aaa认证说明

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

AAA代表Authentication、Authorization、Accounting,意为认证、授权、记帐,其主要目的是管理哪些用户可以访问服务器,具有访问权的用户可以得到哪些服务,如何对正在使用网络资源的用户进行记帐。

1、认证:验证用户是否可以获得访问权限——“你是谁?”

2、授权:授权用户可以使用哪些资源——“你能干什么?”

3、记帐:记录用户使用网络资源的情况——“你干了些什么?”

好的,简单的了解理论知识后,接下来我们还是以实验的方式来进行讲解:

为网络提供AAA服务的,主要有TACACS+和RADIUS协议,我们主要介绍是TACACS+协议,因为它运行在TCP协议基础之上,更适合大型网络,特别是融合型网络

一、实验拓扑介绍

该实验主要完成R1路由通过ACS服务器实现AAA认证,包括验证、授权和记帐,同时还包括PPP验证和计时通过cisco ACS实验

二、安装cisco ACS

1、硬软件要求

硬件:Pentium IV 处理器,1.8 GHz 或者更高

操作系统:Windows 2000 Server

Windows 2000 Advanced Server (Service Pack 4)

Windows Server 2003,Enterprise Edition or Standard

Edition (Service Pack 1)

内存:最小1GB

虚拟内存:最小1GB

硬盘空间:最小1GB可用空间,实际大小根据日志文件的增长,复制和备份的需求而定。

浏览器:Microsoft Internet Explorer 6 或者更高版本

JA V A运行环境:Sun JRE 1.4.2_04 或更高版本

网络要求:

在CISCO IOS 设备上为了全面的支持TACACS+ 和RADIUS,AAA 客户端必须运行Cisco IOS 11.1 或者更高的版本。

非CISCO IOS 设备上必须用TACACS+,RADIUS或者两者一起配置。

运行ACS的主机必须能ping通所有的AAA客户端。

2、安装方法(我们用的版本是4.0版本)

打开ACS安装程序文件夹,选中setup 双击。进入安装向导,根据提示进行安装,基本为默认

3、安装完成后的访问

在运行ACS的主机上,通过桌面上的ACS Admin 网页图标,可以访问ACS的web格式的管理台。也可以通过网页浏览器输入地址:http://127.0.0.1:2002来访问ACS。

注:

? Windows Xp不支持cisco ACS,在此笔者是在虚机中的windows2003sever下安装的

? ACS安装完成后,

1、一定要安装JA VA平台,否则该ACS将不能正常使用,笔者在此安装的是jre-6u12-windows-i586-p-s.exe,版本为JRE 版本1.6.0_12 Java HotSpot (TM)

2、IE的浏览器一定把安全级别为低或者中低,否者打的开界面将是空的。

三、ACS的配置

1、ACS管理员帐号

Step 1>点击ACS界面左边的Administration control 按钮,然后点击Administrator control界面中的Add Administrator

Step 2>点击Add administrator 后出现此账户的诸多选项,逐一填写后点击Submit

Step3>了管理员后就可以通过web界面登录到ACS服务器对ACS进行配置

如:http://10.10.10.110:2002

2、ACS网络(添加Tacacs+客户端

Step1>点击ACS界面的Network Configuration按钮,出现网络配置界面,然后点击Add Entry,

Step2>添加Tacacs+客户端(ACS中必须指定Tacacs+客户端的名字、IP地址、key)

3、Tacacs+

Step1>点击ACS界面左边Interface configuration 按钮,选择TACACS+ (Cisco IOS)

Step2>根据个人具体应用,在Tacacs+相关项目中打勾(如果没有将tacacs+相关项目选中,则在用户组/用户属性中将不会出现tacacs+相关项目)

4、设备端tacacs+服务器的指定

在cisco设备端用以下命令指定ACS tacacs+服务器

R1(config)# tacacs-server host 10.10.10.110

R1(config)# tacacs-server directed-request

R1(config)# tacacs-server key xinhua

5、添加用户组

Step1>在ACS界面左边点击Group Setup

Step2>在下拉列表中选取某个组,给这个组重命名,接着选择Edit setting进入组的属性配置

Step3>在组的enable option 中的Max privilege for any AAA Client组的级别

6、添加用户

Step1>在ACS界面的左边点击user setup 按钮

Step2>在user方框中填写用户名,然后点击ADD/Edit

Step3>在出现的用户属性中逐一填写

Step4>选择用户属于哪个用户组

Step5>选择用户属于的级别(可以定义单个用户级别,也可以和所属的用户组级别一样)

Step6>用户的enable 密码

好的,到这里基本配置就算是配完了,接下来我们来演示一下AAA功能的实现

四、ACS功能

1、ACS认证

a)在设备端定义tacacs+服务器地址以及key

R1(config)# tacacs-server host 10.10.10.110

R1(config)# tacacs-server directed-request

R1(config)# tacacs-server key xinhua

b)在ACS端定义设备的IP地址(参考ACS基本配置)

c)在ACS上面建立用户名和用户组

d)在设备端配置AAA认证

R1(config)# enable secret 123 …定义enable密码

R1(config)# username abc password 456 …定义本地数据库

R1(config)# aaa new-model …启用AAA认证

R1(config)# aaa authentication login default group tacacs+ local …登陆验证默认为采用先ACS服务器再本地验证(当ACS服务器不可达才用本地数据库验证)

R1(config)# aaa authentication enable default group tacacs+ enable …enable进入特权模式默认为采用先ACS服务器再本地enable的密码R1(config)# line vty 0 4

R1(config)# login authentication default …telnet登陆采用前面定义的default

e)验证

? telnet登陆:telnet 10.10.10.100,输入ACS服务器的用户名和密码,登陆成功,用本地数据库用户名和密码登陆失败(因为根据前面,R1首先会去ACS服务器进行验证,当ACS服务器不可达时,才会用本地数据库验证)

我们可以试着断开ACS与路由的连接,然后再进行登陆,这时则必须用本地数据库验证,也就是用户名为abc 密码为456

? enable进入特权测试

相关文档
最新文档