AAA ( Authentication Athoright
Accounting)
AAA:
Authentication là phần quan trọng nhất\
·
Authentication
+ Cisco secure ACS Solution Engine: dịch
vụ aaa đc cài đặt trên router hoặc trên network access server (NAS)
+ Self contained AAA: dịch vụ aaa đc cài đặt
trên router hoặc NAS. Cái này gọi là Local authentication
Thông
thường aaa sử dụng để xác thực user truy cập tới mạng lan thông qua kết nối từ
xa. Ngoài ra xác thực truy cập admin tới cổng console của router hay cổng vty.
AAA
access control thì được hỗ trợ trên sản phẩm của Cisco, Có thể sử dụng tên và
password trên router hoặc qua 1 csdl bảo mật.
- Local user :
B1:
R(Config)#username name
privil 15 password password // tạo user
B2:
R(Config-line)# login local // login local ( ở mode vty,
console)
- Local user/pass database : sử dụng xác
thực cho mô hình mạng nhỏ
Su dung
AAA de cau hinh local user database ( sử dụng aaa trên local router ).
+ Những câu lệnh dưới đây được nhập
theo thứ tự
R(Config)#aaa
new-model
R(Config)#username
username password password
R(Config)#aaa
authentication login default local
+ Duoi day la nhung danh sach' lenh
authentication hoan trinh cho Cisco ios ver 12.2 or later
R(Config)#aaa
authentication arap // lenh nay su dung xac' thuc RADIUS
hoac TACACS+
R(Config)#aaa
authentication banner //
Sd lenh nay de tao mot banner login
R(Config)#aaa
authentication enable default //lenh nay de enable aaa authen
de xac' dinh lieu rang 1 user co the truy cap mode privleged hay ko
R(Config)#aaa
authentication fail-message //lenh nay de hien thi khi nguoi dung login
fail
R(Config)#aaa
authentication local-override //lenh
nay dung de xac' thuc user local database truoc khi khi thuc hien xac' thuc
khac'
R(Config)#aaa
authentication login //xac'
thuc authen tai thoi diem login
R(Config)#aaa
authentication nssi //xac
thuc authen qua 1 server nssi
R(Config)#aaa
authentication password-prompt //xac thuc authen password qua 1 thong
bao' dang text
R(Config)#aaa
authentication ppp //Dung de chi dinh 1 hoac nhieu
phuong phap xac' thuc su dung tren interface serial chay ppp
R(Config)#aaa
authentication username-prompt //xac thuc authen username qua 1 thong
bao' dang text
+ 3 lenh xac' thuc quan trong ma ban
can phai nho:
R(Config)#aaa
authentication login command
R(Config)#aaa
authentication ppp command
R(Config)#aaa
authentication enable default command
Sau khi
bạn enable aaa tren access server, bạn cần định nghĩa phương thức danh sách, và
áp danh sách đó đến mode vty hoặc mode console
Có những
mẫu bảo mật đã đc định nghĩa sẵn, chỉ ra những service ppp, dot1x hoặc login,
authentication medthod
Bạn chỉ có thể chỉ định được 5 phương pháp xác thực ( local, group tacacs+, group radius, line, hoac enable authentication ) để áp tới mode line hoặc interface.
Bạn chỉ có thể chỉ định được 5 phương pháp xác thực ( local, group tacacs+, group radius, line, hoac enable authentication ) để áp tới mode line hoặc interface.
Mặc dù
trong chương này là xác thực trên local user database
Bạn có
thể áp dụng các phương pháp xác thực trên để dự phòng, ví dụ : xác thực radius,
group tacacs+, group radius, local )
LAP AAA
+ Phần 1: Cấu hình xác thực local
account
( Chu'
y' : nếu AAA được enable thì lênh login
local trên mode vty bị bỏ đi )
-R1(config)#username admin01 privil
15 pass admin01pass
-R1(config)#line
console 0 hoac line vty 0 4
-R1(config-line)#login
local
(Chú ý :
Cấu hình local user authen, khi user có privil 1 mà nhập được pass enable thì
user đó có quyền admin, vì pass enable là pass ở privil 15 )
+ Phần 2: Cấu hình xác thực AAA local account
trên router
-R3(config)#username Admin02 privilege 15 secret Admin02pass
-R3(config)#aaa
new-model
-R3(config)#aaa
authen login default local
-R3(config-line)#login
authentication default local
// kiểm
tra hệ thống đăng nhập thành công hoặc ko thành công bằng xác thực aaa)
-R3#clock set 14:15:00 27 July 2015 // Đặt thời gian
-R3#show run | include timestamps
// kiem tra xem lenh service timestamps debug datetime msec va` lenh
service timestamps log datetime msec da dc bat hay chua
-R3#copy run start
-R3#aaa debug authentication //AAA
Authentication debugging is on
Tu`
router2 thuc hien telnet den router 3, tren man` hinh R3 ban quan sat entry
thu' 3 : se thay' user dang nhap admin01, quyen privil 15, login
-R3#undebug all // lenh dung de
disable debug
+ Phần 3: Cấu hình xác thực qua
Server Radius
-R3(config)#aaa
new-model
-R3(config)#aaa
authentication login default group radius \\Configure
the default login authentication list.
-R3(config)#radius-server host 10.1.1.1 key tct@123
( Chu' y': kiem tra router giao tiep
voi Radius server)
-R3(config)#radius-server host 192.168.1.3 // kiem tra output hien thi port
authentication va port accountting
-R3#show run | incl radius // Kiem tra command line radius trong running
config
OUTPUT:
aaa
authentication login default group radius none
radius-server
host 192.168.1.3 auth-port 1645 acct-port 1646 key 7 097B47072B04131B1E1F
Thong tin hien thi dau
ra thong bao' rang radius server dang cau hinh chay tren cong 1645 va 1646
// Kiem tra cong tren
Radius Server tren PC A SETTING\SYSTEM ( Mac dinh phan mem radius chay tren cong
1812 1813 )
// Thay doi port Radius
tren router R3
+ Xoa' cau
hinh truoc' su dung lenh sau :
R1(config)#no radius-server host 10.1.1.1
auth-port 1645 acct-port 1646
+ Cau' hinh
lai cong Radius tren route la : 1812, 1813
R1(config)#radius-server host 10.1.1.1
auth-port 1812 acct-port 1813 key tct@123
//The following message
should display on the RADIUS server log.
User
(RadUser) authenticate OK.
VD: Tao 1 danh sach' xac' thuc va
kiem tra no'
a.R3(config)#aaa
authentication login TELNET_LINES group radius
b.R1(config)#line vty 0
4 \\
apply danh sach' xac' thuc aaa vao mode vty
R1(config-line)#login authentication
TELNET_LINES
+ LAP
Cac' buoc Cau hinh voi Radius server
R1(config)#aaa new-model
R1(config)# aaa authen login giapdv
group radius local // Xac' thuc radius => local
R1(config)#radius-server host
192.168.1.3
R1(config)#no radius-server host
192.168.1.3 auth-port 1645 acct-port 1646
R1(config)#radius-server host
192.168.1.3 auth-port 1812 acct-port 1813
R1(config-if)#login authen giapdv
Blog hay ma khong co bao nhieu nguoi comment het vay
Trả lờiXóaThanks