Настройте удаленную аутентификацию AAA с использованием серверов защиты TACACS + и RADIUS на подключение к маршрутизатору по telnet.
В списке методов аутентификации проверять сначала TACACS +, а затем RADIUS.
Имя списка – tel-log
Предусмотреть возможность доступа для отладки при отсутствии серверов защиты.
IP -адрес сервера защиты TACACS + 192.168.1.50.
Ключ шифрования – 192 tacacs.
IP -адрес сервера защиты RADIUS 192.168.1.55.
Ключ шифрования – 192radius.
|
Router(config)#aaa new-model
Router(config)# tacacs -server host 192.168.1.50 single-connection
Router(config)# tacacs -server key 192tacacs
Router(config)#radius -server host 192.168.1.55
Router(config)#radius -server key 192radius
Router (config)#aaa authentication login tel-log group tacacs+ group radius none
Router(config)#line vty 0 4
Router(config-line)#login authentication tel-log
|
Настройка авторизации AAA.
Процесс авторизации определяет полномочия пользователя. Когда пользователь пытается выполнить какую-либо команду, сервер удаленного доступа посылает запрос на разрешение выполнения этой команды серверу защиты TACACS + или RADIUS.
На сервере TACACS + процесс авторизации и аудита разделен, и может настраиваться для символьного и пакетного режима. На сервере RADIUS эти процессы объединены.
Для настройки авторизации используется команда глобального режима конфигурации aaa authorization.
Для активизации действий авторизации после ввода команд, необходимо перезагрузить маршрутизатор.
|
aaa authorization {network | exec | commands level | reverse-access } {default | list-name} method 1 [method 2] [method 3] [method 4]
network
| Авторизация для сетевых служб PPP, SLIP, ARAP.
| exec
| Авторизация для всех команд исполнительного режима (EXEC).
| commands level
| Определяет уровень привилегий исполнительного режима (EXEC) маршрутизатора, для которого применяется авторизация.
| reverse-access
| Выполнение авторизации для соединений обратного доступа, например обратного доступа Telnet.
|
Методы
if-authenticated
| Разрешено использование запрошенной команды, если пользователь аутентифицирован
| local
| Используется локальная база данных
| none
| Отказ от авторизации
| group radius
| Используется сервер RADIUS
| group tacacs+
| Используется сервер TACACS +
| krb5-instance
| Использование экземпляра, определяемого командой таблицы экземпляров Kerberos
|
Рис 3-4-12
|
3-4-13 Демонстрационный пример настройки авторизации
Надо настроить авторизацию ААА с использованием серверов защиты TACACS + и RADIUS на подключение к маршрутизатору R 1.
user12345 пароль pass12345.
admin1 пароль adminpass.
Установить авторизацию на доступ к системе команд маршрутизатора и на все запросы, связанные с сетевыми сервисами.
В списке методов авторизации проверять сначала RADIUS, а затем TACACS +.
|
Картинка 3-4-7
R1(config)#enable secret ciscopass
R1(config)#username user12345 secret pass12345
R1(config)#username admin1 secret adminpass
R1(config)#aaa new-model
R1(config)#aaa authorization exec default group radius group tacacs+
R1(config)#aaa authorization network default group radius group tacacs+
Рис 3-4-13
|
Упражнение по настройке авторизации
Настройте авторизацию ААА с использованием сервера защиты TACACS + на доступ к системе команд маршрутизатора, если пользователь аутентифицирован.
|
Router(config)#aaa new-model
Router(config)#aaa authorization exec default group tacacs+ if-authenticated
|
Настройка аудита ААА
Для настройки параметров аудита используется команда режима глобальной конфигурации aaa accounting.
Указываем направление аудита: system, network, exec, connection, commands.
