Yeslab秦柯CCSP視頻筆記-Cisco AAA詳解

1、 中國思科華為3COM網絡技術社區(qū)Authentication:用于驗證用戶的訪問，如login access,ppp network access等。Authorization:在Autentication成功驗證后，Authorization用于限制用戶可以執(zhí)行什么操作，可以訪問什么服務。Accouting:記錄Authentication及Authorization的行為。Part I. 安全協(xié)議1Terminal Access Controller Access Control System Plus (TACACS+)Cisco私有的協(xié)議。加密整

2、個發(fā)給tacacs+ server的消息，用戶的keys。支持模塊化AAA，可以將不同的AAA功能分布于不同的AAA Server甚至不同的安全協(xié)議，從而可以實現(xiàn)不同的AAA Server/安全協(xié)議實現(xiàn)不同的AAA功能。配置命令：Router(config)# tacacs-server host IP_address single-connection port port_# timeout seconds key encryption_key Router(config)# tacacs-server key encryption_key 注：(1)single-connection:為R

3、outer與AAA Server的會話始終保留一條TCP鏈接，而不是默認的每次會話都打開/關閉TCP鏈接。(2)配置兩個tacacs-server host命令可以實現(xiàn)tacacs+的冗余，如果第一個server fail了，第二個server可以接管相應的服務。第一個tacacs-server host命令指定的server為主，其它為備份。(3)配置inbound acl時需要permit tacacs+的TCP port 49。(4) 如果兩個tacacs-server使用不同的key,則需要在tacacs-server host命令中指定不同的encryption_key,否則可以使用

4、tacacs-server key統(tǒng)一定制。但tacacs-server host命令中的key定義優(yōu)先于tacacs-server key命令。Troubleshooting:命令：#show tacacs#debug tacacs 關于TACACS+的操作信息。#debug tacacs events 比debug tacacs更詳細的信息，包括router上運行的 TACACS+ processes消息。Router# show tacacs Tacacs+ Server : 0/49 Socket opens: 3 Socket closes: 3 Socket abo

5、rts: 0 Socket errors: 0 Socket Timeouts: 0 Failed Connect Attempts: 0 Total Packets Sent: 42 Total Packets Recv: 41 Expected Replies: 0 No current connection2Remote Authentication Dial-In User Service (RADIUS)RADIUS是一個開放的標準，定義于RFC 2865和2865。RADIUS使用一個共享的密鑰，并且只加密用戶的keys,而不是TACACS+的整個AAA消息。用戶的keys不會明文

6、在網絡上傳遞。RADIUS應用范圍：(1)使用multiple vendors設備，并且需要一個單獨的安全協(xié)議用于AAA。(2)需要實現(xiàn)資源記錄，如跟蹤用戶登錄router多長時間及用戶訪問網絡多長時間。(3)smart card authentication systems只支持RADIUS。(4)在用戶初始化訪問一個設備時，對他進行preauthentication。RADIUS的使用限制：(1) 不支持Apple Talks Remote Access Protocol(ARAP)，the NetBIOS Frame Control Protocol(NBFCP)，NetWares As

7、ynchronous Serveices Interface(NASI)及X.25 PAD鏈接。(2)RAIUDS不支持模塊化AAA操作，即只可以使用RADIUS來完成全部的AAA操作。(3)只支持one-way authentication.不支持two-way authentication(如:兩個router之間的PPP CHAP Authentication).(4)RADIUS將Authentication及Authorization功能集成為Authentication。配置命令：Router(config)# radius-server host IP_address auth-

8、port port_# acct-port port_# timeout seconds retransmit retries key key_value alias hostname | IP_address Router(config)# radius-server timeout seconds Router(config)# radius-server retransmit retries Router(config)# radius-server key key_value注：(1)RADIUS Server daemon監(jiān)聽Authentication消息默認使用UDP 1645.

