利用ACS实现AAA认证
AAA代表Authentication、Authorization、Accounting,意为认证、授权、记帐,其主要目的是管理哪些用户可以访问服务器,具有访问权的用户可以得到哪些服务,如何对正在使用网络资源的用户进行记帐。
1、 认证:验证用户是否可以获得访问权限——“你是谁?”
2、 授权:授权用户可以使用哪些资源——“你能干什么?”
3、 记帐:记录用户使用网络资源的情况——“你干了些什么?”
一、 实验拓扑介绍
该实验主要完成R1路由通过ACS服务器实现AAA认证,包括验证、授权和记帐,同时还包括PPP验证和计时通过cisco ACS实验
二、 安装cisco ACS
1、 硬软件要求
硬件:Pentium IV 处理器, 1.8 GHz 或者更高
操作系统:Windows 2000 Server
Windows 2000 Advanced Server (Service Pack 4)
Windows Server 2003, Enterprise Edition or Standard
Edition (Service Pack 1)
内存:最小1GB
虚拟内存:最小1GB
硬盘空间:最小1GB可用空间,实际大小根据日志文件的增长,复制和备份的需求而定。
浏览器:Microsoft Internet Explorer 6 或者更高版本
JAVA运行环境:Sun JRE 1.4.2_04 或更高版本
网络要求:
在CISCO IOS 设备上为了全面的支持TACACS+ 和 RADIUS,AAA 客户端必须运行Cisco IOS 11.1 或者更高的版本。
非CISCO IOS 设备上必须用TACACS+,RADIUS或者两者一起配置。
运行ACS的主机必须能ping通所有的AAA客户端。
2、 安装方法(我们用的版本是4.0版本)
打开ACS安装程序文件夹,选中setup 双击。进入安装向导,根据提示进行安装,基本为默认设置
3、 安装完成后的访问
在运行ACS的主机上,通过桌面上的ACS Admin 网页图标,可以访问ACS的web格式的管理台。也可以通过网页浏览器输入地址:http://127.0.0.1:2002 来访问ACS。
注:
? Windows Xp不支持cisco ACS,在此笔者是在虚机中的windows2003sever下安装的
? ACS安装完成后,一定要安装JAVA平台,否则该ACS将不能正常使用,笔者在此安装的是jre-6u12-windows-i586-p- s.exe,版本为JRE 版本 1.6.0_12 Java HotSpot(TM)
三、 ACS的配置
1、 设置ACS管理员帐号
Step 1>点击ACS界面左边的Administration control 按钮 ,然后点击Administrator control界面中的Add Administrator
Step 2>点击Add administrator 后出现此账户的诸多选项,逐一填写后点击Submit
Step3>设置了管理员后就可以通过web界面登录到ACS服务器对ACS进行配置
如:http://10.10.10.110:2002
2、 ACS网络设置(添加Tacacs+客户端
Step1>点击ACS界面的Network Configuration按钮 ,出现网络配置界面,然后点击Add Entry,
Step2>添加Tacacs+客户端(ACS中必须指定Tacacs+客户端的名字、IP地址、key)
3、 Tacacs+设置
Step1>点击ACS界面左边Interface configuration 按钮 ,选择TACACS+ (Cisco IOS)
Step2>根据个人具体应用,在Tacacs+相关项目中打勾(如果没有将tacacs+相关项目选中,则在用户组/用户属性中将不会出现 tacacs+相关项目)
1/3
4、 设备端tacacs+服务器的指定
在cisco设备端用以下命令指定ACS tacacs+服务器
R1(config)# tacacs-server host 10.10.10.110
R1(config)# tacacs-server directed-request
R1(config)# tacacs-server key xinhua
5、 添加用户组
Step1>在ACS界面左边点击Group Setup
Step2>在下拉列表中选取某个组,给这个组重命名,接着选择Edit setting进入组的属性配置
Step3>在组的enable option 中的Max privilege for any AAA Client设置组的级别
6、 添加用户
Step1>在ACS界面的左边点击user setup 按钮
Step2>在user方框中填写用户名,然后点击ADD/Edit
Step3>在出现的用户属性中逐一填写
Step4>选择用户属于哪个用户组
Step5>选择用户属于的级别(可以定义单个用户级别,也可以和所属的用户组级别一样)
Step6>设置用户的enable 密码
好的,到这里基本配置就算是配完了,接下来我们来演示一下AAA功能的实现
四、 ACS功能设置
1、 ACS认证
a) 在设备端定义tacacs+服务器地址以及key
R1(config)# tacacs-server host 10.10.10.110
R1(config)# tacacs-server directed-request
R1(config)# tacacs-server key xinhua
b) 在ACS端定义设备的IP地址(参考ACS基本配置)
c) 在ACS上面建立用户名和用户组
d) 在设备端配置AAA认证
R1(config)# enable secret 123 ‘定义enable密码
R1(config)# username abc password 456 ‘定义本地数据库
R1(config)# aaa new-model ‘启用AAA认证
R1(config)# aaa authentication login default group tacacs+ local ‘设置登陆验证默认为采用先ACS服务器再本地验证(当ACS服务器不可达才用本地数据库验证)
R1(config)# aaa authentication enable default group tacacs+ enable ‘设置enable进入特权模式默认为采用先ACS服务器再本地enable设置的密码
