Tweet
Thuật ngữ xác thực, thẩm quyền, và tính toán cước (Authentication, Authorization, và Accounting - AAA) ám chỉ đến một số dịch vụ bảo mật phổ biến. Phần này tập trung vào ký tự A đầu tiên trong AAA – là xác thực (authentication) và nó dùng để quản lý truy cập dến router và IOS của switch như thế nào. Phương thức xác thực mạnh nhất được dùng để quản lý truy cập đến router hay IOS của switch là dùng TACACS+ hay RADIUS. Sản phẩm ACS (Cisco Secure Access Control Server) là một sản phẩm phần mềm có thể cài trên Linux, Unix và vài hệ điều hành Window. Máy chủ sẽ lưu các tên người dùng và mật khầu được sử dụng trong quá trình xác thực. Các router và switch sau đó cần phải nhận tên người dùng và mật khẩu, gửi các thông tin này dưới dạng mã hóa và nhận thông điệp trả lời. Sau đó sẽ chấp nhận hay từ chối yêu cầu truy cập. Bảng 21.1 tóm tắt các thông tin chủ chốt về RADIUS và TACACS+.
+ Dùng tập hợp phương thức xác thực mặc định
Cấu hình xác thực AAA bao gồm vài lệnh để định nghĩa các phương thức xác thực. Một phương thức xác thực là cách thức để xác thực hoặc thẩm định một người dùng. Ví dụ, một phương thức là yêu cầu máy chủ RADIUS xác thực một người dùng đang đăng nhập, một cách thức khác là để router tìm kiếm các lệnh định nghĩa username trong cấu hình cục bộ của router.
Một tập hợp của các phương thức cấu hình được đại diện bằng một danh sách có thứ tự, trong đó từng phương thức được thử theo thứ tự cho đến khi nào một phương thức nào đó trả về một thông điệp là từ chối hay chấp nhận người dùng.
Cấu hình đơn giản nhất của AAA sẽ định nghĩa một tập hợp của các phương thức xác thực được dùng một cách mặc định cho các truy cập vào router hay vào switch. Ngoài ra, một tập hợp mặc định của các phương thức xác thực được dùng bởi lệnh enable. Phương thức xác thực mặc định áp dụng vào tất cả các tiến trình truy cập: console, Telnet và aux.
Phương thức xác định mặc định được dùng bởi lệnh enable đơn giản mô tả IOS của Cisco làm gì khi người dùng gõ lệnh enable. Cấu hình tổng thể sử dụng các bước sau:
Ví dụ dưới đây hiển thị một cấu hình router mẫu dùng các lệnh này. Trong trường hợp này, hai máy chủ RADIUS được cấu hình. Một máy chủ dùng cổng mặc định 1645 và máy chủ còn lại dùng cổng 1812. Theo cấu hình dưới đây, router này cố gắng xác thực như sau:
Lệnh kế tiếp mô tả rằng mật khẩu enable secret password vẫn được cấu hình nhưng sẽ không được dùng. Lệnh username định nghĩa một username/password sẽ được dùng cho quá trình xác thực nếu máy chủ RADIUS không được thấy bởi máy chủ. Chú ý rằng số 0 trong câu lệnh username có ý nghĩa chỉ ra rằng mật khẩu không được mã hóa.
R1# show running-config
! lines omitted for brevity
enable secret 5 $1$GvDM$ux/PhTwSscDNOyNIyr5Be/
username cisco password 0 cisco
Kế tiếp, AAA được bật lên. Các phương thức xác thực mặc định và phương thức xác thực để vào chế độ enable được định nghĩa.
aaa new-model
aaa authentication enable default group radius local
aaa authentication login default group radius none
Kế tiếp, hai máy chủ Radius được định nghĩa. Các giá trị cổng bị bỏ qua khi lệnh radius-server host 10.1.1.2 được thực hiện. IOS sẽ tự động điền vào giá trị cổng mặc định. Tương tự, lệnh radius-server host 10.1.1.1 auth-port 1812 được thực hiện với IOS tự động thêm vào giá trị cổng trong câu lệnh.
