В данной статье рассматривается:
Authentication, Authorization, and Accounting (AAA) – Аутентификация, авторизация и акаутинг.
Прочитав эту статью, Вы познакомитесь с основными возможностями AAA, предоставляемые CISCO IOS. Все примеры рассмотрены для Cisco IOS Release 12.4
Полная версия всех возможностей AAA рассмотрена на сайте производителя .
Обзор AAA
Аутентификация:
Аутентификация (Authentication) – предоставляет методы идентификации пользователей, включающие диалог «логин-пароль», вызовы и ответы, различные сообщения, зависящие от метода выбранного Вами шифрования.
Авторизация:
Авторизация (Authorization) – предоставляет методы для удалённого доступа, включающие одновременную авторизацию или авторизацию для каждого сервиса, пользовательские аккаунты и профили, пользовательские группы, и поддержку IP, IPX, ARA, и Telnet.
Аккаунтинг:
Аккаунтинг (Accounting) – служит для сбора и отправки информации на сервер. Используется для биллинга, аудита и отчётности. Может включать следующую информацию: идентификация пользователей, время остановки и запуска, запуск выполняемы команд (таких как PPP), число пакетов, и количество байт.
Обзор конфигурации AAA
1. Включите AAA используя команду aaa new-model глобального конфигурирования.
2. Если Вы решите использовать расширенные возможности security сервера, то можете настроить использование параметров security протоколов, таких как RADIUS, TACACS+, или Kerberos.
3. Определите методы списков для аутентификации используя команду AAA authentication .
4. Примените методы списков к отдельным интерфейсам или line, если это потребуется.
5. (Опционально) Настройте авторизацию, используя команду aaa authorization .
6. (Опционально) Настройте аккаутинг, используя команду aaa accounting .
Включение AAA
Для включения AAA выполните следующую команду, в режиме глобального конфигурирования:
Router(config)# aaa new-model
Отключение AAA
Router(config)#no aaa new-model
Конфигурация Аутентификации.
Рассмотрим методы аутентификации:
1) Настройка Login аутентификации используя AAA
Выполняйте следующие команды в режиме глобального конфигурирования:
Router(config)# aaa new-model (Включение ААА)
Router(config)# aaa authentication login {default | list-name} method1 [method2...] (Создаёт список локальной аутентификации)
Router(config)# line [aux | console | tty | vty] line-number [ending-line-number] (Вносит виды конфигурации line, для списков аутентификации)
Router(config-line)# login authentication
{default | list-name} (Применяет метод аутентификации для lines)
Список поддерживаемых методов аутентификации при настройке login
Метод / Описание
enable Используется пароль enable для аутентификации.
krb5 Используется Kerberos 5 для аутентификации.
krb5-telnet Используется Kerberos 5 Telnet протокол аутентификации. Когда
используется Telnet для подключения к роутеру. Если выбрана эта
аутентификация, то этот метод должен быть первым в списке методов
аутентификации.
line Используется пароль line для аутентификации.
local Используется локальная база данных пользователей для
аутентификации.
local-case Используется чувствительная к регистру локальная база данных
пользователей для аутентификации.
none Не использовать аутентификацию.
group radius Использовать список всех RADIUS серверов для аутентификации.
group tacacs+ Использовать список всех TACACS+ серверов для аутентификации.
group group-name Использовать подмножество RADIUS или TACACS+ серверов для
аутентификации, которая определена группой ааа radius сервера
или группой сервера tacacs+
Примеры настройки видов аутентификации, при методе login
Login аутентификация используя пароль Enable
aaa authentication login default enable
Login аутентификация используя пароль Kerberos
aaa authentication login default krb5
Login аутентификация используя пароль Line
aaa authentication login default line
Login аутентификация используя локальный пароль
aaa authentication login default local
Login аутентификация используя группу RADIUS
aaa authentication login default group radius
Login аутентификация используя группу TACACS+
aaa authentication login default group tacacs+
Login аутентификация используя группу group-name
aaa group server radius loginrad
server 172.16.2.3
server 172.16.2 17
server 172.16.2.32
Настройка PPP аутентификации Используя AAA
Router(config)# aaa new-model (Объявление ААА в глобальной конфигурации)
Router(config)# aaa authentication ppp {default | list-name} method1 [method2...]
