认证实列分析

0

aaa new-model
!—激活AAA访问控制
aaa authentication login default tacacs+ local
①用户登录时默认起用Tacacs+(这个是默认的名字,可以通过命令更改这个默认列表名)做AAA认证,不成功就用本地数据库(username);

② 当vty上设了pssword时,只有在local后面加上line才起作用,这时登录界面还是以username开头,这时用户名和密码都是在vty设的password密码,如pass zy;登录时,username:zy / pssword:zy,这样进入用户exec,然后通过在router上设置的enable进入特权exec;

③如果在列表最后加none,那么就不需要认证直接进入用户exec界面,然后再根据enable密码进入特权exec;
aaa authentication login vty local
!—列表名为vty,调用才能生效,如logging authen vty,加了前面那句后,这句加上就没什么意义了
aaa authentication enable default group tacacs+ enable
!—enable密码的授权交给tacacs+,如果失败,用本地enable密码进行验证
aaa authentication ppp default tacacs+
!—在运行PPP的串行线上采用Tacacs+做认证
aaa authorization exec default if-authenticated group tacacs+ local
!—如果认证通过,AAA授权exec(这里其实跟linux中的shell差不多),根据版本不同,命令的写法可能也不同。
aaa authorization network tacacs+
!—由TACACS+服务器授权与网络相关的服务请求。
aaa accounting exec default start-stop group tacacs+
!—为EXEC会话运行记帐.进程开始和结束时发通告给TACACS+服务器。
aaa accounting network start-stop tacacs+
!—为与网络相关的服务需求运行记帐包括SLIP,PPP,PPP NCPs,ARAP等。在进程开始和结束时发通告给TACACS+服务器。
aaa accounting commands 15 default stop-only group tacacs+
!—用AAA来记录权限为15的命令
tacacs-server host 10.111.4.2
!—指定Tacacs服务器地址
tacacs-server key tac
!—在Tacacs+服务器和访问服务器设定共享的关键字,访问服务器和Tacacs+服务器使用这个关键字去加密口令和响应信息。这里使用tac作为关键字。

注意:以上如果用了自定义的列表名,那么必须在相应的接口上激活认证,才能生效!

以上只是介绍了router下AAA的配置,在ACS上也需要做相应的操作,才能达到预期的效果!

2017-5-18 更新:在9k上,telnet/ssh 通过AAA认证,但不包含console
可以参考下面配置实例,console不应用AAA认证的template,AAA只针对特定的template,这样default list就没特别定义,不走AAA了:

RP/0/RSP0/CPU0:SZ-BR2#sh run aaa
Mon May 18 03:23:38.992 UTC
radius source-interface MgmtEth0/RSP0/CPU0/0 vrf default
radius-server host 10.x.x.x auth-port 1812 acct-port 1813
key 7 05080F1C22431F5B4A
!
aaa authentication login AUTH group radius local
 
RP/0/RSP0/CPU0:SZ-BR2#sh run line console
Mon May 18 03:23:47.019 UTC
line console
exec-timeout 5 0
stopbits 1
length 0
!
 
RP/0/RSP0/CPU0:SZ-BR2#sh run line default
Mon May 18 03:23:51.874 UTC
line default
session-limit 10
!
 
RP/0/RSP0/CPU0:SZ-BR2#
RP/0/RSP0/CPU0:SZ-BR2#sh run line template vty
Mon May 18 03:23:58.473 UTC
line template vty
login authentication AUTH
session-limit 10
!
 
RP/0/RSP0/CPU0:SZ-BR2#
RP/0/RSP0/CPU0:SZ-BR2#show run vty-pool default 0 9
Mon May 18 03:24:40.333 UTC
vty-pool default 0 9 line-template vty

2018-1-12 更新:在9k上,telnet/ssh 通过AAA认证,但不包含console
这是第二种解决方法,先local,后tacacs,这样local不ok后,会自动跳转到tacacs,如下配置:

local user/pass: zelda/zelda
ACS user/pass: test/cisco
Enable debug: “debug aaa authentication” and “debug telnetd detail”

RP/0/RSP0/CPU0:ASR9001-A#sh run aaa
Fri Jan 12 18:46:46.340 Beijing
tacacs source-interface MgmtEth0/RSP0/CPU0/0 vrf default
tacacs-server host 10.x.x.x port 49
key 7 104D000A0618
!
aaa authentication login default local group tacacs+
本文出自 Frank's Blog

版权声明:


本文链接:AAA认证实列分析
版权声明:本文为原创文章,仅代表个人观点,版权归 Frank Zhao 所有,转载时请注明本文出处及文章链接
你可以留言,或者trackback 从你的网站

No Responses to “AAA认证实列分析”

  1. Ding说道:

    十分感谢你无私提供的资料!!!!!

    0
  2. 小鱼说道:

    谢谢!

    0

留言哦

blonde teen swallows load.xxx videos