cisco AAA認證服務器及設備配置

來源:本站原創 CISCO 超過2,055 views圍觀 0條評論

AAA代表Authentication、Authorization、Accounting,意為認證、授權、記帳,其主要目的是管理哪些用戶可以訪問服務器,具有訪問權的用戶可以得到哪些服務,如何對正在使用網絡資源的用戶進行記帳。
1、 認證:驗證用戶是否可以獲得訪問權限——“你是誰?”
2、 授權:授權用戶可以使用哪些資源——“你能干什么?”
3、 記帳:記錄用戶使用網絡資源的情況——“你干了些什么?”
好的,簡單的了解理論知識后,接下來我們還是以實驗的方式來進行講解:
為網絡提供AAA服務的,主要有TACACS+和RADIUS協議,我們主要介紹是TACACS+協議,因為它運行在TCP協議基礎之上,更適合大型網絡,特別是融合型網絡
一、 實驗拓撲介紹


該實驗主要完成R1路由通過ACS服務器實現AAA認證,包括驗證、授權和記帳,同時還包括PPP驗證和計時通過cisco ACS實驗
二、 安裝cisco ACS
1、 硬軟件要求
硬件:Pentium IV 處理器, 1.8 GHz 或者更高
操作系統:Windows 2000 Server
Windows 2000 Advanced Server (Service Pack 4)
Windows Server 2003, Enterprise Edition or Standard
Edition (Service Pack 1)
內存:最小1GB
虛擬內存:最小1GB
硬盤空間:最小1GB可用空間,實際大小根據日志文件的增長,復制和備份的需求而定。
瀏覽器:Microsoft Internet Explorer 6 或者更高版本
JAVA運行環境:Sun JRE 1.4.2_04 或更高版本
網絡要求:
在CISCO IOS 設備上為了全面的支持TACACS+ 和 RADIUS,AAA 客戶端必須運行Cisco IOS 11.1 或者更高的版本。
非CISCO IOS 設備上必須用TACACS+,RADIUS或者兩者一起配置。
運行ACS的主機必須能ping通所有的AAA客戶端。
2、 安裝方法(我們用的版本是4.0版本)
打開ACS安裝程序文件夾,選中setup 雙擊。進入安裝向導,根據提示進行安裝,基本為默認設置
3、 安裝完成后的訪問
在運行ACS的主機上,通過桌面上的ACS Admin 網頁圖標,可以訪問ACS的web格式的管理臺。也可以通過網頁瀏覽器輸入地址:http://127.0.0.1:2002 來訪問ACS。
注:
? Windows Xp不支持cisco ACS,在此筆者是在虛機中的windows2003sever下安裝的
? ACS安裝完成后,一定要安裝JAVA平臺,否則該ACS將不能正常使用,筆者在此安裝的是jre-6u12-windows-i586-p-s.exe,版本為JRE 版本 1.6.0_12 Java HotSpot(TM)
三、 ACS的配置
1、 設置ACS管理員帳號
Step 1>點擊ACS界面左邊的Administration control 按鈕 ,然后點擊Administrator control界面中的Add Administrator

