Настройка AAA на CISCO
Статья для информации. Честно стырено отсюдаhttp://www.wellit.ru/reference/20.html
Authentication, Authorization, and Accounting (AAA) - Аутентификация, авторизация и акаутинг.
Аутентификация (Authentication) — предоставляет методы идентификации пользователей, включающие диалог "логин-пароль", вызовы и ответы, различные сообщения, зависящие от метода выбранного шифрования.
Авторизация (Authorization) — предоставляет методы для удалённого доступа, включающие одновременную авторизацию или авторизацию для каждого сервиса, пользовательские аккаунты и профили, пользовательские группы, поддержку IP, IPX, ARA и Telnet.
Аккаунтинг (Accounting) — служит для сбора и отправки информации на сервер. Используется для биллинга, аудита и отчётности. Может включать следующую информацию: идентификация пользователей, время остановки и запуска, запуск выполняемых команд (таких как PPP), число пакетов и количество байт.
Обзор конфигурации AAA
1. Включение AAA:
R1(config)#aaa new-model
R1(config)#no aaa new-model
2. Если Вы решите использовать расширенные возможности security сервера, то сможете настроить использование параметров security протоколов, таких как RADIUS, TACACS+, или Kerberos.
3. Определите методы списков для аутентификации используя команду
aaa authentication .
4. Примените методы списков к отдельным интерфейсам или line, если это потребуется.
5. (Опционально) Настройте авторизацию, используя команду
aaa authorization .
6. (Опционально) Настройте аккаутинг, используя команду
aaa accounting .
Конфигурация Аутентификации.
Рассмотрим методы аутентификации:
1) Настройка Login аутентификации используя AAA
Выполняйте следующие команды в режиме глобального конфигурирования:
Router(config)# aaa new-model (Включение ААА)
Router(config)# aaa authentication login {default | list-name} method1 [method2...] (Создаёт список локальной аутентификации)
Router(config)# line [aux | console | tty | vty] line-number [ending-line-number] (Вносит виды конфигурации line для списков аутентификации)
Router(config-line)# login authentication
{default | list-name} (Применяет метод аутентификации для lines)
Список поддерживаемых методов аутентификации при настройке login
Метод / Описание
enable Используется пароль enable для аутентификации.
krb5 Используется Kerberos 5 для аутентификации.
krb5-telnet Используется Kerberos 5 Telnet протокол аутентификации, когда используется Telnet для подключения к роутеру. Если выбрана эта аутентификация, то данный метод должен быть первым в списке методов аутентификации.
line Используется пароль line для аутентификации.
local Используется локальная база данных пользователей для аутентификации.
local-case Используется чувствительная к регистру локальная база данных пользователей для аутентификации.
none Не использовать аутентификацию.
group radius Использовать список всех RADIUS серверов для аутентификации.
group tacacs+ Использовать список всех TACACS+ серверов для аутентификации.
group group-name Использовать подмножество RADIUS или TACACS+ серверов для аутентификации, которая определена группой ааа radius сервера или группой сервера tacacs+
Примеры настройки видов аутентификации при методе login
Login аутентификация с использованием пароля Enable
aaa authentication login default enable
Login аутентификация с использованием пароля Kerberos
aaa authentication login default krb5
Login аутентификация с использованием пароля Line
aaa authentication login default line
Login аутентификация с использованием пароля Default
aaa authentication login default local
Login аутентификация с использованием группы RADIUS
aaa authentication login default group radius
Login аутентификация с использованием группы TACACS+
aaa authentication login default group tacacs+
Login аутентификация с использованием группы group-name
aaa group server radius loginrad
server 172.16.2.3
server 172.16.2 17
server 172.16.2.32
Настройка PPP аутентификации Используя AAA
Router(config)# aaa new-model (Объявление ААА в глобальной конфигурации)
Router(config)# aaa authentication ppp {default | list-name} method1 [method2...]
(Создание локального списка аутентификации)
Router(config)# interface interface-type interface-number (Выбор интерфейса для сопоставления списка аутентификации)
Router(config-if)# ppp authentication {protocol1 [protocol2...]} [if-needed] {default | list-name} [callin] [one-time][optional] (Выбор методов аутентификации)
Список методов аутентификации для метода PPP
if-needed Не аутентифицировать, если пользователь уже аутентифицировался на TTY line.
krb5 Использовать Kerberos 5 для аутентификации (может быть использовано только с PAP аутентификацией)
local Использовать локальную базу данных пользователей для аутентификации.
local-case Использовать чувствительную к регистру локальную базу данных пользователей для аутентификации.
none Не использовать аутентификацию
group radius Использовать список всех RADIUS серверов для аутентификации.
group tacacs+ Использовать список всех TACACS+ серверов для аутентификации.
group group-name Использовать подмножество RADIUS или TACACS+ серверов для аутентификации, которая определена группой ааа radius сервера или группой сервера tacacs+
Более подробно методы аутентификации описаны на сайте производителя.