После выбора направления аудита определяется режим и методы.
|
aaa accounting { system | network | exec | connection | commands} {default | list-name} {start-stop | wait-start | stop-only | none} [broadcast] group { tacacs + | radius }
Направление аудита
system
| Аудит системных событий, например - перезагрузки
| network
| Аудит запроса сетевых служб PPP, SLIP, ARAP.
| exec
| Аудит запроса команд исполнительного режима (EXEC).
| connection
| Аудит всех исходящих соединений типа Telnet или rlogin
| commands level
| Определяет уровень привилегий исполнительного режима (EXEC) маршрутизатора, для которого применяется авторизация.
|
Режимы аудита
start-stop
| Отправляются уведомления о начале и окончании аудита. Запись начала аудита посылается в фоновом режиме. Запрошенный пользователем процесс начинается, даже если уведомление о начале аудита не будет получено сервером.
| wait-start
| Отправляются уведомления о начале и окончании аудита с ожиданием подтверждения получения уведомления о начале аудита.
| stop-only
| Отправляются уведомления об окончании аудита после завершения запрошенного пользователем процесса.
| none
| Отменяет аудит для данной линии или интерфейсу.
|
Рис 3-4-15
|
3-4-17 Демонстрационный пример настройки аудита
Надо настроить аудит ААА с использованием сервера защиты TACACS + на маршрутизаторе R 1.
user12345 пароль pass12345.
admin1 пароль adminpass.
Установить аудит запроса команд исполнительного режима с ожиданием получения уведомления о начале аудита.
Установить аудит запроса сетевых служб с уведомлением о начале и конце использования сервиса.
|
Картинка 3-4-7
R1(config)#enable secret ciscopass
R1(config)#username user12345 secret pass12345
R1(config)#username admin1 secret adminpass
R1(config)#aaa new-model
R1(config)#aaa accounting exec default wait-start group tacacs+
R1(config)#aaa accounting network default start-stop group tacacs+
Рис 3-4-17
|
3-4-18 Упражнение по настройке аутентификации, авторизации и аудита
Настройте удаленную аутентификацию AAA с использованием сервера защиты RADIUS на подключение к маршрутизатору по telnet линии 1.
В списке методов аутентификации предусмотреть использование локальной базы данных.
Имя списка – one-line
IP -адрес сервера защиты 172.16.1.200.
Ключ шифрования – 16 onerad.
Настройте авторизацию ААА с использованием того же сервера защиты на доступ к системе команд маршрутизатора уровня 5.
Установите аудит на использование команд маршрутизатора с ожиданием получения уведомления о начале аудита.
Имя списков – one-line.
| симуляция
Router(config)#aaa new-model
Router(config)# radius-server host 172.16.1.200
Router(config)#radius -server key 16onerad
Router (config)#aaa authentication login one-line group radius local
Router (config)#aaa authentication login one-line group radius local
Router (config)#aaa authorization commands 5 one-line group radius
Router (config)#aaa accounting commands 5 one-line wait-start group radius
Router(config)#line vty 1
Router(config-line)#login authentication one-line
|
3-4-19 Отладка конфигурации ААА
Для отладки конфигурации ААА используется группа команд привилегированного режима debug AAA. Завершение процесса отладки выполняется с помощью команды undebug all.
В процессе выполнения отладки аутентификации надо обратить внимание на сообщения GETUSER и GETPASS.
При отладке процесса аутентификации с использованием сервера защиты анализируются сообщения PASS и FAIL.
При работе с сервером TACACS + можно наблюдать процесс открытия и закрытия сеансов TCP, чтения или записи.
|
debug aaa authentication
| Показывает используемые методы аутентификации и результаты их выполнения.
| debug aaa authorization
| Показывает используемые методы авторизации и результаты их выполнения.
| debug aaa accounting
| Показывает используемые методы аудита и результаты их выполнения.
| debug tacacs
| Показывает сообщения, используемые TACACS +.
| debug tacacs events
| Показывает открытие, процесс и завершение сеансов TCP при работе сервера TACACS +.
| debug radius
| Показывает сообщения, используемые RADIUS.
|
Рис 3-4-19
|