(Создание локального списка аутентификации)
Router(config)# interface interface-type interface-number (ВЫбор интерфейса для сопоставления списка аутентификации)
Router(config-if)# ppp authentication {protocol1 [protocol2...]} [if-needed] {default | list-name} [callin] [one-time][optional] (Выбор методов аутентификации)
Список методов аутентификации для метода PPP
if-needed Не аутентифицировать, если пользователь уже аутентифицировался
на TTY line.
krb5 Использовать Kerberos 5 для аутентификации (может быть
использовано только с PAP аутентификацией)
local Использовать локальную базу данных пользователей для
аутентификации.
local-case Использовать чувствительную к регистру локальную базу данных
пользователей для аутентификации.
none Не использовать аутентификацию
group radius Использовать список всех RADIUS серверов для аутентификации.
group tacacs+ Использовать список всех TACACS+ серверов для аутентификации.
group group-name Использовать подмножество RADIUS или TACACS+ серверов для
аутентификации, которая определена группой ааа radius сервера
или группой сервера tacacs+
Более подробно методы аутентификации описаны на сайте производителя .
Авторизация: краткий обзор
Список названий методов для авторизации:
Auth-proxy – применяется на специфичных политиках безопасности относящихся к пользователям.
Commands – применяется для EXEC режима пользовательского диалога, включает команды глобального конфигурирования ассоциированная с различными типами уровней привилегий.
EXEC – применяется к командам ассоциированными с EXEC пользовательскими терминальными сессиями.
Network — применяется к сетевым подключениям. Может включать PPP, SLIP, или ARAP соединения.
Reverse Access – применяется к reverse Telnet сессиям.
Методы AAA авторизацииTACACS+ -сервер сетевого доступа обменивается информацией об авторизации с TACACS+ security демоном. TACACS+ авторизовывает определёнными специфическими правами для пользователей с помощью ассоциированных атрибутов пар атрибут-значение, которые хранятся в базе TACACS+ security сервера, с соответствующими пользователями.If-Authenticated — Пользователю разрешается доступ к определённым функциям, если аутентификация прошла успешно.None — Сетевой сервер доступа не запрашивает запроса об авторизации; авторизация не применяется к line/интерфейсу.Local — роутер или сервер доступа обращается к локальной базе, как к определённой пользовательской команде, для примера, специфическая авторизация прав пользователей. Только определённый функции могут быть ограничены с помощью локальной базы данных.RADIUS — сервер сетевого доступа запрашивает информацию об авторизации от RADIUS security сервера. RADIUS авторизует определённые специфические права для пользователей с помощью ассоциированных атрибутов, которые хранятся в базе данных RADIUS сервера, с соответствующим пользователем.
Типы AAA авторизации:
Auth-proxy – применяется на специфичных политиках безопасности относящихся к пользователям.
Commands – применяется для EXEC режима пользовательского диалога, включает команды глобального конфигурирования ассоциированая с различными типами уровней привелегий.
EXEC – применяется к командам асоциированными с EXEC пользовательскими терминальными сессиями.
Network — применяется к сетевым подключениям. Может включать PPP, SLIP, или ARAP соеденения.
Reverse Access – применяется к reverse Telnet сессиям.
Configuration — разрешается загрузка конфигураций с AAA сервера.
IP Mobile — разрешается авторизация для мобильных IP сервисов.
Более подробно о методах и настройке авторизации можно прочитать на сайте производителя.
Аккаутинг. Краткий обзор:
Список методов аккаутинга:
Network — предоставляет информацию по всем PPP, SLIP, или ARAP сессиям, включает счетчик пакетов и байтов.EXEC — предоставляет информацию о пользовательских EXEC terminal сессиях для сетевого сервера доступа.Commands — предоставляет информацию о режимах EXEC команд вводимых пользователем. Command accounting генерирует все записи команд для всех EXEC режимов, включая команды глобального конфигурирования, ассоциированные с определённым уровнем доступа.Connection — предоставляет информацию о всех исходящих соединениях от сервера сетевого доступа, таких как Telnet, local-area transport (LAT), TN3270, пакетов assembler/disassembler (PAD), и rlogin.System — предоставляет информацию о сообщения системного уровня.Resource — Показывает «start» и «stop» записи всех звонков которые были пропущены пользовательской аутентификацией, и предоставляет «stop» записи для всех вызовов об ошибках аутентификации.
искатьНастройка на CISCO – краткий обзор на сайте