Tweet
Lab 19-2: Giới thiệu cơ bản về AAA.
AAA quản lý hoạt động cơ bản của user qua các thiết bị như Switch, Router…. Nó được sử dụng để xác thực, cấp phát quyền, và loggig hay accounting
Authentication (Xác thực).
Để xác định xem user có quền để truy nhập vào thiết bị hay không.
Ta có thể cấu hình để enable AAA trên Router hay Switch
Router(config)#aaa new-model
Ta có thể cấu hình user nội bộ trong thiết bị
Router(config)#username username password password
Định nghĩa TACACS+ hay RADIUS server : AAA server như:Secure Access Control Server(ACS)
Router(config)#tacacs-server host {hostname | ip-address } [key string]
Ở đây thì key ta cấu hình ở router phải trùng với key cấu hình ở server. Định nghĩa các phương thức truy nhập vào Router qua cac line (console, vty)
Router(config)#aaa authentication login {default | list-name} method1 [method2…]
Có một phương thức như sau
Tacacs+: Mỗi TACACS+ server được cấu hình thì Router sẽ cố gắng theo trình tự được cấu hình ở trên.
Radius: Tương tự như tacacs
Local: Nó sẽ lấy các user nội bộ bằng lệnh username
Line: Line password có thể được sử dụng cho bất kỳ user nào
Nếu ta sử dụng default thì nó sẽ áp dụng vào tất cả các line, còn đối với name-list thì ta phải áp dụng nó vào từng line mà ta muốn. Áp dụng các phương thức vào Line(console hoặc vty)
Router(config-line)#login authentication {default | list-name}
Ta cấu hình bảo vệ bằng enable password ở privilege.
Router(config)#aaa authentication enable default method1 [...[method4]]
Authorization(Xác định thẩm quyền)
Sau khi xác thực xong thì không phải tất cả các user đều có quyền như nhau mà ta sẽ phân cấp quyền cho các user theo nhiều cấp khác nhau, cho từng mode khác nhau.
Router(config)#aaa authorization {command | configuration | exec | network| reverse-access} {default | list-name} method1 [method2 …]
Command : Server sẽ trả về quyền cho phép user các lệnh có thể ở privilege level
Config-command: Server sẽ trả về quyền cho phép user có thể sử dụng bất kỳ lệnh nào trên thiết bị
Exec: Nó sẽ áp dụng các thuộc tính thích hợp với exec terminal session.
Network: Áp dụng cho các kết nối như SLIP, PPP, kết nối ARAP
Reverse-access: Server sẽ trả về quyền được reverse telnet từ Router.
Accounting:
Để cho phép server thu thập thông tin từ thiết bị
Router(config)#aaa accounting {system | exec |command | level} {default | list-name} {start-stop | stop-only | wait-start | none } metod1 [method2 …]
System : Cung cấp các sự kiện liên quan đên hệ thống như: reload..
Netword: cung cấp các sự kiện liên quan đến kết nối như : PPP, SLIP, ARAP.
Exec:Cung cấp thông tin về exec của user như địa chỉ ip của user, và thời gian của session.
Start-stop cung cấp sự kiện từ lúc bắt đầu đến lúc kết thúc.
Stop-only: Cung cấp sự kiện chỉ khi kết thúc sự kiện
Wait-start: Các yêu cầu của user chưa đựơc khởi tạo cho đến khi accounting record ack
Cấu hình cho Server(ACS) theo sơ đồ sau:
Trước hết ta tạo aaa client: Khởi đông AAA server: từ của sổ chính ta kích vào Network
configuration thì nó sẽ cho ta cửa sổ sau:
aaa client hostname: ta gỏ host name của router
aaa client address: ta gõ địa chỉ add của router:
Về khóa, ta nhập khóa trùng với key ở router trong lệnh tacacs-server .