R1(config)# line vty 0 4
R1(config)# login authentication default ‘设置telnet登陆采用前面定义的default
e) 验证
? telnet登陆:telnet 10.10.10.100,输入ACS服务器的用户名和密码,登陆成功,用本地数据库用户名和密码登陆失败(因为根据前面设置,R1首先会去ACS服务器 进行验证,当ACS服务器不可达时,才会用本地数据库验证)
我们可以试着断开ACS与路由的连接,然后再进行登陆,这时则必须用本地数据库验证,也就是用户名为abc 密码为456
? enable进入特权测试
此时输入特权模式密码为ACS服务器上的密码,而非本地路由的enable密码
2、 ACS授权
ACS中可以通过设置用户组/用户的级别privilege来实现不同用户登录设备后可用的命令的不同,也可以通过使用ACS的命令授权来实现不同用户登 录设备的可用命令条目,以下介绍ACS的命令授权
Step1>在ACS的界面左边的share profile components按钮
Step2>点击shell command authorization sets
2/3
Step3>点击Add添加命令集
页面下方有两个方框,左边填写命令的前缀,右边填写命令的后缀,命令后缀填写的语法格式是:permit/deny ***,如本例当中只允许使用show version命令
Step4>将命令集运用到用户组或者用户,在用户组属性当中进行设置,如下图,然后点击submit+restart
Step6>设备端配置
R1(config)# aaa new-model
R1(config)# aaa authorization commands 1 default group tacacs+ local ‘指定级别1能够使用的EXEC命令
R1(config)# aaa authorization commands 15 default group tacacs+ local ‘指定级别15能够使用的EXEC命令
R1(config)# line vty 0 4
R1(config)# authorization commands 1 default ‘应用到telnet登陆进程
R1(config)# authorization commands 15 default
Step7>测试
由于根据前面授权设置,在特权15级别下只能使用show version命令,故其它命令均不能使用
另外,我们也可以在用户组属性中设置该组能够使用特权的最高级别,如下图:
3、 ACS审计
Step1>设备端配置
R1(config)# aaa new-model
R1(config)# aaa accounting exec default start-stop group tacacs+
R1(config)# lin vty 0 4
R1(config)# accounting exec default
Step2>点击ACS界面左边的reports and activity按钮,然后选择TACACS+ Accounting可以具体浏览某一天的记录
Step3>如果要记录用户所用的命令,设备端配置为:
R1(config)# aaa new-model
R1(config)# aaa accounting commands 0 default start-stop group tacacs+
R1(config)# aaa accounting commands 1 default start-stop group tacacs+
R1(config)# aaa accounting commands 15 default start-stop group tacacs+
R1(config)# line vty 0 4
R1(config)# accounting commands 0 default
R1(config)# accounting commands 1 default
R1(config)# accounting commands 15 default
Step4>然后点击report and activity中的TACACS+ Administration,可以浏览某天某用户的所有命令
4、 ppp验证与计时
Step1>验证设备端配置
R1:
R1(config)# aaa authentication ppp jxxh group tacacs+
R1(config)# int s0/0
R1(config-if)# encapsulation ppp
R1(config-if)# ppp authentication pap jxxh
R1(config-if)# ppp pap sent-username r1 password 123
R2:
R2(config)#username r1 password 123
R2(config)# int s1
R2(config-if)# encapsulation ppp
R2(config-if)# ppp authentication pap
R2(config-if)# ppp pap sent-username test password test
在本例PPP验证中,R1采用的是ACS服务器验证,R2依然采用的是本地数据库验证
Step2>计时设备端配置
R1(config)# aaa accounting network jxppp start-stop group tacacs+
R1(config)# int s0/0
R1(config-if)# ppp accounting jxppp
配完后,点击ACS界面左边的reports and activity按钮,然后选择TACACS+ Accounting可以查看ppp连接时间和断开时间
好的,关于cisco acs AAA认证就讲到这里。
转载于:https://blog.51cto.com/liuguirong/975180
利用ACS实现AAA认证相关推荐
- 利用ACS实现AAA服务的搭建
一.原理: 基于 Windows 的思科安全访问控制服务器(ACS) 思科安全访问控制服务器(ACS)是一个高度可扩展.高性能的访问控制服务器,提供了全面的 身份识别网络解决方案,是思科基于身份的网络 ...