Авторизация: краткий обзор
Список названий методов для авторизации:
Auth-proxy — применяется на специфичных политиках безопасности относящихся к пользователям.
Commands — применяется для EXEC режима пользовательского диалога, включает команды глобального конфигурирования ассоциированная с различными типами уровней привилегий.
EXEC — применяется к командам ассоциированными с EXEC пользовательскими терминальными сессиями.
Network — применяется к сетевым подключениям. Может включать PPP, SLIP, или ARAP соединения.
Reverse Access — применяется к reverse Telnet сессиям.
Методы AAA авторизации
Аккаутинг. Краткий обзор:
Список методов аккаутинга:
Аутентификация (Authentication) — предоставляет методы идентификации пользователей, включающие диалог "логин-пароль", вызовы и ответы, различные сообщения, зависящие от метода выбранного шифрования.
Авторизация (Authorization) — предоставляет методы для удалённого доступа, включающие одновременную авторизацию или авторизацию для каждого сервиса, пользовательские аккаунты и профили, пользовательские группы, поддержку IP, IPX, ARA и Telnet.
Аккаунтинг (Accounting) — служит для сбора и отправки информации на сервер. Используется для биллинга, аудита и отчётности. Может включать следующую информацию: идентификация пользователей, время остановки и запуска, запуск выполняемых команд (таких как PPP), число пакетов и количество байт.
Обзор конфигурации AAA
1. Включение AAA:
R1(config)#aaa new-model
2. Если Вы решите использовать расширенные возможности security сервера, то сможете настроить использование параметров security протоколов, таких как RADIUS, TACACS+, или Kerberos.
3. Определите методы списков для аутентификации используя команду
aaa authentication .
4. Примените методы списков к отдельным интерфейсам или line, если это потребуется.
5. (Опционально) Настройте авторизацию, используя команду
aaa authorization .
6. (Опционально) Настройте аккаутинг, используя команду
aaa accounting .
Конфигурация Аутентификации.
Рассмотрим методы аутентификации:
1) Настройка Login аутентификации используя AAA
Выполняйте следующие команды в режиме глобального конфигурирования:
Router(config)# aaa new-model (Включение ААА)
Router(config)# aaa authentication login {default | list-name} method1 [method2...] (Создаёт список локальной аутентификации)
Router(config)# line [aux | console | tty | vty] line-number [ending-line-number] (Вносит виды конфигурации line для списков аутентификации)
Router(config-line)# login authentication
{default | list-name} (Применяет метод аутентификации для lines)
Список поддерживаемых методов аутентификации при настройке login
Метод / Описание
enable Используется пароль enable для аутентификации.
krb5 Используется Kerberos 5 для аутентификации.
krb5-telnet Используется Kerberos 5 Telnet протокол аутентификации, когда используется Telnet для подключения к роутеру. Если выбрана эта аутентификация, то данный метод должен быть первым в списке методов аутентификации.
line Используется пароль line для аутентификации.
local Используется локальная база данных пользователей для аутентификации.
local-case Используется чувствительная к регистру локальная база данных пользователей для аутентификации.
none Не использовать аутентификацию.
group radius Использовать список всех RADIUS серверов для аутентификации.
group tacacs+ Использовать список всех TACACS+ серверов для аутентификации.
group group-name Использовать подмножество RADIUS или TACACS+ серверов для аутентификации, которая определена группой ааа radius сервера или группой сервера tacacs+
Примеры настройки видов аутентификации при методе login
Login аутентификация с использованием пароля Enable
aaa authentication login default enable
Login аутентификация с использованием пароля Kerberos
aaa authentication login default krb5
Login аутентификация с использованием пароля Line
aaa authentication login default line
Login аутентификация с использованием пароля Default
aaa authentication login default local
Login аутентификация с использованием группы RADIUS
aaa authentication login default group radius
Login аутентификация с использованием группы TACACS+
aaa authentication login default group tacacs+
Login аутентификация с использованием группы group-name
aaa group server radius loginrad
server 172.16.2.3
server 172.16.2 17
server 172.16.2.32
Настройка PPP аутентификации Используя AAA
Router(config)# aaa new-model (Объявление ААА в глобальной конфигурации)
Router(config)# aaa authentication ppp {default | list-name} method1 [method2...]