radius-server host 10.1.1.1 auth-port 1812 acct-port 1646
radius-server host 10.1.1.2 auth-port 1645 acct-port 1646
radius-server key cisco
Trước khi AAA được cấu hình, cả hai line console và vty đều đã cấu hình các lệnh login và password như liệt kê trong ví dụ trên. Việc bật AAA sẽ xóa các lệnh login. Thay vào đó mặc định lệnh aaa authentication login default ở chế độ toàn cục sẽ được dùng. Các password trong chế độ line sẽ chỉ được dùng nếu trong câu lệnh aaa authentication login có chỉ ra phương thức là line.
line con 0
password cisco
line vty 0 4
password cisco
Xác thực AAA cho phép tham chiếu đến nhiều máy chủ và nhiều phương thức xác thực để một người dùng có thể chỉ được xác thực chỉ nếu một phương thức xác thực không làm việc. Lệnh aaa authentication hỗ trợ lên đến 4 phương thức trên một lệnh duy nhất. Thêm vào đó, không có giới hạn thực tế đối với số máy chủ RADIUS và TACACS+. Thuật toán được dùng bởi IOS của Cisco khi dùng các phương thức này là như sau:
Ví dụ, cấu hình dưới đây khai báo máy chủ RADIUS 10.1.1.1 và 10.1.1.2 theo thức tự đó, vì vậy các máy chủ này sẽ được kiểm tra trong cùng thứ tự. Nếu không có bất kỳ thông điệp trả lời nào thì phương thức kế tiếp sẽ được dùng. Phương thức none có nghĩa là tự động cho người dùng vào và xác thực dựa trên lệnh username.
Bảng 21.2 liệt kê các phương thức xác thực phổ biến cho phép đăng nhập vào chế độ enable mode cùng với một mô tả ngắn.
+ Nhóm các máy chủ của AAA
Mặc định, IOS của Cisco tự động nhóm các máy chủ RADIUS và TACACS+ được cấu hình bởi câu lệnh radius-server host và tacacs-server host vào một nhóm, gọi là Radius và Tacacs+.
Lệnh aaa authentication bao gồm từ khóa group radius hoặc group tacacs+ để chỉ đến các nhóm mặc định. Mặc định, tất cả các máy chủ RADIUS định nghĩa trong group radius và các máy chủ TACACS+ định nghĩa trong group tacacs+. Trong vài trường hợp, đặc biệt là với những triển khai cho những hệ thống mạng quay số dạng lớn, một thiết kế có thể dùng các tập hợp khác nhau của các máy chủ RADIUS hay TACACS+. Để làm được điều đó, các máy chủ có thể nhóm với nhau bằng tên. Ví dụ dưới đây hiển thị một cấu hình với hai máy chủ trong một nhóm RADIUS có tên là fred và mô tả lệnh aaa authentication có thể tham chiếu đến một nhóm như thế nào.
Ba lệnh kế tiếp tạo ra một nhóm tên fred của các máy RADIUS. Chú ý rằng các máy chủ được cấu hình bên trong nhóm AAA, dùng lệnh server. Cũng chú ý rằng IOS thêm vào các lệnh auth-port và acct-port tự động.
R1(config)# aaa group server radius fred
R1(config-group)# server 10.1.1.3 auth-port 1645 acct-port 1646
R1(config-group)# server 10.1.1.4 auth-port 1645 acct-port 1646
Để dùng nhóm có tên là fred thay vì là nhóm mặc định, lệnh aaa authentication cần phải tham chiếu đến một nhóm có tên là fred, như được hiển thị kế tiếp.
aaa new-model
aaa authentication enable default group fred local
aaa authentication login default group fred none 4.Bỏ qua các truy cập mặc định cho vấn đề bảo mật truy cập
Các cổng console, vty và aux có thể vượt qua việc sử dụng phương thức xác thực mặc định. Để làm được việc này, trong chế độ cấu hình ở chế độ line, lệnh login authentication name được dùng để chỉ đến tên một tập hợp các phương thức xác thực khác.
