| При использовании аутентификации ААА с помощью удаленной базы данных, необходимо использование сервера защиты TACACS + или RADIUS.
Для настройки удаленной аутентификации необходимо выполнить следующие шаги:
1. Включите ААА на маршрутизаторе.
2. Определите сервер защиты TACACS + или RADIUS.
3. Сформируйте ключ для шифрования сообщений, которыми будут обмениваться сервер сетевого доступа и сервер защиты.
4. Установите списки методов аутентификации.
5. Подключите сформированные списки методов к соответствующим интерфейсам.
| Картинка 3-4-7
Шаги настройки
1. Включение ААА на маршрутизаторе.
2. Задание сервера защиты TACACS + или RADIUS.
3. Задание ключа шифрования сообщений.
4. Создание списков методов аутентификации.
5. Установка списков методов на соответствующие интерфейсы.
Рис 3-4-7
|
3-4-8 Настройка параметров сервера TACACS + для аутентификации
| Для установки параметров сервера TACACS + используется команда глобального режима конфигурации tacacs - server host. В этой команде обязательно должно быть указано имя или ip-адрес сервера TACACS +.
При этом, желательно установить параметр single - connection, который включает поддержку только одного открытого соединения TCP для получения подтверждения от сервера защиты. Соединение должно быть открыто и закрыто для каждого сеанса.
С помощью команды глобального режима конфигурации tacacs - server key устанавливаем ключ для шифрования сообщений между сервером сетевого доступа и сервером защиты.
Так как в сети может быть несколько серверов защиты, то можно сформировать отдельный ключ шифрования для каждого сервера в опциях команды tacacs - server host.
Теперь необходимо в списках методов аутентификации определить аутентификацию с помощью сервера защиты TACACS+. Для этого используется команда aaa authentication login. В поле имени списка можно установить «default», так как это упрощает процесс использования ААА.
В завершении, данный список применяется к соответствующим интерфейсам.
|
tacacs - server host name [single - connection] [port number ] [timeout ss ] [key string ]
| name
| Имя или ip-адрес сервера защиты
| | single-connection
| (опционально) поддержка только одно открытое соединение TCP для получения подтверждения от сервера защиты. Соединение должно быть открыто и закрыто для каждого сеанса.
| | port number
| (опционально) определяет номер порта сервера защиты. По умолчанию - порт 49. Можно изменять номера в диапазоне от 1 до 65535.
| | timeout ss
| (опционально) определяет предельное время в секундах. Можно изменить глобальное значение предельного времени (установленное с помощью команды tacacs-server timeout) для данного сервера.
| | key string
| (опционально) определяет ключ шифрования (этот ключ должен соответствовать ключу сервера TACACS+). Можно изменить ключ, заданный командой глобальной конфигурации tacacs-server key, для данного сервера.
|
tacacs -server key key
| key key
| определяет ключ шифрования (этот ключ должен соответствовать ключу сервера TACACS+). Задается для всех серверов TACACS+, определенных на данном маршрутизаторе глобально.
|
aaa authentication login default group tacacs+
Рис 3-4-8
|
3-4-9 Настройка параметров сервера RADIUS для аутентификации
| Для установки параметров сервера RADIUS используется команда глобального режима конфигурации radius - server host. В этой команде обязательно должно быть указано имя или ip-адрес сервера RADIUS.
Так как RADIUS работает по UDP, то параметр single - connection отсутствует.
С помощью команды глобального режима конфигурации radius - server key устанавливаем ключ для шифрования сообщений между сервером сетевого доступа и сервером защиты.
Так как в сети может быть несколько серверов защиты, то можно сформировать отдельный ключ шифрования для каждого сервера в опциях команды radius - server host.
Теперь необходимо в списках методов аутентификации определить аутентификацию с помощью сервера защиты RADIUS. Для этого используется команда aaa authentication login. В поле имени списка можно установить «default», так как это упрощает процесс использования ААА.
В завершении, данный список применяется к соответствующим интерфейсам.
|
radius-server host name [auth-port port] [acct-port port ] [key string]
| name
| Имя или ip-адрес сервера защиты
| | auth-port port
| (опционально) определяет номер порта UDP для направления запросов аутентификации.
По умолчанию - порт хххх. Если 0 – то данный сервер для обслуживания этих запросов не используется.
| | acct - port port
| (опционально) определяет номер порта UDP для направления запросов аудита.
По умолчанию - порт хххх. Если 0 – то данный сервер для обслуживания этих запросов не используется.
| | key string
| (опционально) определяет ключ шифрования (этот ключ должен соответствовать ключу сервера RADIUS). Можно изменить ключ, заданный командой глобальной конфигурации radius -server key, для данного сервера.
|
radius-server key key
| key key
| определяет ключ шифрования (этот ключ должен соответствовать ключу сервера RADIUS). Задается для всех серверов RADIUS, определенных на данном маршрутизаторе глобально.
|
aaa authentication login default group radius
Рис 3-4-9
|
3-4-10 Демонстрационный пример настройки удаленной аутентификации
| Надо настроить удаленную аутентификацию AAA с использованием серверов защиты TACACS + и RADIUS на подключение к маршрутизатору R 1 по telnet через последовательный интерфейс.
Локальная база:
user 12345 пароль pass 12345.
admin1 пароль adminpass.
В списке методов аутентификации проверять сначала RADIUS, а затем TACACS +. В качестве резервного метода аутентификации использовать локальную базу данных.
Установить режим аутентификации для последовательного интерфейса PAP.
IP -адрес сервера защиты TACACS + 10.1.1.100.
Ключ шифрования – test 12345.
IP -адрес сервера защиты RADIUS 10.1.1.101.
Ключ шифрования – test54321.
|
Картинка 3-4-7
R1(config)#enable secret ciscopass
R1(config)#username user12345 secret pass12345
R1(config)#username admin1 secret adminpass
R1(config)#aaa new-model
R1(config)# tacacs -server host 10.1.1.100 single-connection
R1(config)# tacacs -server key test12345
R1(config)#radius -server host 10.1.1.101
R1(config)#radius -server key test54321
R1(config)#aaa authentication login default group radius group tacacs+ local
R1(config)#aaa authentication ppp default group radius group tacacs+ local
R1(config)#serial 0/0/0
R1(config-if)#ppp authentication pap
R1(config-if)#exit
R1(config)#line vty 0 4
R1(config-line)#login authentication default
Рис 3-4-10
|
Археология
Биология
Генетика
География
Информатика
История
Логика
Маркетинг
Математика
Менеджмент
Механика
Педагогика
Религия
Социология
Технологии
Физика
Философия
Финансы
Химия
Экология
