AAA 配置介绍

分区 SNRS 的第 2 页
R 2(config)#aaa a uthorization c onfig-commands （conf t后面的命令默认不受aaa命令授权的影响，敲上这条以 后开始影响。）
Per user command authorization 标示基于用户的命令授权。 第一组permit or deny 是指 未匹配的ios命令，比如show 第二组 permit or deny 是指框里未罗列的命令 比如privilege 当前配置表示，除了show命令其他命令deny，show 后面除了privilege 其他deny。 配置时间审计 R2(config)#aaa accounting exec vty start -stop group tacacs+ （定义一条时间审计策略叫做vty） R2(config)#line vty 0 4 R2(config-line)#accounting exec vty（在vty调用时间审计策略） 配置命令审计 R2(config)#aaa accounting commands 0 vty start -stop group tacacs+ R2(config)#aaa accounting commands 1 vty start -stop group tacacs+ R2(config)#aaa accounting commands 15 vty start-stop group tacacs+ R2(config)#aaa accounting commands 5 vty start -stop group tacacs+ （定义0,1,5,15级命令审计） R2(config)#line vty 0 4 R2(config-line)#accounting commands 0 vty R2(config-line)#accounting commands 1 vty R2(config-line)#accounting commands 15 vty R2(config-line)#accounting commands 5 vty （调用0,1,5,15命令审计策略。）
配置级别授权
R2(config)#aaa authorization exec vty group tacacs+ （定义一条叫做vty的级别授权策略） R2(config)#line vty 0 4 R2(config-line)#authorization exec vty（在vty下调用级别授权策略，这时如果想登入vty线路不但需要认证还 需要级别授权）
认证，授权/审计
认证，授权/审计
4.只有16bit的密钥是加密的
5.使用单一信道
6.不能够支持基于用户的命令授权技术。
7,dot1x，和download ACL技术只支持radius协议。
AV-pair 成对的属性参数。
分区 SNRS 的第 1 页
认证 授权
审计
登入认证 （telnet） 级别授权 命令授权 本地命令授权
AAA命令授权 时间审计 命令审计
AAA配置
R2(config)#aaa new-model （开启aaa服务请注意开启aaa以后应该马上保护本地线路包括con和aux） R2(config)#aaa authentication login noauth none （设置一条aaa 登入认证策略叫做noauth，策略为不认证） R2(config)#aaa authorization exec noauth none （定义一条级别授权名字叫noauth，策略为不授权）
R2(config)#line 0 R2(config-line)#login authentication noauth （调用认证保护） R2(config-line)#authorization exec noauth （调用授权保护） %Authorization without the global command 'aaa authorization console' is useless （新版本IOS默认并不 影响console下授权，如果想影响需要在全局配置模式下输入“aaa authorization console”）
NAS最终配置 R2#s hostname R2 ! aaa new-model !