9、Authorization消息默認使用UDP 1646.(2)配置inbound acl以permit UDP 1645/1646。(3)RFC 2026中指出，RADIUS也可能使用UDP 1812/1813,一些新的RADIUS Server同時監(jiān)聽UDP 1645/1646及UDP 1812/1813。所以配置router inbound acl以permit相應的端口。(4)RADIUS默認timeout為5s,retransmit為3.Troubleshooting:show radius statisticsdebug radius brief 加上brief參數(shù)功能類似于debu

10、g tacacs命令，不加則類似于debug tacacs event命令。Router# show radius statistics Auth. Acct. Both Maximum inQ length: NA NA 1 Maximum waitQ length: NA NA 1 Maximum doneQ length: NA NA 1 Total responses seen: 5 0 5 Packets with responses: 5 0 5 Packets without responses: 0 0 0 Average response delay(ms): 1880 0

11、1880 Maximum response delay(ms): 6540 0 6540 Number of Radius timeouts: 0 0 0 Duplicate ID detects: 0 0 0 3Kerberos其中TACACS+及RADIUS全面支持AAA。Kerberos只支持Authentication。ItemTACACS+RADIUSComparisonConnectionTCPUDPUDP has less overhead; however, with TCP, TACACS+ more quickly can detect a failed server an

12、d switch over to a backup. TCP can do this by having the router look for an RST (closed connection) message or by using TCP keepalives.EncryptionPayloadPasswordsTACACS+ is more secure because it encrypts the entire payload, which includes all user and AAA message information; RADIUS encrypts only pa

13、sswords, so everything else, including usernames and other account information, is sent in clear text.Authentication and authorizationSeparateCombinedRADIUS combines authentication and authorization functions, which means that you must use the same server or group for these functions. TACACS+ separa

14、tes them, giving you more control over the server that handles these functions.WAN protocolsPPP, ARAP, NetBIOS, NASI, and X.25 PADPPP and SLIPTACACS+ is better suited for remote-access situations that involve multiple dialup protocols, whereas RADIUS supports only PPP and SLIP.Router command authori

15、zationYesNoTACACS+ enables you to control what commands an authenticated user can execute on a router; RADIUS does not.AccountingBasicAdvancedThe one big advantage that RADIUS has over TACACS+ is its robust accounting, which is why many ISPs use it to monitor PPP connections.Part II. Server Grouping

16、s默認使用tacacs-server host或radius-server host命令配置的AAA Server都是按命令出現(xiàn)的順序分為主/備服務器，可以使用aaa group server radius/tacacs+命令覆蓋實現(xiàn)部分配置的host做為驗證server。同時可以實現(xiàn)不同的aaa group實現(xiàn)不同的AAA功能，如group1實現(xiàn)Authentication，group2實現(xiàn)Authorization等。配置命令：Router(config)# aaa group server radius | tacacs+ group_nameRouter(config-sg)# ser

17、ver IP_address | hostname auth-port port_# acct-port port_#注：(1)不能在aaa group server中混合使用多種安全協(xié)議。Part III. Authenticationrouter支持authentication以下兩種基本的訪問模式。1Character mode：用戶通過console, auxiliary, TTY, or VTY線路獲得到router的 user或privileged EXEC訪問。2Packet mode：用戶通過使用 PPP, SLIP, ARAP, NASI, NetBIOS, or X.25

18、PAD等遠程訪問協(xié)議建立一個data-link layer鏈接。Method lists:指定一系列的認證方式。如group tacacs+,group radius,local,none等。每個authentication命令最多只能同時使用4種認證methods。認證的結果：Success:此method可達，且用戶通過驗證。Fail:此mothod可達，但用戶驗證失敗。Error:有兩種情況（1）此mothod中指定的aaa server group中的一個AAA Server不可達，第二個AAA Server被嘗試。（2）此mothod指定的方式不存在，或AAA group中的所有的s

19、ervers都不可達。 注：1如果router試圖訪問的所有mothods結果都是unsuccessful,則router acl會自動deny以后的authentication request。2如果指定的mothod是local，且沒有與用戶提供的用戶名相匹配的username,則驗證結果為Error。Authtication Command Syntax:aaa authtication login 認證列表名稱 驗證方法認證列表名稱default:默認的authentication認證方式。name:指定特定的認證方式列表，實現(xiàn)更具體的認證。驗證方法enable使用enable帳號密碼