- Cisco ACS AAA认证
ACS介绍 思科安全访问控制服务器(Cisco Secure Access Control Server)是一个高度可扩展.高性能的访问控制服务器,提供了全面的身份识别网络解决方案,是思科基于身份的网 ...
- 详解Cisco ACS AAA认证
详解Cisco ACS AAA认证 近来,有些同学会问到关于AAA认证的问题,以及cisco ACS如何使用,那么今天我们就主要来讲一下关于这方面的知识. AAA代表Authentication.Au ...
- 详细讲解CISCO ACS AAA认证(A):
AAA代表Authentication.Authorization.Accounting,意为认证.授权.记帐,其主要目的是管理哪些用户可以访问服务器,具有访问权的用户可以得到哪些服务,如何对正在使用 ...
- 网络安全——浅谈——AAA认证技术——登录授权、配置命令
目录 一.AAA认证简介: AAA认证流程: 实验及配置命令: 第一步:开启AAA认证 第二步:配置线下保护(console接口不参与AAA认证) 第三步:对R1设备telnet我R2的时候提供AAA ...
- 配置AAA认证和授权
一. 目的 1.掌握AAA认证的工作原理. 2.掌握使用Cisco Secure ACS服务器实现AAA认证授权的方法. 二.网络拓扑 三.认证部分实验要求 配置和测试本地和基于认证服务器的AAA认证 ...
- Cisco ISE AAA认证
ISE 介绍 思科身份服务引擎(ISE)是一种身份验证安全服务,可以在简单而灵活的界面中显示用户和设备,查看并通过网络平台共享详细信息,使其了解用户.设备和网络的具体情况.当然Cisco还有类型的产品 ...
- 网络工程基础——AAA认证
网络工程基础--AAA认证 实验环境:EVE-NG 实验拓扑图: 底层配置: R3(config)#interface e0/0 R3(config-if)#ip address 12.1.1.3 2 ...
- windows下ACS服务器的认证
windows下ACS服务器的认证路由器配置:示意图:telnet:[Router]display version Copyright Notice: All ...
最新文章
- 观点 | 商汤科技联合创始人林达华:深度学习遭遇瓶颈,未来之路需要新的思考
- (四)Java B2B2C o2o多用户商城 springcloud架构-断路器(Hystrix)
- Java多线程-Callable和Future
- # Consumed parameters
- (Java)ArrayList集合
- Spring4.3+Webscket 实现聊天、消息推送详解之具体实现(三)
- 【Vegas原创】mysql更改用户密码之无敌方法
- Java多线程开发系列之四:玩转多线程(线程的控制2)
- Java == 与 equals 的不同
- 数据全景洞察概念简介
- android studio 弹出式对话框设置时间_如何设置当单击某个对象时运行指定的应用程序?...
- 蔚来汽车为国人长脸,牌照和品牌将是今后的两大重点
- 大学计算机专业分流考试,北京林业大学计算机类(入学一年后分流至计算机科学与技术、数字媒体技术、网络工程、计算机科学与技术(物联网))专业2016年在江苏理科高考录取最低分数线...
- oracle中算百分比,Oracle百分比分析函数RATIO_TO_REPORT() OVER()实例详解
- w ndows10隐藏桌面设置,据说,这是80%的人都不知道的win10隐藏功能
- vlan绑定_华为S5700交换机设置IP-MAC绑定功能
- 微擎支付返回商户单号_微信刷脸支付流程是怎么样的?
- 招商银行信用卡中心笔试
- 环境建环和给排水工程计算机应用试卷,环境建环和给水排水工程计算机应用教材内容...
- 基于FPGA的VGA显示