Ví dụ dưới đây hiển thị một nhóm các phương thức cấu hình được gọi là dành riêng cho từng phương thức (for-console, for-vty và for-aux). Trong đó từng phương thức áp dụng vào các phương thức truy cập khác nhau.
Mỗi nhóm được đặt tên định nghĩa một tập hợp các phương thức xác thực khác nhau. Ví dụ dưới đây mô tả một cấu hình trong đó hiện thực các yêu cầu sau:
Cấu hình dưới đây thêm vào đoạn cấu hình đã có trong ví dụ trước đó.
aaa authentication login for-console group radius line
aaa authentication login for-vty group radius local
aaa authentication login for-aux group radius
Các phương thức được bật lên dưới đây bằng lệnh login authentication. Chú ý rằng các mật khẩu khai báo cục bộ vẫn tồn tại trong các cổng console và vty. Đối với cổng console, mật khẩu của line console sẽ được dùng nếu tất cả các máy chủ Radius đều không trả lời. Tuy nhiên, lệnh vty password sẽ không được dùng bởi cấu hình này.
line con 0
password 7 14141B180F0B
login authentication for-console
line aux 0
login authentication for-aux
line vty 0 4
password 7 104D000A0618
login authentication for-vty
+ Dùng tập hợp phương thức xác thực mặc định
Cấu hình xác thực AAA bao gồm vài lệnh để định nghĩa các phương thức xác thực. Một phương thức xác thực là cách thức để xác thực hoặc thẩm định một người dùng. Ví dụ, một phương thức là yêu cầu máy chủ RADIUS xác thực một người dùng đang đăng nhập, một cách thức khác là để router tìm kiếm các lệnh định nghĩa username trong cấu hình cục bộ của router.
Một tập hợp của các phương thức cấu hình được đại diện bằng một danh sách có thứ tự, trong đó từng phương thức được thử theo thứ tự cho đến khi nào một phương thức nào đó trả về một thông điệp là từ chối hay chấp nhận người dùng.
Cấu hình đơn giản nhất của AAA sẽ định nghĩa một tập hợp của các phương thức xác thực được dùng một cách mặc định cho các truy cập vào router hay vào switch. Ngoài ra, một tập hợp mặc định của các phương thức xác thực được dùng bởi lệnh enable. Phương thức xác thực mặc định áp dụng vào tất cả các tiến trình truy cập: console, Telnet và aux.
Phương thức xác định mặc định được dùng bởi lệnh enable đơn giản mô tả IOS của Cisco làm gì khi người dùng gõ lệnh enable. Cấu hình tổng thể sử dụng các bước sau:
- Bước 1: Bật xác thực AAA bằng lệnh ở chế độ toàn cục aaa new-model.
- Bước 2: Nếu dùng RADIUS hay TACACS+, hãy định nghĩa địa chỉ IP và khóa mã hóa được dùng bởi máy chủ bằng cách dùng lệnh radius-server host, radius-server key, tacacs-server host, và tacacs-server key.
- Bước 3: Định nghĩa tập hợp các phương thức mặc định được dùng bởi tất cả các truy cập CLI bằng cách dùng lệnh aaa authentication login default.
- Bước 4: Định nghĩa tập hợp mặc định của các phương thức xác thực được dùng cho chế độ enable-mode bằng cách dùng lệnh aaa authentication enable default.
Ví dụ dưới đây hiển thị một cấu hình router mẫu dùng các lệnh này. Trong trường hợp này, hai máy chủ RADIUS được cấu hình. Một máy chủ dùng cổng mặc định 1645 và máy chủ còn lại dùng cổng 1812. Theo cấu hình dưới đây, router này cố gắng xác thực như sau:
- Khi có một truy cập vào router được thực hiện, IOS của Cisco cố gắng xác thực dùng máy chủ RAIDUS đầu tiên. Nếu không có thông điệp trả lời, IOS sẽ cố thử với máy chủ RADIUS thứ hai, nếu cũng không có trả lời, người dùng sẽ được phép vào router mà không cần xác thực (chế độ authentication none).