Authentication using: chọn tacacs+(cisco ios) nếu sử dung tacacs. Nếu ta muốn dùng Radius, ta có thể chọn vào Radius:
Tiếp theo ta cấu hình cho user: Trước hết ta kích vào user setup: Rồi các bước làm trình tự như sau:
Định nghĩa số session mà user có thể log vào được
- Định nghĩa thời gian mà user bị disable hay enable
Xác định max pivilege cho user khi sử dụng authorization
Xác định password cho user
Xác định password cho user
Cấu hình cho router:
authentication
Router
!
hostname Router
!
aaa new-model “enable aaa”
!
aaa authentication login default group tacacs+ local “ cấu hình authentication cho các line”
aaa authentication enable default group tacacs+ enable “Cấu hình enable cho privilege”
aaa session-id common
enable password cisco
!
username cuong password 0 cisco
memory-size iomem 10
ip subnet-zero
!
no ip domain lookup
!
interface Ethernet0/0
ip address 192.168.2.1 255.255.255.0
full-duplex
!
ip classless
ip http server
!
tacacs-server host 192.168.2.2 key cuong
!
end
Authorization local
Router!
hostname Router
!
aaa new-model
!
aaa authentication login default group tacacs+ local
aaa authentication enable default group tacacs+ enable
aaa authorization exec default local “Cho phép user thực hiện session”
aaa authorization commands 0 default local
aaa authorization commands 7 default local
aaa authorization commands 15 default local
“yêu cầu user authorization ở các level 0,7.,15”
aaa session-id common
enable password cisco
!
username cuong password 0 cisco
username c1 privilege 0 password 0 cisco
username c2 privilege 7 password 0 cisco
username c3 privilege 15 password 0 cisco
!
no ip domain lookup
!
interface Ethernet0/0
ip address 192.168.2.1 255.255.255.0
full-duplex
!
ip classless
ip http server
tacacs-server host 192.168.2.2
tacacs-server key cuong
!
privilege configure level 7 snmp-server “Các lệnh cho phép ở user ở Privilege level 7”
privilege configure level 7 snmp-server enable
privilege configure level 7 snmp-server host
privilege configure level 7 interface
privilege configure level 7 line
privilege configure level 7 host
privilege exec level 7 ping
privilege exec level 7 config terminal
privilege exec level 7 config config
end
Kiểm tra bằng các telnet vào từ một host cho ta kết quả sau:
Ở đây ta thấy user được trả về ở level 7 ta sử dụng lệnh show privilege để kiểm tra
Ta thấy user chỉ có một số lệnh mà ta đã cấu hình trên router.
AAA quản lý hoạt động cơ bản của user qua các thiết bị như Switch, Router…. Nó được sử dụng để xác thực, cấp phát quyền, và loggig hay accounting
Authentication (Xác thực).
Để xác định xem user có quền để truy nhập vào thiết bị hay không.
Ta có thể cấu hình để enable AAA trên Router hay Switch
Router(config)#aaa new-model
Ta có thể cấu hình user nội bộ trong thiết bị
Router(config)#username username password password
Định nghĩa TACACS+ hay RADIUS server : AAA server như:Secure Access Control Server(ACS)
Router(config)#tacacs-server host {hostname | ip-address } [key string]
Ở đây thì key ta cấu hình ở router phải trùng với key cấu hình ở server. Định nghĩa các phương thức truy nhập vào Router qua cac line (console, vty)
Router(config)#aaa authentication login {default | list-name} method1 [method2…]
Có một phương thức như sau
Tacacs+: Mỗi TACACS+ server được cấu hình thì Router sẽ cố gắng theo trình tự được cấu hình ở trên.
Radius: Tương tự như tacacs
Local: Nó sẽ lấy các user nội bộ bằng lệnh username
Line: Line password có thể được sử dụng cho bất kỳ user nào
Nếu ta sử dụng default thì nó sẽ áp dụng vào tất cả các line, còn đối với name-list thì ta phải áp dụng nó vào từng line mà ta muốn. Áp dụng các phương thức vào Line(console hoặc vty)
Router(config-line)#login authentication {default | list-name}
Ta cấu hình bảo vệ bằng enable password ở privilege.
Router(config)#aaa authentication enable default method1 [...[method4]]
Authorization(Xác định thẩm quyền)
Sau khi xác thực xong thì không phải tất cả các user đều có quyền như nhau mà ta sẽ phân cấp quyền cho các user theo nhiều cấp khác nhau, cho từng mode khác nhau.
