AAA认证实列分析
aaa new-model
!—激活AAA访问控制
aaa authentication login default tacacs+ local
①用户登录时默认起用Tacacs+(这个是默认的名字,可以通过命令更改这个默认列表名)做AAA认证,不成功就用本地数据库(username);
② 当vty上设了pssword时,只有在local后面加上line才起作用,这时登录界面还是以username开头,这时用户名和密码都是在vty设的password密码,如pass zy;登录时,username:zy / pssword:zy,这样进入用户exec,然后通过在router上设置的enable进入特权exec;
③如果在列表最后加none,那么就不需要认证直接进入用户exec界面,然后再根据enable密码进入特权exec;
aaa authentication login vty local
!—列表名为vty,调用才能生效,如logging authen vty,加了前面那句后,这句加上就没什么意义了
aaa authentication enable default group tacacs+ enable
!—enable密码的授权交给tacacs+,如果失败,用本地enable密码进行验证
aaa authentication ppp default tacacs+
!—在运行PPP的串行线上采用Tacacs+做认证
aaa authorization exec default if-authenticated group tacacs+ local
!—如果认证通过,AAA授权exec(这里其实跟linux中的shell差不多),根据版本不同,命令的写法可能也不同。
aaa authorization network tacacs+
!—由TACACS+服务器授权与网络相关的服务请求。
aaa accounting exec default start-stop group tacacs+
!—为EXEC会话运行记帐.进程开始和结束时发通告给TACACS+服务器。
aaa accounting network start-stop tacacs+
!—为与网络相关的服务需求运行记帐包括SLIP,PPP,PPP NCPs,ARAP等。在进程开始和结束时发通告给TACACS+服务器。
aaa accounting commands 15 default stop-only group tacacs+
!—用AAA来记录权限为15的命令
tacacs-server host 10.111.4.2
!—指定Tacacs服务器地址
tacacs-server key tac
!—在Tacacs+服务器和访问服务器设定共享的关键字,访问服务器和Tacacs+服务器使用这个关键字去加密口令和响应信息。这里使用tac作为关键字。
注意:以上如果用了自定义的列表名,那么必须在相应的接口上激活认证,才能生效!
以上只是介绍了router下AAA的配置,在ACS上也需要做相应的操作,才能达到预期的效果!
2017-5-18 更新:在9k上,telnet/ssh 通过AAA认证,但不包含console
可以参考下面配置实例,console不应用AAA认证的template,AAA只针对特定的template,这样default list就没特别定义,不走AAA了:RP/0/RSP0/CPU0:SZ-BR2#sh run aaa Mon May 18 03:23:38.992 UTC radius source-interface MgmtEth0/RSP0/CPU0/0 vrf default radius-server host 10.x.x.x auth-port 1812 acct-port 1813 key 7 05080F1C22431F5B4A ! aaa authentication login AUTH group radius local RP/0/RSP0/CPU0:SZ-BR2#sh run line console Mon May 18 03:23:47.019 UTC line console exec-timeout 5 0 stopbits 1 length 0 ! RP/0/RSP0/CPU0:SZ-BR2#sh run line default Mon May 18 03:23:51.874 UTC line default session-limit 10 ! RP/0/RSP0/CPU0:SZ-BR2# RP/0/RSP0/CPU0:SZ-BR2#sh run line template vty Mon May 18 03:23:58.473 UTC line template vty login authentication AUTH session-limit 10 ! RP/0/RSP0/CPU0:SZ-BR2# RP/0/RSP0/CPU0:SZ-BR2#show run vty-pool default 0 9 Mon May 18 03:24:40.333 UTC vty-pool default 0 9 line-template vty
本文出自 Frank's Blog2018-1-12 更新:在9k上,telnet/ssh 通过AAA认证,但不包含console
这是第二种解决方法,先local,后tacacs,这样local不ok后,会自动跳转到tacacs,如下配置:local user/pass: zelda/zelda
ACS user/pass: test/cisco
Enable debug: “debug aaa authentication” and “debug telnetd detail”RP/0/RSP0/CPU0:ASR9001-A#sh run aaa Fri Jan 12 18:46:46.340 Beijing tacacs source-interface MgmtEth0/RSP0/CPU0/0 vrf default tacacs-server host 10.x.x.x port 49 key 7 104D000A0618 ! aaa authentication login default local group tacacs+
十分感谢你无私提供的资料!!!!!
谢谢!