当前位置:首页 >> 信息与通信 >>

ACS aaa认证、授权、审计配置


技术服务热

实施前准备: 实施前准备:
-挂线: 以 15 级权限 telnet/SSH 上要配置的设备,配置: line vty 0 15 exec-timeout 0 0 然后保持 telnet/SSH 会话不退出。等待配置完成且测试通过后,再配置 exec-timeout 10 0(或者改成期望值,默认 是 10 0)。这样做的目的是避免因为

意外或者操作问题将用户自己锁在路由器外。 以下若无具体说明, 配置步骤(以下若无具体说明,均为全局模式配置,命令行红色字体为自定义值 以下若无具体说明 均为全局模式配置,命令行红色字体为自定义值): 1、开启 aaa: 、 : aaa new-model 2、配置 tacacs+服务器: 服务器: 、 服务器 tacacs-server host 192.168.1.200 key I0$pAs$w0rd 3、配置 ACS,配置 client 和 user: 、 , : -登录 ACS: 浏览器输入:192.168.1.200:2002,其中 192.168.1.200 为 ACS 的 IP 地址。 --client 配置: 在左边点击进入 network config 视图:

点击下图的 Add Entry:

会弹出以下界面,hostname 填写设备名称(也可以自定义),IP 地址填写网络设备的 IP,key 要和路由器上配置的 key 相同,使用 tacacs+(cisco ios),然后点击 submit+apply。如下图:

技术服务热

--user 配置: 点击左边 ,会进入 user setup 界面,如下图:

输入要建立的 username,点击 add/edit:

在 user 编辑界面,在 user setup 界面输入密码,选择属于的组,然后点击最下方的 submit 即可。

技术服务热

作为例子,这里配置了 4 个用户:
username cisco1 cisco7 cisco10 cisco15 password cisco1 cisco7 cisco10 cisco15 group ACS 预定义组 1 ACS 预定义组 7 ACS 预定义组 10 ACS 预定义组 15 privilege 1 7 10 15

4、测试路由器和 ACS 连通性: 、 连通性: 特权模式:test aaa group tacacs cisco7 cisco7 new-code,如果通过会有以下输出:

注意:如果不能通过,请确认两端是否能通信(ping),两端的密码是否相同(比如路由器端的密码是否多了空格, 注意 空格也被认为是密码 string)。 5、定义 aaa method-list,名字为 ios-manage: 、 , aaa new-model aaa authentication login ios-manage group tacacs local //定义登录的认证方法为 tacacs+,当 ACS 不可达时使用本 地验证 aaa authorization exec ios-manage group tacacs local //当通过登录认证后,授权登录用户能访问 cli 界面。 aaa authorization command 1 ios-manage group tacacs //对 1 级命令通过 tacacs+服务器授权。 aaa authorization command 7 ios-manage group tacacs none aaa authorization command 10 ios-manage group tacacs none aaa authorization command 15 ios-manage group tacacs none 注意:第二方法 local,是线下保护,当 ACS 不可达后,仍然可以使用本地账户验证登陆。 本地账户设置: 本地账户设置: aaa new-model username XXXX password XXXX //建议设置本地账户与 ACS 管理账户一致, 输入账户后 ACS 不可达则自动转 换为本地验证。 6、在路由器上重新定义命令级别。 、在路由器上重新定义命令级别。

技术服务热
privilege exec level 7 copy running-config startup-config //将 15 级命令 copy 降级到 7。 privilege exec all level 10 dir //将所有 dir 命令及其子关键字变成 privilege 10。 privilege exec level 10 traceroute //将 1 级命令 traceroute 升级到 10。 privilege exec level 10 ping //将 1 级命令 ping 升级到 10。 privilege exec all level 10 show //将所有 show 命令及其子关键字变成 privilege 10, 比如 1 级的 show ip route 和 15 级的 show config。 privilege exec all level 10 clear //将所有 clear 命令变成 privileget 10。 privilege exec level 10 telnet //将 1 级命令 telnet 升级到 10

7、配置 ACS 授权:这里以版本 4.0 为例。 、 授权: 为例。
--配置 cisco7 属于的 group7: 点击左边 ,进入 group 视图:

选择 group 7,并点击 edit settings。进入组配置界面,选择最上方的栏目为 tacacs+:

勾选 shell(exec),勾选 privilege 并设置为 7,其它不变:

