A) Mô hình
Hình 6.56
B) Yêu cầu
Cài đặt,cấu hình chứng thực cho user dựa vào privilege levels trên TACACS+ server.
Cấu hình AAA service trên router.
Dùng client với chương trình terminal kiểm tra kết quả.
C) Cấu hình
Tạo Group
Chọn một group bất kỳ rồi chọn Rename Group. Nhập vào Administrator rồi click Submit.
Tạo Group mang tên Administrator
Làm tương tự để tạo ra thêm một group nữa tên Guest. Tiếp đến ta phân quyền cho 2 nhóm theo privilege level như đã nói ở trên: Trước hết ta phân quyền cho nhóm Administrator.
Chọn Group là Administrator rồi sau đó chọn Edit Settings
Cấu hình cho từng group
Trong cửa sổ Group Setup tiếp theo ta làm lần lượt như sau;
Cấu hình cho nhóm Admin ở mức Privilege Level 15
Như vậy, những user nào thuộc group Adminstrator khi kết nối vào router thông qua TACACS+ server sẽ có bộ quyền ở mức 15.
Việc cấu hình cho nhóm Guest ở Privỉlege Level 0 tương tự như vậy.
Bước 2: Tạo user và add user vào group
Chúng ta sẽ tạo user mang tên balcony thuộc group Aministrator và user mang tên Guest thuộc nhóm Guest
Vào menu User, nhập vào tên balcony, chọn Add/Edit
Thêm user mang tên balcony
Trong màn hình User Setup tiếp theo ta cần nhập các thông số sau:
Cấu hình cho user balcony
Việc tạo và cấu hình cho user Guest và group Guest ta làm tương tự.
Bước 3: Cấu hình AAA server và Client:
Vào menu Network Configuration. Trước tiên ta cấu hình AAA client.
Click vào Add Entry trong phần AAA Client
Chọn phần cấu hình AAA Client
Trong cửa sổ tiếp theo ta cần nhập các thông số sau:
Sau đó ta chọn Submit + Apply
Cấu hình cho AAA client
Tiếp theo ta sẽ cấu hình cho AAA Server:
Chọn Add Entry trong phần AAA server:
Chọn cấu hình thêm một AAA server.
Nhập vào các giá trị sau:
Chọn vào Submit + Apply
Cấu hình thông số cho AAA server
2.Cấu hình trên router:
Sau đây là những lệnh cấu hình chính : Chú ý là những lệnh này dùng cho Cisco IOS 12.05 trở về sau
center(config)#aaa new-model
center(config)#aaa authentication login default group tacacs+
center(config)#aaa authorization exec default group tacacs+
center(config)#tacacs-server host 10.0.0.254 //IP của TACACS+ server
center(config)#tacacs-server key 123456 //key nhập ở trên
3. Kiểm tra hoạt động:
Sử dụng một client chạy Windows XP và dùng command line telnet vào router Center để kiểm tra cấu hình bằng hai tài khoản balcony (admin) và Guest (guest)
Trên client ta vào CMD và gõ lệnh telnet 192.168.1.10 . Thông báo yêu cầu nhập username và password sẽ hiện lên. Ta nhâp vào balcony và password tương ứng như đã cấu hình:
Truy cập vào router với tài khoản level 15
Ta thấy như hình, với level 15 khi login vào router đã ở chế độ privilege.
Tiếp theo ta thử login vào với tài khoản Guest:
Hình trên chứng tỏ user Guest với level 0 như ta đã cấu hình thì chỉ có thể sử dụng 5 lệnh.
VnPro
Hình 6.56
B) Yêu cầu
Cài đặt,cấu hình chứng thực cho user dựa vào privilege levels trên TACACS+ server.
Cấu hình AAA service trên router.
Dùng client với chương trình terminal kiểm tra kết quả.
C) Cấu hình
- Cấu hình trên TACACS+ Server:Bước 1:Tạo group
Ở đây chúng ta sẽ tạo ra 2 nhóm. Nhóm một là Administrator có quyềnprivilege level 15 và nhóm guest có quyền privilege level 0.
