浅谈 —— AAA认证(认证+授权)详解+配置
目录
一、AAA认证简介:
二、认证流程:
三、相关配置配置:
(1)认证:
(2)授权:
一、AAA认证简介:
AAA是认证(Authentication)、授权(Authorization)和计费(Accounting)的简称,是网络安全中进行访问控制的一种安全管理机制,提供认证、授权和计费三种安全服务,数据中心被大量应用
AAA提供的安全服务具体是指:
- 认证(Authentication):是对用户的身份进行验证,判断其是否为合法用户。
- 授权(Authorization):是对通过认证的用户,授权其可以使用哪些服务。
- 审计(Accounting):是记录用户使用网络服务的资源情况,这些信息将作为计费的依据。
——————————————————————————————————————————————————————————
二、认证流程:
数据中心常用(用于控制工程师权限,员工权限等.....)
——————————————————————————————————————————————————————————
三、相关配置配置:
(1)认证:
- ①第一步:开启AAA认证
r2(config)#aaa new-model
- ②第二步:配置线下保护(console接口不参与AAA认证 , 防止某天AAA认证服务器出现故障时,不能通过调试线缆操作服务器)(!!!)
r2(config)#aaa authentication login no-rz line none
——对登录的流量做一个名称为no-rz(不认证)的策略:如果原来这个console接口配置了一个password认证,
还是采用原来的password认证,如果没有配置的话,我后面就对这个console接口不认证了也可以给console接口配置一个简单的密码:r2(config)#line console 0
r2(config-line)#password 123456
r2(config-line)#login authentication no-rz //调用策略no-rz
r2(config-line)#exit
- ③第三步:对R1设备telnet我R2的时候提供AAA认证
r2(config)#user aaa password bbb // 创建本地用户名和密码数据库r2(config)# tacacs-server host 192.168.100.100 key kkk
r2(config)# radius-server host 192.168.100.100 key kkk
//声明TACACS服务器或者radius服务器在哪,与这个AAA认证服务器传输数据的时候加密的密钥是KKKr2(config)#aaa authentication login telnet-rz group tacacs+ local
(//认证的时候先进行AAA server 认证,如果AAA server认证失败或者AAA server不存在的话,进行本地认证。)
(r2(config)#aaa authentication login telnet-rz local group tacacs+)
//先采用本地数据库对login(登录)行为进行认证,如果本地数据库没有配置则采用身后的AAA认证服务器里面的用户名和密码对客户进行认证,认证策略名称为telnet-rzr2(config)#line vty 0 8 //在VTY线程里调用认证策略
r2(config-line)#login authentication telnet-rz
r2(config-line)#exit
————————————————————————————————————————————————————————
(2)授权:
- ④第四步:对R1设备telnet我R2的时候提供AAA 用户级别授权
- 用户级别一共有0——15,共16个级别,15级权限最高,0和1级都有其特定的命令,2-14级没有,15级有些命令是属于1和0级的,2-14级命令库是空的,但是由于2-14级别比0和1级要高,所以权力使用0和1级的,但是0和1级的命令所有权是属于本身的。例如,我给我儿子买了玩具,这个玩具的所有权是属于我儿子的,但是我有权力使用这些玩具。
show privilege ——查看用户级别
r2(config)#username aaa privilege 5 //在本地定义这个用户级别为5r2(config)#aaa authorization exec telnet-author group tacacs+ local
exec:登录后直接进入到特权模式
r2(config)#aaa authorization exec telnet-author local group tacacs+
//先采用本地授权,如果我和服务器失去联系,再采用身后的AAA服务器为客户进行授权r2(config)#line vty 0 8 //在telnet里面调用授权策略
r2(config-line)#authorization exec telnet-author
r2(config-line)#exit
- ⑤第五步:AAA本地命令授权
r2(config)#privilege exec level 5 config t
config t //是在EXEC特权模式下输入的,把这个命令剪切到5级命令库里面去r2(config)#privilege configure level 5 int
interface是在configuration 全局模式下输入的,把此命令剪切到5级里面去r2(config)#privilege interface level 5 ip address
r2(config)#privilege interface level 5 no shut r2(config)#privilege configure all level 5 router
把router后面的所有配置命令都剪切到5级命令库里面;router配置命令在configuration模式下输入的
详细:
1、(33条消息) 配置AAA认证和授权_青红造了个大白之成长记-CSDN博客_aaa new-model
2、(33条消息) 网络设备 密码、用户级别 AAA授权 的管理_centos的博客-CSDN博客
浅谈 —— AAA认证(认证+授权)详解+配置相关推荐
- Vert.x(vertx) 认证和授权详解(包含认证和授权在Web系统中的使用)
每个线上系统几乎都是离不开认证和授权的,Vert.x提供了灵活.简单.便捷的认证和授权的支持.Vert.x抽象出了两个核心的认证和授权的接口,一个是AuthProvider,另一个是User.通过这两 ...