http://img.bimg.126.net/photo/_uOxvHseo60_h86-FnG_fg==/449234062847054771.jpg
Step 2>點擊Add administrator 后出現此賬戶的諸多選項,逐一填寫后點擊Submit
http://img.bimg.126.net/photo/7qBPXBB2fChotzUae7-hRA==/449234062847054772.jpg
Step3>設置了管理員后就可以通過web界面登錄到ACS服務器對ACS進行配置
如:http://10.10.10.110:2002
2、 ACS網絡設置(添加Tacacs+客戶端
Step1>點擊ACS界面的Network Configuration按鈕 ,出現網絡配置界面,然后點擊Add Entry,
http://img.bimg.126.net/photo/KOYQ_fJLwUnLN9VqtBo83g==/449234062847054773.jpg
Step2>添加Tacacs+客戶端(ACS中必須指定Tacacs+客戶端的名字、IP地址、key)
http://img.bimg.126.net/photo/wLfJSUmUD0ydQAGido3riw==/449234062847054774.jpg
3、 Tacacs+設置
Step1>點擊ACS界面左邊Interface configuration 按鈕 ,選擇TACACS+ (Cisco IOS)
http://img.bimg.126.net/photo/8GxQlsA030ip6iwjOdfkbA==/449234062847054775.jpg
Step2>根據個人具體應用,在Tacacs+相關項目中打勾(如果沒有將tacacs+相關項目選中,則在用戶組/用戶屬性中將不會出現tacacs+相關項目)
http://img.bimg.126.net/photo/6j23lxHawYORliLCQVnmMQ==/449234062847054776.jpg
http://img.bimg.126.net/photo/9b8kbPQrXh3zn3rc4BCMJA==/449234062847054777.jpg
4、 設備端tacacs+服務器的指定
在cisco設備端用以下命令指定ACS tacacs+服務器
R1(config)# tacacs-server host 10.10.10.110
R1(config)# tacacs-server directed-request
R1(config)# tacacs-server key xinhua
5、 添加用戶組
Step1>在ACS界面左邊點擊Group Setup
http://img.bimg.126.net/photo/Me86wU-SvYyqLHueZXwRsQ==/449234062847054778.jpg
Step2>在下拉列表中選取某個組,給這個組重命名,接著選擇Edit setting進入組的屬性配置
Step3>在組的enable option 中的Max privilege for any AAA Client設置組的級別
6、 添加用戶
Step1>在ACS界面的左邊點擊user setup 按鈕
http://img.bimg.126.net/photo/Pv9QXSAUhlbXZsFRQifQLw==/449234062847054779.jpg
Step2>在user方框中填寫用戶名,然后點擊ADD/Edit
Step3>在出現的用戶屬性中逐一填寫
http://img.bimg.126.net/photo/cYH4ZaA5Lu60MHCtzQ7AwA==/449234062847054780.gif
Step4>選擇用戶屬于哪個用戶組
http://img.bimg.126.net/photo/rRXUVej-A0amM_IsCcO0Lg==/449234062847054781.jpg
Step5>選擇用戶屬于的級別(可以定義單個用戶級別,也可以和所屬的用戶組級別一樣)
http://img.bimg.126.net/photo/MevyOjsCAblmCJlNJM21iw==/449234062847054782.jpg
Step6>設置用戶的enable 密碼
http://img.bimg.126.net/photo/lroMMn9CWGFwiE6FC60C7Q==/449234062847054783.jpg
好的,到這里基本配置就算是配完了,接下來我們來演示一下AAA功能的實現
四、 ACS功能設置
1、 ACS認證
a) 在設備端定義tacacs+服務器地址以及key
R1(config)# tacacs-server host 10.10.10.110
R1(config)# tacacs-server directed-request
R1(config)# tacacs-server key xinhua
b) 在ACS端定義設備的IP地址(參考ACS基本配置)
c) 在ACS上面建立用戶名和用戶組
d) 在設備端配置AAA認證
R1(config)# enable secret 123 ‘定義enable密碼
R1(config)# username abc password 456 ‘定義本地數據庫
R1(config)# aaa new-model???? ‘啟用AAA認證
R1(config)# aaa authentication login default group tacacs+ local ‘設置登陸驗證默認為采用先ACS服務器再本地驗證(當ACS服務器不可達才用本地數據庫驗證)
R1(config)# aaa authentication enable default group tacacs+ enable ‘設置enable進入特權模式默認為采用先ACS服務器再本地enable設置的密碼
R1(config)# line vty 0 4
R1(config)# login authentication default ‘設置telnet登陸采用前面定義的default
e) 驗證
? telnet登陸:telnet 10.10.10.100,輸入ACS服務器的用戶名和密碼,登陸成功,用本地數據庫用戶名和密碼登陸失敗(因為根據前面設置,R1首先會去ACS服務器進行驗證,當ACS服務器不可達時,才會用本地數據庫驗證)
http://img.bimg.126.net/photo/-r7zEpkpW1fVH-uuNJY-pw==/449234062847054784.jpg
我們可以試著斷開ACS與路由的連接,然后再進行登陸,這時則必須用本地數據庫驗證,也就是用戶名為abc 密碼為456
? enable進入特權測試
http://img.bimg.126.net/photo/FZy2-obdFbRvez1ZkkwXHg==/449234062847054785.jpg
此時輸入特權模式密碼為ACS服務器上的密碼,而非本地路由的enable密碼
2、 ACS授權
ACS中可以通過設置用戶組/用戶的級別privilege來實現不同用戶登錄設備后可用的命令的不同,也可以通過使用ACS的命令授權來實現不同用戶登錄設備的可用命令條目,以下介紹ACS的命令授權
Step1>在ACS的界面左邊的share profile components按鈕
http://img.bimg.126.net/photo/vrKGflk8tyN1g160kDJrrw==/449234062847054786.jpg
Step2>點擊shell command authorization sets

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文鏈接:http://www.qdxgqk.live/?p=305轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
  • 相關文章
  • 為您推薦
  • 各種觀點
?
暫時還木有人評論,坐等沙發!
發表評論

您必須 [ 登錄 ] 才能發表留言!

?
?
萌宠夺宝游戏