(Создание локального списка аутентификации)
Router(config)# interface interface-type interface-number (Выбор интерфейса для сопоставления списка аутентификации)
Router(config-if)# ppp authentication {protocol1 [protocol2...]} [if-needed] {default | list-name} [callin] [one-time][optional] (Выбор методов аутентификации)
Список методов аутентификации для метода PPP
if-needed Не аутентифицировать, если пользователь уже аутентифицировался на TTY line.
krb5 Использовать Kerberos 5 для аутентификации (может быть использовано только с PAP аутентификацией)
local Использовать локальную базу данных пользователей для аутентификации.
local-case Использовать чувствительную к регистру локальную базу данных пользователей для аутентификации.
none Не использовать аутентификацию
group radius Использовать список всех RADIUS серверов для аутентификации.
group tacacs+ Использовать список всех TACACS+ серверов для аутентификации.
group group-name Использовать подмножество RADIUS или TACACS+ серверов для аутентификации, которая определена группой ааа radius сервера или группой сервера tacacs+
Более подробно методы аутентификации описаны на сайте производителя.
Авторизация: краткий обзор
Список названий методов для авторизации:
Auth-proxy — применяется на специфичных политиках безопасности относящихся к пользователям.
Commands — применяется для EXEC режима пользовательского диалога, включает команды глобального конфигурирования ассоциированная с различными типами уровней привилегий.
EXEC — применяется к командам ассоциированными с EXEC пользовательскими терминальными сессиями.
Network — применяется к сетевым подключениям. Может включать PPP, SLIP, или ARAP соединения.
Reverse Access — применяется к reverse Telnet сессиям.
Методы AAA авторизации
- TACACS+ — Сервер сетевого доступа, обменивающийся информацией об авторизации с TACACS+ security демоном. TACACS+ авторизовывает определёнными специфическими правами для пользователей с помощью ассоциированных атрибутов, пар атрибут-значение, которые хранятся в базе TACACS+ security сервера, с соответствующими пользователями.
- If-Authenticated — Пользователю открывается доступ к определённым функциям, если аутентификация прошла успешно.
- None — Сетевой сервер доступа не запрашивает запроса об авторизации; авторизация не применяется к line интерфейсу.
- Local — Роутер или сервер доступа обращается к локальной базе, как к определённой пользовательской команде, например, специфической авторизации прав пользователей. Только определённые функции могут быть ограничены с помощью локальной базы данных.
- RADIUS — Сервер сетевого доступа запрашивает информацию об
авторизации от RADIUS security сервера. RADIUS авторизует определённые
специфические права для пользователей с помощью ассоциированных
атрибутов, которые хранятся в базе данных RADIUS сервера, с
соответствующим пользователем.
Типы AAA авторизации:
Auth-proxy — применяется при специфичных политиках безопасности относящихся к пользователям.
Commands — применяется для EXEC режима пользовательского диалога, включает команды глобального конфигурирования, ассоциированными с различными типами уровней привелегий.
EXEC — применяется к командам, асоциированными с EXEC пользовательскими терминальными сессиями.
Network — применяется к сетевым подключениям. Может включать PPP, SLIP или ARAP соеденения.
Reverse Access — применяется к reverse Telnet сессиям.
Configuration — разрешается загрузка конфигураций с AAA сервера.
IP Mobile — разрешается авторизация для мобильных IP-сервисов.
Более подробно о методах и настройке авторизации можно прочитать на сайте производителя.
Аккаутинг. Краткий обзор:
Список методов аккаутинга:
- Network — предоставляет информацию по всем PPP, SLIP или ARAP сессиям, включает счетчик пакетов и байтов.
- EXEC — предоставляет информацию о пользовательских EXEC terminal сессиях для сетевого сервера доступа.
- Commands — предоставляет информацию о режимах EXEC команд вводимых пользователем. Command accounting генерирует все записи команд для всех EXEC режимов, включая команды глобального конфигурирования, ассоциированные с определённым уровнем доступа.
- Connection — предоставляет информацию обо всех исходящих соединениях сервера сетевого доступа, таких как Telnet, local-area transport (LAT), TN3270, пакетов assembler/disassembler (PAD), и rlogin.
- System — предоставляет информацию о сообщения системного уровня.
- Resource — показывает "start" и "stop" записи всех звонков, которые были пропущены пользовательской аутентификацией, и предоставляет "stop" записи для всех вызовов об ошибках аутентификации.
Комментариев нет:
Отправить комментарий