- 浅谈移动端——前端适配详解
1. 什么是前端适配 从UI展现层面上: 我们期望不同尺寸的设备,页面可以自适应的展示或者进行等比缩放,从而在不同的尺寸的设备下看起来协调或者差不多. 从代码实现层面上: 我们希望前端适配可以用用尽可 ...
- 思科ccna认证路由器路由表详解-ielab
思科ccna认证路由器路由表详解-ielab互联网络将世界上各种类型的计算机以及其他终端设备连接在了一起,使得这些设备能够协同工作,使得能够进行相互通信.在IP网络中,数据遵循IP协议所定义的格式,设 ...
- linux 子域dns,linux下搭建DNS子域及相关授权详解
linux下搭建DNS子域及相关授权详解forward功能是本地无法解析的域名,转发给指定DNS服务器 forward only; 所有无法解析的域名,都转发给指定DNS服务器,必须有解析结果 for ...
- Asp.Net Core 中IdentityServer4 实战之角色授权详解
一.前言 前几篇文章分享了IdentityServer4密码模式的基本授权及自定义授权等方式,最近由于改造一个网关服务,也用到了IdentityServer4的授权,改造过程中发现比较适合基于Role ...
- linux下搭建DNS子域及相关授权详解
linux下搭建DNS子域及相关授权详解 forward功能是本地无法解析的域名,转发给指定DNS服务器 forward only; 所有无法解析的域名,都转发给指定DNS服务器,必须有解析结果 fo ...
- linux做子域dns,linux下搭建DNS子域及相关授权详解
linux下搭建DNS子域及相关授权详解 forward功能是本地无法解析的域名,转发给指定DNS服务器 forward only; 所有无法解析的域名,都转发给指定DNS服务器,必须有解析结果 fo ...
- mongo 3.4分片集群系列之六:详解配置数据库
这个系列大致想跟大家分享以下篇章: 1.mongo 3.4分片集群系列之一:浅谈分片集群 2.mongo 3.4分片集群系列之二:搭建分片集群--哈希分片 3.mongo 3.4分片集群系列之三:搭建 ...
- linux添加cfg,Linux安装详解-配置ks.cfg实现自动安装过程
Linux安装详解-配置ks.cfg实现自动安装过程 之前发过一篇关于通过PXE实现Linux批量无人值守自动安装的文章(可以参考),不过写的只是具体的配置和操作,对于原理部分没有说明,最近通过一段时 ...
- linux防火墙ddos,Linux iptables防火墙详解 + 配置抗DDOS***策略实战
Linux iptables防火墙详解 + 配置抗DDOS***策略实战 Linux 内核中很早就实现了网络防火墙功能,在不同的Linux内核版本中,使用了不同的软件实现防火墙功能. 在2.0内核中, ...
最新文章
- Java 2程序设计,Java2程序设计
- [转]面向对象(1、三大特征;2、六大原则)
- C语言编写简单朗读发音小工具!!
- 尼古拉斯 android_圣尼古拉斯和Alexa的访问
- java基础—IO流——转换流的操作
- 命令 结构_只需一个命令!从你的U盘里读出更多内容
- java createchannel_【原创】java NIO FileChannel 学习笔记 新建一个FileChannel
- 大数据与Hadoop的区别
- 215. Kth Largest Element in an Array
- 获取Linux 2.6.x sys_call_table
- 小甲鱼 C语言 24课 指针和二维数组
- 什么样的家具拆单软件才能称之为好用?全屋定制拆单 衣柜橱柜拆单 sketchup拆单 拆单软件 有屋拆单软件 筑木
- 数学建模之matlab入门篇
- UEditor之实现配置简单的图片上传示例
- 【图像修复】AOT-GAN《Aggregated Contextual Transformations for High-Resolution Image Inpainting》
- STM8应用笔记STM8开发环境
- ionic platform add android环境搭建之难产【i1】【小白-2016.11.5】
- Hadoop-提高性能(调优)方法
- 图像处理------提高图像边缘锐利度之UNSHARP_MASK算法
- FPGA中模为60的BCD码加法计数器