Vào menu Group Setup
Tạo Group
Chọn một group bất kỳ rồi chọn Rename Group. Nhập vào Administrator rồi click Submit.
Tạo Group mang tên Administrator
Làm tương tự để tạo ra thêm một group nữa tên Guest. Tiếp đến ta phân quyền cho 2 nhóm theo privilege level như đã nói ở trên: Trước hết ta phân quyền cho nhóm Administrator.
Chọn Group là Administrator rồi sau đó chọn Edit Settings
Cấu hình cho từng group
Trong cửa sổ Group Setup tiếp theo ta làm lần lượt như sau;
- Chọn TACACS+trong mục Jump to
- Check vào Shell (exec)
- Check vào Privilege Levelvà nhập vào thông số 15
- Chọn Submit + Restart
Cấu hình cho nhóm Admin ở mức Privilege Level 15
Như vậy, những user nào thuộc group Adminstrator khi kết nối vào router thông qua TACACS+ server sẽ có bộ quyền ở mức 15.
Việc cấu hình cho nhóm Guest ở Privỉlege Level 0 tương tự như vậy.
Bước 2: Tạo user và add user vào group
Chúng ta sẽ tạo user mang tên balcony thuộc group Aministrator và user mang tên Guest thuộc nhóm Guest
Vào menu User, nhập vào tên balcony, chọn Add/Edit
Thêm user mang tên balcony
Trong màn hình User Setup tiếp theo ta cần nhập các thông số sau:
- Password authentication: ACS internet Database
- Password cho user balcony
- Chọn nhóm cho user này là Administrator.
Cấu hình cho user balcony
Việc tạo và cấu hình cho user Guest và group Guest ta làm tương tự.
Bước 3: Cấu hình AAA server và Client:
Vào menu Network Configuration. Trước tiên ta cấu hình AAA client.
Click vào Add Entry trong phần AAA Client
Chọn phần cấu hình AAA Client
Trong cửa sổ tiếp theo ta cần nhập các thông số sau:
- AAA Client hostname: hostname của router (center)
- AAA IP address: địa chỉ của router 10.0.0.1
- Key: khoá thương lượng giữa router và server ( ta chọn tuỳ ý và cần phải khớp với giá trị sẽ nhập khi cấu hình router)
- Authentication Using: Tất nhiên là chọn TACACS+
Sau đó ta chọn Submit + Apply
Cấu hình cho AAA client
Tiếp theo ta sẽ cấu hình cho AAA Server:
Chọn Add Entry trong phần AAA server:
Chọn cấu hình thêm một AAA server.
Nhập vào các giá trị sau:
- AAA server name: đặt tùy ý
- AAA server IP: địa chỉ IP của máy cài TACACS+
- Key: khoá giao trước ( trùng với khoá lúc nãy là 123456)
- AAA server type: Chọn TACACS+
Chọn vào Submit + Apply
Cấu hình thông số cho AAA server
2.Cấu hình trên router:
Sau đây là những lệnh cấu hình chính : Chú ý là những lệnh này dùng cho Cisco IOS 12.05 trở về sau
center(config)#aaa new-model
center(config)#aaa authentication login default group tacacs+
center(config)#aaa authorization exec default group tacacs+
center(config)#tacacs-server host 10.0.0.254 //IP của TACACS+ server
center(config)#tacacs-server key 123456 //key nhập ở trên
3. Kiểm tra hoạt động:
Sử dụng một client chạy Windows XP và dùng command line telnet vào router Center để kiểm tra cấu hình bằng hai tài khoản balcony (admin) và Guest (guest)
Trên client ta vào CMD và gõ lệnh telnet 192.168.1.10 . Thông báo yêu cầu nhập username và password sẽ hiện lên. Ta nhâp vào balcony và password tương ứng như đã cấu hình:
Truy cập vào router với tài khoản level 15
Ta thấy như hình, với level 15 khi login vào router đã ở chế độ privilege.
Tiếp theo ta thử login vào với tài khoản Guest:
Hình trên chứng tỏ user Guest với level 0 như ta đã cấu hình thì chỉ có thể sử dụng 5 lệnh.
VnPro