配置命令授权,仅允许 7 级用户使用 copy running-config startup-config 命令,其它都拒绝。填写完后点击 submit。

技术服务热

--配置 cisco10 属于的 group10: 勾选 exec,设置 privilege=10 并勾选,按照下图填写命令授权,填写完后点击 submit:

--配置 cisco15 属于的 group 15:

技术服务热
勾选 exec,配置 privilege=15 并勾选,按照下图填写命令授权,填写完后点击 :

8、在路由器的 vty 线路调用 ios-manage 列表: line vty 0 15 login authentication ios-manage authorization exec ios-manage authorization command 1 ios-manage authorization command 7 ios-manage authorization command 10 ios-manage authorization command 15 ios-manage 9、效果测试。 期望的效果:1 级用户不能使用所有常用 exec 命令;7 级用户仅能使用 copy run start,其它所有常用 exec 命令都 不能使用;10 级用户可以使用除了 telnet 外的所有 exec 命令,但不能进入配置模式;15 级命令可以使用所有命 令。 10、审计。 目的:对登录的用户审计,对用户执行的命令审计。 审计配置在路由器上完成,ACS 不需要配置: aaa accounting exec ios-manage start-stop group tacacs aaa accounting command 7 ios-manage start-stop group tacacs aaa accounting command 10 ios-manage start-stop group tacacs aaa accounting command 15 ios-manage start-stop group tacacs line vty 0 15 accounting exec ios-manage accounting commands 7 ios-manage accounting commands 10 ios-manage accounting commands 15 ios-manage accounting exec ios-manage aaa accounting suppress null-username //不审计无用户名的行为,如 none 方式。

技术服务热

ACS 端查看: 点击左边 ,选择如下两个选项:

TACACS+ Accounting:记录 user 的登录和登出:

TACACS+ Administration 记录 user 执行的操作:


相关文章:
详细讲解CISCO ACS AAA认证
ACS 服务器实现 AAA 认证,包括验证、授权和记帐,同时还包括 PPP 验证 和计时...3、 ACS 审计 Step1>设备端配置 R1(config)# aaa new-model R1(config)# ...
8 ACS和AAA
Cisco Secure ACS 安装以及基本配置 3、AAA 概述 4、配置 AAA 认证 5、配置 AAA 授权 6、配置 AAA 审计 7、AAA 高级配置及应用 4.1 Cisco Secure ACS 产品...
ACS-AAA配置
ACS-AAA配置_IT认证_资格考试/认证_教育专区。3.4.3 1. a. 配置 Cisco ...添加对应于 802.1x 用户的认证授权模板,指定用户只能通过 802.1x 方式登录,...
CiscoSecure ACS AAA 配置 附图
8 ACS和AAA 37页 1下载券 ACS服务器的aaa认证 14页 2下载券 AAA基于CISCO_...三、审计 (Accounting)本节配置基于分组对用户授权。 在路由器上添加如下配置:...
ACS推荐信公证
身份证正反面和户口本整本复印件 职业评估费:500 澳币篇三:acs aaa 认证授权审计配置 实施前准备: -挂线: 以 15 级权限 telnet/ssh 上要配置的设备,...
ACS服务器的aaa认证
AAA 验证的配置 ◆实验拓扑: ◆实验要求: 1;按照图例所示:配置 ip 地址.互相...Cisco ACS+AAA认证-Mac系... 14页 2下载券 ACS aaa认证授权审计... ...
ACS 授权配置
随着对集中管理控制和审计的需求的增加,本文作者预计目前不支持 TACACS+命令授权...ACS aaa认证授权审计... 7页 4下载券 ACS外壳命令授权集在IOS... 10页...
AAA认证
Remote Client AAA Router Cisco ACS Server 二.实验环境 三.实验理论知识 1 2 2) AAA 包括认证、授权审计 ①②③ 2. 4 3 Authentication,认证,验证用户...
ACS5.4 配置测试过程
1. 概述本文档是测试 AAA 时的配置,采用的认证服务器是 ACS5.4,使用的认证协议是 Tacacs+。下 表是配置的具体内容: 项目 被认证授权审计设备 内容 Nexus ...
aaa认证说明
AAA 代表 Authentication、Authorization、Accounting,意为认证授权、记帐,其主要...ACS 审计 Step1>设备端配置 R1(config)# aaa new-model R1(config)# aaa ...
更多相关标签: