詳解Cisco ACS AAA認(rèn)證

1、詳解Cisco ACS AAA認(rèn)證2009-09-10 23:53AAA代表Authentication、Authorization、Accounting，意為認(rèn)證、授權(quán)、記帳，其主要目的是管理哪些用戶可以訪問(wèn)服務(wù)器，具有訪問(wèn)權(quán)的用戶可以得到哪些服務(wù)，如何對(duì)正在使用網(wǎng)絡(luò)資源的用戶進(jìn)行記帳。1、 認(rèn)證：驗(yàn)證用戶是否可以獲得訪問(wèn)權(quán)限“你是誰(shuí)？”2、 授權(quán)：授權(quán)用戶可以使用哪些資源“你能干什么？”3、 記帳：記錄用戶使用網(wǎng)絡(luò)資源的情況“你干了些什么？”好的，簡(jiǎn)單的了解理論知識(shí)后，接下來(lái)我們還是以實(shí)驗(yàn)的方式來(lái)進(jìn)行講解：為網(wǎng)絡(luò)提供AAA服務(wù)的，主要有TACACS+和RADIUS協(xié)議，我們主要介紹是TAC

2、ACS+協(xié)議，因?yàn)樗\(yùn)行在TCP協(xié)議基礎(chǔ)之上，更適合大型網(wǎng)絡(luò)，特別是融合型網(wǎng)絡(luò)一、 實(shí)驗(yàn)拓?fù)浣榻B 該實(shí)驗(yàn)主要完成R1路由通過(guò)ACS服務(wù)器實(shí)現(xiàn)AAA認(rèn)證，包括驗(yàn)證、授權(quán)和記帳，同時(shí)還包括PPP驗(yàn)證和計(jì)時(shí)通過(guò)cisco ACS實(shí)驗(yàn)二、 安裝cisco ACS1、 硬軟件要求硬件：Pentium IV 處理器， 1.8 GHz 或者更高 操作系統(tǒng)：Windows 2000 Server Windows 2000 Advanced Server (Service Pack 4) Windows Server 2003， Enterprise Edition or Standard Edition (S

3、ervice Pack 1) 內(nèi)存：最小1GB 虛擬內(nèi)存：最小1GB 硬盤(pán)空間：最小1GB可用空間，實(shí)際大小根據(jù)日志文件的增長(zhǎng)，復(fù)制和備份的需求而定。 瀏覽器：Microsoft Internet Explorer 6 或者更高版本 JAVA運(yùn)行環(huán)境：Sun JRE 1.4.2_04 或更高版本 網(wǎng)絡(luò)要求： 在CISCO IOS 設(shè)備上為了全面的支持TACACS+ 和 RADIUS，AAA 客戶端必須運(yùn)行Cisco IOS 11.1 或者更高的版本。 非CISCO IOS 設(shè)備上必須用TACACS+，RADIUS或者兩者一起配置。 運(yùn)行ACS的主機(jī)必須能ping通所有的AAA客戶端。2、 安裝

4、方法（我們用的版本是4.0版本）打開(kāi)ACS安裝程序文件夾，選中setup 雙擊。進(jìn)入安裝向?qū)?，根?jù)提示進(jìn)行安裝，基本為默認(rèn)設(shè)置3、 安裝完成后的訪問(wèn)在運(yùn)行ACS的主機(jī)上，通過(guò)桌面上的ACS Admin 網(wǎng)頁(yè)圖標(biāo)，可以訪問(wèn)ACS的web格式的管理臺(tái)。也可以通過(guò)網(wǎng)頁(yè)瀏覽器輸入地址：:2002 來(lái)訪問(wèn)ACS。注：l Windows Xp不支持cisco ACS，在此筆者是在虛機(jī)中的windows2003sever下安裝的 ACS安裝完成后，l1、一定要安裝JAVA平臺(tái)，否則該ACS將不能正常使用，筆者在此安裝的是jre-6u12-windows-i586-p-s.exe

5、，版本為JRE 版本 1.6.0_12 Java HotSpot(TM)2、IE的瀏覽器一定把安全級(jí)別設(shè)置為低或者中低，否者打的開(kāi)界面將是空的。三、 ACS的配置1、 設(shè)置ACS管理員帳號(hào)Step 1>點(diǎn)擊ACS界面左邊的Administration control 按鈕 ，然后點(diǎn)擊Administrator control界面中的Add AdministratorStep 2>點(diǎn)擊Add administrator 后出現(xiàn)此賬戶的諸多選項(xiàng)，逐一填寫(xiě)后點(diǎn)擊SubmitStep3>設(shè)置了管理員后就可以通過(guò)web界面登錄到ACS服務(wù)器對(duì)ACS進(jìn)行配置如：http:/10.10.1

6、0.110:20022、 ACS網(wǎng)絡(luò)設(shè)置（添加Tacacs+客戶端Step1>點(diǎn)擊ACS界面的Network Configuration按鈕 ，出現(xiàn)網(wǎng)絡(luò)配置界面，然后點(diǎn)擊Add Entry,Step2>添加Tacacs+客戶端（ACS中必須指定Tacacs+客戶端的名字、IP地址、key）3、 Tacacs+設(shè)置Step1>點(diǎn)擊ACS界面左邊Interface configuration 按鈕 ，選擇TACACS+ (Cisco IOS)Step2>根據(jù)個(gè)人具體應(yīng)用，在Tacacs+相關(guān)項(xiàng)目中打勾(如果沒(méi)有將tacacs+相關(guān)項(xiàng)目選中，則在用戶組/用戶屬性中將不會(huì)出現(xiàn)t

7、acacs+相關(guān)項(xiàng)目)4、 設(shè)備端tacacs+服務(wù)器的指定 在cisco設(shè)備端用以下命令指定ACS tacacs+服務(wù)器 R1(config)# tacacs-server host 10 R1(config)# tacacs-server directed-request R1(config)# tacacs-server key xinhua5、 添加用戶組Step1>在ACS界面左邊點(diǎn)擊Group SetupStep2>在下拉列表中選取某個(gè)組，給這個(gè)組重命名，接著選擇Edit setting進(jìn)入組的屬性配置Step3>在組的enable optio

8、n 中的Max privilege for any AAA Client設(shè)置組的級(jí)別6、 添加用戶Step1>在ACS界面的左邊點(diǎn)擊user setup 按鈕Step2>在user方框中填寫(xiě)用戶名，然后點(diǎn)擊ADD/EditStep3>在出現(xiàn)的用戶屬性中逐一填寫(xiě)Step4>選擇用戶屬于哪個(gè)用戶組Step5>選擇用戶屬于的級(jí)別（可以定義單個(gè)用戶級(jí)別，也可以和所屬的用戶組級(jí)別一樣）Step6>設(shè)置用戶的enable 密碼好的，到這里基本配置就算是配完了，接下來(lái)我們來(lái)演示一下AAA功能的實(shí)現(xiàn)四、 ACS功能設(shè)置1、 ACS認(rèn)證a) 在設(shè)備端定義tacacs+服務(wù)器地

9、址以及key R1(config)# tacacs-server host 10 R1(config)# tacacs-server directed-request R1(config)# tacacs-server key xinhuab) 在ACS端定義設(shè)備的IP地址（參考ACS基本配置）c) 在ACS上面建立用戶名和用戶組d) 在設(shè)備端配置AAA認(rèn)證R1(config)# enable secret 123 定義enable密碼R1(config)# username abc password 456 定義本地?cái)?shù)據(jù)庫(kù)R1(config)# aaa new-model

10、    啟用AAA認(rèn)證R1(config)# aaa authentication login default group tacacs+ local 設(shè)置登陸驗(yàn)證默認(rèn)為采用先ACS服務(wù)器再本地驗(yàn)證（當(dāng)ACS服務(wù)器不可達(dá)才用本地?cái)?shù)據(jù)庫(kù)驗(yàn)證）R1(config)# aaa authentication enable default group tacacs+ enable 設(shè)置enable進(jìn)入特權(quán)模式默認(rèn)為采用先ACS服務(wù)器再本地enable設(shè)置的密碼R1(config)# line vty 0 4 R1(config)# login authentication defau