- Khi bất cứ người dùng nào thực hiện lệnh enable, router sẽ cố gắng thử với máy chủ RADIUS trước, theo thứ tự đó, nếu không có máy chủ RADIUS nào trả lời, router sẽ chấp nhận tên người dùng và mật khẩu được cấu hình cục bộ trên router là cisco/cisco.
Lệnh kế tiếp mô tả rằng mật khẩu enable secret password vẫn được cấu hình nhưng sẽ không được dùng. Lệnh username định nghĩa một username/password sẽ được dùng cho quá trình xác thực nếu máy chủ RADIUS không được thấy bởi máy chủ. Chú ý rằng số 0 trong câu lệnh username có ý nghĩa chỉ ra rằng mật khẩu không được mã hóa.
R1# show running-config
! lines omitted for brevity
enable secret 5 $1$GvDM$ux/PhTwSscDNOyNIyr5Be/
username cisco password 0 cisco
Kế tiếp, AAA được bật lên. Các phương thức xác thực mặc định và phương thức xác thực để vào chế độ enable được định nghĩa.
aaa new-model
aaa authentication enable default group radius local
aaa authentication login default group radius none
Kế tiếp, hai máy chủ Radius được định nghĩa. Các giá trị cổng bị bỏ qua khi lệnh radius-server host 10.1.1.2 được thực hiện. IOS sẽ tự động điền vào giá trị cổng mặc định. Tương tự, lệnh radius-server host 10.1.1.1 auth-port 1812 được thực hiện với IOS tự động thêm vào giá trị cổng trong câu lệnh.
radius-server host 10.1.1.1 auth-port 1812 acct-port 1646
radius-server host 10.1.1.2 auth-port 1645 acct-port 1646
radius-server key cisco
Trước khi AAA được cấu hình, cả hai line console và vty đều đã cấu hình các lệnh login và password như liệt kê trong ví dụ trên. Việc bật AAA sẽ xóa các lệnh login. Thay vào đó mặc định lệnh aaa authentication login default ở chế độ toàn cục sẽ được dùng. Các password trong chế độ line sẽ chỉ được dùng nếu trong câu lệnh aaa authentication login có chỉ ra phương thức là line.
line con 0
password cisco
line vty 0 4
password cisco
- Dùng nhiều phương thức xác thực
Xác thực AAA cho phép tham chiếu đến nhiều máy chủ và nhiều phương thức xác thực để một người dùng có thể chỉ được xác thực chỉ nếu một phương thức xác thực không làm việc. Lệnh aaa authentication hỗ trợ lên đến 4 phương thức trên một lệnh duy nhất. Thêm vào đó, không có giới hạn thực tế đối với số máy chủ RADIUS và TACACS+. Thuật toán được dùng bởi IOS của Cisco khi dùng các phương thức này là như sau:
- Dùng phương thức được liệt kê đầu tiên trước, nếu phương thức đó không trả lời, chuyển sang phương thức thứ hai và sau đó qua phương thứ kế tiếp cho đến khi nào có một phương thức trả lời. Phương thức đầu tiên trả lời sẽ được router sử dụng (cho phép hoặc từ chối.
- Nếu một phương thức khai báo một tập hợp đến một hoặc nhiều máy chủ, hãy thử máy chủ đầu tiên trước, trong đó “đầu tiên” được dựa trên thứ tự của các lệnh trong tập tin cấu hình. Nếu không có trả lời, chuyển sang máy chủ tuần tự kế tiếp và cứ thế tiếp tục cho đến khi nào có một máy chủ trả lời. Máy chủ đầu tiên trả lời (cho phép hoặc từ chối) sẽ được router dùng.
- Nếu không có trả lời nào từ bất cứ phương thức nào, yêu cầu sẽ bị từ chối.
Ví dụ, cấu hình dưới đây khai báo máy chủ RADIUS 10.1.1.1 và 10.1.1.2 theo thức tự đó, vì vậy các máy chủ này sẽ được kiểm tra trong cùng thứ tự. Nếu không có bất kỳ thông điệp trả lời nào thì phương thức kế tiếp sẽ được dùng. Phương thức none có nghĩa là tự động cho người dùng vào và xác thực dựa trên lệnh username.