Router(config)#aaa authorization {command | configuration | exec | network| reverse-access} {default | list-name} method1 [method2 …]
Command : Server sẽ trả về quyền cho phép user các lệnh có thể ở privilege level
Config-command: Server sẽ trả về quyền cho phép user có thể sử dụng bất kỳ lệnh nào trên thiết bị
Exec: Nó sẽ áp dụng các thuộc tính thích hợp với exec terminal session.
Network: Áp dụng cho các kết nối như SLIP, PPP, kết nối ARAP
Reverse-access: Server sẽ trả về quyền được reverse telnet từ Router.
Accounting:
Để cho phép server thu thập thông tin từ thiết bị
Router(config)#aaa accounting {system | exec |command | level} {default | list-name} {start-stop | stop-only | wait-start | none } metod1 [method2 …]
System : Cung cấp các sự kiện liên quan đên hệ thống như: reload..
Netword: cung cấp các sự kiện liên quan đến kết nối như : PPP, SLIP, ARAP.
Exec:Cung cấp thông tin về exec của user như địa chỉ ip của user, và thời gian của session.
Start-stop cung cấp sự kiện từ lúc bắt đầu đến lúc kết thúc.
Stop-only: Cung cấp sự kiện chỉ khi kết thúc sự kiện
Wait-start: Các yêu cầu của user chưa đựơc khởi tạo cho đến khi accounting record ack
Cấu hình cho Server(ACS) theo sơ đồ sau:
Trước hết ta tạo aaa client: Khởi đông AAA server: từ của sổ chính ta kích vào Network
configuration thì nó sẽ cho ta cửa sổ sau:
aaa client hostname: ta gỏ host name của router
aaa client address: ta gõ địa chỉ add của router:
Về khóa, ta nhập khóa trùng với key ở router trong lệnh tacacs-server .
Authentication using: chọn tacacs+(cisco ios) nếu sử dung tacacs. Nếu ta muốn dùng Radius, ta có thể chọn vào Radius:
Tiếp theo ta cấu hình cho user: Trước hết ta kích vào user setup: Rồi các bước làm trình tự như sau:
Định nghĩa số session mà user có thể log vào được
- Định nghĩa thời gian mà user bị disable hay enable
Xác định max pivilege cho user khi sử dụng authorization
Xác định password cho user
Xác định password cho user
Cấu hình cho router:
authentication
Router
!
hostname Router
!
aaa new-model “enable aaa”
!
aaa authentication login default group tacacs+ local “ cấu hình authentication cho các line”
aaa authentication enable default group tacacs+ enable “Cấu hình enable cho privilege”
aaa session-id common
enable password cisco
!
username cuong password 0 cisco
memory-size iomem 10
ip subnet-zero
!
no ip domain lookup
!
interface Ethernet0/0
ip address 192.168.2.1 255.255.255.0
full-duplex
!
ip classless
ip http server
!
tacacs-server host 192.168.2.2 key cuong
!
end
Authorization local
Router!
hostname Router
!
aaa new-model
!
aaa authentication login default group tacacs+ local
aaa authentication enable default group tacacs+ enable
aaa authorization exec default local “Cho phép user thực hiện session”
aaa authorization commands 0 default local
aaa authorization commands 7 default local
aaa authorization commands 15 default local
“yêu cầu user authorization ở các level 0,7.,15”
aaa session-id common
enable password cisco
!
username cuong password 0 cisco
username c1 privilege 0 password 0 cisco
username c2 privilege 7 password 0 cisco
username c3 privilege 15 password 0 cisco
!
no ip domain lookup
!
interface Ethernet0/0
ip address 192.168.2.1 255.255.255.0
full-duplex
!
ip classless
ip http server
tacacs-server host 192.168.2.2
tacacs-server key cuong
!
privilege configure level 7 snmp-server “Các lệnh cho phép ở user ở Privilege level 7”
privilege configure level 7 snmp-server enable
privilege configure level 7 snmp-server host
privilege configure level 7 interface
privilege configure level 7 line
privilege configure level 7 host
privilege exec level 7 ping
privilege exec level 7 config terminal
privilege exec level 7 config config
end
Kiểm tra bằng các telnet vào từ một host cho ta kết quả sau:
Ở đây ta thấy user được trả về ở level 7 ta sử dụng lệnh show privilege để kiểm tra
Ta thấy user chỉ có một số lệnh mà ta đã cấu hình trên router.
Comment