11、lt 設(shè)置telnet登陸采用前面定義的defaulte) 驗(yàn)證 telnet登陸：telnetl 00，輸入ACS服務(wù)器的用戶名和密碼，登陸成功，用本地?cái)?shù)據(jù)庫(kù)用戶名和密碼登陸失?。ㄒ?yàn)楦鶕?jù)前面設(shè)置，R1首先會(huì)去ACS服務(wù)器進(jìn)行驗(yàn)證，當(dāng)ACS服務(wù)器不可達(dá)時(shí)，才會(huì)用本地?cái)?shù)據(jù)庫(kù)驗(yàn)證）我們可以試著斷開(kāi)ACS與路由的連接，然后再進(jìn)行登陸，這時(shí)則必須用本地?cái)?shù)據(jù)庫(kù)驗(yàn)證，也就是用戶名為abc 密碼為456 enable進(jìn)入特權(quán)測(cè)試l此時(shí)輸入特權(quán)模式密碼為ACS服務(wù)器上的密碼，而非本地路由的enable密碼2、 ACS授權(quán)ACS中可以通過(guò)設(shè)置用戶組/用戶的級(jí)別privilege來(lái)實(shí)現(xiàn)不同用

12、戶登錄設(shè)備后可用的命令的不同，也可以通過(guò)使用ACS的命令授權(quán)來(lái)實(shí)現(xiàn)不同用戶登錄設(shè)備的可用命令條目，以下介紹ACS的命令授權(quán)Step1>在ACS的界面左邊的share profile components按鈕Step2>點(diǎn)擊shell command authorization setsStep3>點(diǎn)擊Add添加命令集 頁(yè)面下方有兩個(gè)方框，左邊填寫(xiě)命令的前綴，右邊填寫(xiě)命令的后綴，命令后綴填寫(xiě)的語(yǔ)法格式是：permit/deny *，如本例當(dāng)中只允許使用show version命令Step4>將命令集運(yùn)用到用戶組或者用戶，在用戶組屬性當(dāng)中進(jìn)行設(shè)置，如下圖，然后點(diǎn)擊submi

13、t+restartStep6>設(shè)備端配置R1(config)# aaa new-model R1(config)# aaa authorization commands 1 default group tacacs+ local 指定級(jí)別1能夠使用的EXEC命令R1(config)# aaa authorization commands 15 default group tacacs+ local 指定級(jí)別15能夠使用的EXEC命令R1(config)# line vty 0 4 R1(config)# authorization commands 1 default 應(yīng)用到telnet

14、登陸進(jìn)程R1(config)# authorization commands 15 defaultStep7>測(cè)試由于根據(jù)前面授權(quán)設(shè)置，在特權(quán)15級(jí)別下只能使用show version命令，故其它命令均不能使用另外，我們也可以在用戶組屬性中設(shè)置該組能夠使用特權(quán)的最高級(jí)別，如下圖：3、 ACS審計(jì)Step1>設(shè)備端配置 R1(config)# aaa new-model R1(config)# aaa accounting exec default start-stop group tacacs+ R1(config)# lin vty 0 4 R1(config)# account

15、ing exec defaultStep2>點(diǎn)擊ACS界面左邊的reports and activity按鈕，然后選擇TACACS+ Accounting可以具體瀏覽某一天的記錄Step3>如果要記錄用戶所用的命令，設(shè)備端配置為： R1(config)# aaa new-model R1(config)# aaa accounting commands 0 default start-stop group tacacs+ R1(config)# aaa accounting commands 1 default start-stop group tacacs+ R1(config)

16、# aaa accounting commands 15 default start-stop group tacacs+ R1(config)# line vty 0 4 R1(config)# accounting commands 0 default R1(config)# accounting commands 1 default R1(config)# accounting commands 15 default Step4>然后點(diǎn)擊report and activity中的TACACS+ Administration，可以瀏覽某天某用戶的所有命令4、 ppp驗(yàn)證與計(jì)時(shí)Step

17、1>驗(yàn)證設(shè)備端配置R1：R1(config)# aaa authentication ppp jxxh group tacacs+R1(config)# int s0/0R1(config-if)# encapsulation pppR1(config-if)# ppp authentication pap jxxhR1(config-if)# ppp pap sent-username r1 password 123R2：R2(config)#username r1 password 123R2(config)# int s1R2(config-if)# encapsulation pppR2(config-if)# ppp authentication papR2(config-if)# ppp pap sent-usernam