Bảng 21.2 liệt kê các phương thức xác thực phổ biến cho phép đăng nhập vào chế độ enable mode cùng với một mô tả ngắn.
+ Nhóm các máy chủ của AAA
Mặc định, IOS của Cisco tự động nhóm các máy chủ RADIUS và TACACS+ được cấu hình bởi câu lệnh radius-server host và tacacs-server host vào một nhóm, gọi là Radius và Tacacs+.
Lệnh aaa authentication bao gồm từ khóa group radius hoặc group tacacs+ để chỉ đến các nhóm mặc định. Mặc định, tất cả các máy chủ RADIUS định nghĩa trong group radius và các máy chủ TACACS+ định nghĩa trong group tacacs+. Trong vài trường hợp, đặc biệt là với những triển khai cho những hệ thống mạng quay số dạng lớn, một thiết kế có thể dùng các tập hợp khác nhau của các máy chủ RADIUS hay TACACS+. Để làm được điều đó, các máy chủ có thể nhóm với nhau bằng tên. Ví dụ dưới đây hiển thị một cấu hình với hai máy chủ trong một nhóm RADIUS có tên là fred và mô tả lệnh aaa authentication có thể tham chiếu đến một nhóm như thế nào.
Ba lệnh kế tiếp tạo ra một nhóm tên fred của các máy RADIUS. Chú ý rằng các máy chủ được cấu hình bên trong nhóm AAA, dùng lệnh server. Cũng chú ý rằng IOS thêm vào các lệnh auth-port và acct-port tự động.
R1(config)# aaa group server radius fred
R1(config-group)# server 10.1.1.3 auth-port 1645 acct-port 1646
R1(config-group)# server 10.1.1.4 auth-port 1645 acct-port 1646
Để dùng nhóm có tên là fred thay vì là nhóm mặc định, lệnh aaa authentication cần phải tham chiếu đến một nhóm có tên là fred, như được hiển thị kế tiếp.
aaa new-model
aaa authentication enable default group fred local
aaa authentication login default group fred none 4.Bỏ qua các truy cập mặc định cho vấn đề bảo mật truy cập
Các cổng console, vty và aux có thể vượt qua việc sử dụng phương thức xác thực mặc định. Để làm được việc này, trong chế độ cấu hình ở chế độ line, lệnh login authentication name được dùng để chỉ đến tên một tập hợp các phương thức xác thực khác.
Ví dụ dưới đây hiển thị một nhóm các phương thức cấu hình được gọi là dành riêng cho từng phương thức (for-console, for-vty và for-aux). Trong đó từng phương thức áp dụng vào các phương thức truy cập khác nhau.
Mỗi nhóm được đặt tên định nghĩa một tập hợp các phương thức xác thực khác nhau. Ví dụ dưới đây mô tả một cấu hình trong đó hiện thực các yêu cầu sau:
- Console: cố gắng thử máy chủ RADIUS và sau đó dùng mật khẩu trong chế độ line nếu không có trả lờI từ server.
- VTY: thử dùng máy chủ RADIUS trước và dùng username/password cục bộ nếu không có trả lời từ máy chủ.
- Aux: thử dùng xác thực trên máy chủ RADIUS truớc và không xác thực nếu không có trả lời từ máy chủ.
Cấu hình dưới đây thêm vào đoạn cấu hình đã có trong ví dụ trước đó.
aaa authentication login for-console group radius line
aaa authentication login for-vty group radius local
aaa authentication login for-aux group radius
Các phương thức được bật lên dưới đây bằng lệnh login authentication. Chú ý rằng các mật khẩu khai báo cục bộ vẫn tồn tại trong các cổng console và vty. Đối với cổng console, mật khẩu của line console sẽ được dùng nếu tất cả các máy chủ Radius đều không trả lời. Tuy nhiên, lệnh vty password sẽ không được dùng bởi cấu hình này.
line con 0
password 7 14141B180F0B
login authentication for-console
line aux 0
login authentication for-aux
line vty 0 4
password 7 104D000A0618
login authentication for-vty