分区 SNRS 的第 3 页
! aaa authentication login noauth none aaa authentication login vty group tacacs+ aaa authorization config-commands aaa authorization exec noauth none aaa authorization exec vty group tacacs+ aaa authorization commands 0 vty group tacacs+ aaa authorization commands 1 vty group tacacs+ aaa authorization commands 5 vty group tacacs+ aaa authorization commands 15 vty group tacacs+ aaa accounting exec vty start-stop group tacacs+ aaa accounting commands 0 vty start-stop group tacacs+ aaa accounting commands 1 vty start-stop group tacacs+ aaa accounting commands 5 vty start-stop group tacacs+ aaa accounting commands 15 vty start-stop group tacacs+ ! ! ! interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 duplex auto speed auto ! ! ! tacacs-server host 10.1.1.242 key cisco ! ! ! privilege configure all level 5 interface privilege exec level 5 configure terminal privilege exec level 5 configure ! line con 0 authorization exec noauth login authentication noauth line aux 0 line vty 0 4 password cisco authorization commands 0 vty authorization commands 1 vty authorization commands 5 vty authorization commands 15 vty authorization exec vty accounting commands 0 vty accounting commands 1 vty accounting commands 5 vty accounting commands 15 vty accounting exec vty login authentication vty ! ! end
Tacacs+ 1.更专注于对设备的控制。 2.Cisco 私有协议
3.TCP 49 4.完整的流加密通讯 5.使用多信道传输
Radius
1.更专注于对用户的管理。
2.公有协议：最早也是一个私有协议，后来被
IETF公有化，所以Radius协议拥有两组端口号
3. UDP 1645/1646
1812/1813
R2(config)#tacacs-server host 10.1.1.241 key cisco （指定tacacs服务器地址和key 注意key后面空格敏感）
R2#test aaa gr ta cisco cisco new （测试nas与aaa服务器的通讯） Sending password User successfully authenticated （完成这步测试以后说明nas与aaa的tacacs通讯正常并且user cisco的用户名密 码正确。）
配置aaa命令授权
R2(config)#aaa authorization commands 0 vty group tacacs+ （定义 0,1,5,15级命令授权策略） R2(config)#aaa authorization commands 1 vty group tacacs+ R2(config)#aaa authorization commands 15 vty group tacacs+ R2(config)#aaa authorization commands 5 vty group tacacs+ R2(config)#line vty 0 4 R2(config-line)#authorization command 0 vty R2(config-line)#authorization command 1 vty R2(config-line)#authorization command 15 vty R2(config-line)#authorization command 5 vty （在 vty下调用0,1,5,15级授权策略，也就是说此时登入到vty的用 户敲得每一条命令都需要aaa授权。）
ACS服务器需要进行的配置。 1,定义client （network configuration，add a client） 2，定义user（user add user） 3，定义级别授权（user 下设置privilege level） 4，定义命令授权（user下做基于用户的命令授权per user common authorization） 5，查看审计（report，fail 审计用于aaa的排错。时间审计用于查看登入与登出 时间，命令审计，用于记录和2
登入 IBM
拨入
IBM
NAS
穿越 IBM
Ta c a c s + Ra di us
1.什么是AAA
认证 authentication 授权 authorization 审计 accounting
ACS是Cisco公司的一个软件提供AAA服务叫做cisco secure ACS可以为我们提供tacacs+ 和 Radius 服务。
配置登入认证（telnet为例） aaa authentication login vty group tacacs+ （定义一条叫做vty的登入认证策略使用tacacs服务器认证）
R2(config)#line vty 0 4 R2(config-line)#login authen vty （在vty 调用认证策略）
2.认证：负责身份识别，（你是谁）包括三要素 1.你是谁（生物识别技术比如指纹，签名，角膜扫描） 2.你拥有什么 （比如信用卡，钥匙） 3.你知道什么 （比如口令，密码）
理论上来说只有包括两要素以上的认证方式才被认为是较为安全的认证方式。 常用认证类型：1.登入认证（比如 telnet，ssh，http，https） 2.拨入认证 （比如ipsec vpn 拨号ppp拨号） 3.穿越认证 （比如auth-proxy 认证代理）
配置本地命令授权
R2(config)#privilege exec level 5 conf t （将conf t命令放到5级命令库内，因为conf t是#号下命令所以使用 exec） R2(config)#privilege configure all level 5 inter （将inter及所有子命令放到5级命令库内，因为inter是conf t 后面的命令所以使用configure，由于inter后面有很多子命令，所以使用all关键字，将inter的所有子命令拿到5级命 令库。）
3.授权：负责描述权限分配，（你能做什么）一般推荐最小权限策略。 常用的授权类型包括：1.级别授权 exec 2.网络授权 network 3.auth-proxy 授权 4.命令授权 command ……
4 .审计：负责记录审计信息，（你做过什么）可以帮助我们追踪攻击。 常用的审计类型包括 ：1.时间审计 exec 2.命令审计 command