20、驗證group:使用Server Group驗證krb5:使用kerberos V驗證krb5-telnet:使用kerberos V驗證telnetline:使用線路密碼驗證local:使用本地帳號密碼驗證local-case:使用本地帳號密碼驗證（區(qū)分大小寫）none:不進行驗證aaa authentication enable default 驗證方法驗證方法enablegrouplinenoneaaa authentication ppp 認證列表名稱 驗證方法認證列表名稱default:默認的authentication認證方式。name:指定特定的認證方式列表，實現(xiàn)更具體的認證。驗

21、證方法groupif-needed:如果用戶已經通過tty線路身份驗證，則在此不驗證用戶身份，直接通過krb5local-caselocalnoneAuthtication Configuration:Router(config)# aaa new-model Router(config)# aaa authentication login default | list_name method1 method2.Router(config)# aaa authentication enable default method1 method2.Router(config)# line aux |

22、 console | tty | vty start_line_# end_line_#Router(config-line)# login authentication default | list_nameRouter(config-line)# timeout login response secondsMethod KeywordDescriptionenableThe password in the enable secret or enable password commands is used to perform the authentication.lineThe line

23、password command, on the line that the user is trying to access, is used to perform authentication.localThe username commands are used to perform authentication.local-caseThe username commands are used to perform authentication. However, the username that the user enters is treated as case sensitive

24、.noneNo authentication is performed.group radiusAll configured RADIUS servers can be used to perform authentication.group tacacs+All configured TACACS+ servers can be used to perform authentication.group group_nameOnly servers in the specified aaa group server command are used to perform authenticat

25、ion.注：1aaa authentication login:User EXEC Authentication2aaa authentication enable:Privileged EXEC Authentication3timeout值為cisco router等待多長時間將此認證method認為是error。默認timeout為30s，取值范圍1300s。4上圖列出的methods，aaa authentication enable不支持local和local-case。Username and Password Prompts:默認用戶登錄時，cisco會給出這樣的提示符：User

26、name: Password: 可以使用以下命令修改這些默認的提示：Router(config)# aaa authentication username-prompt prompt_string Router(config)# aaa authentication password-prompt prompt_string注：TACACS+/RADIUS Server也支持修改默認的提示符，如果同時配置aaa authentication username-prompt/password-prompt命令和TACACS+/RADIUS Server配置，則cisco優(yōu)先使用TACACS+/R

27、ADIUS Server配置的prompt。Login Banners：可以使用aaa來代替默認用banner命令配置的登錄提示消息：Router(config)# aaa authentication banner stop_character message stop_character 注：最多支持2996個字符。 也可以修改用戶在輸入無效的用戶名/密碼時的提示：Router(config)# aaa authentication fail-message stop_character message stop_character注：最多支持2996個字符。Login Attempts:

28、默認cisco router允許用戶嘗試3次登錄，最后disconnect用戶的鏈接?？梢允褂靡韵旅钚薷脑试S嘗試的次數(shù)：Router(config)# aaa authentication attempts login #_of_attempts 注：1可配置的次數(shù)為125。2推薦將網絡外接設備的login attempts次數(shù)修改為1，這樣可以減少對密碼暴力破解的機會。 Authentication Troubleshooting：Router# debug aaa authenticationPart IV. AuthorizationAuthorization Command Synt

29、ax:aaa authorization 授權類型 授權列表名稱 授權方法授權類型auth-proxy:當用戶成功通過authentication后，此method允許用戶通過router/firewall建立到鏈接的其它網絡的多個鏈接，具體的的鏈接數(shù)在AAA Server端配置實現(xiàn)。commands:限制用戶可以在router上執(zhí)行的命令。config-commands:限制用戶可以在router上執(zhí)行的配置命令。exec:限制用戶到router的EXEC訪問。其主要用于dialup環(huán)境，用戶使用PPP的PAP/CHAP認證方式，在通過認證后通過router訪問網絡，此處可以限制其在通過認證

30、后，只能實現(xiàn)網絡訪問，而不能EXEC到work:當用戶通過authentication并獲得一個EXEC，其就可以在一個dailup接口上建立一個PPP/SLIP連接。此method用于限制此種行為。reverse-access:在通過authentication后，此method可以限制用戶使用router的虛擬終端反向telnet到其它設備上。ipmobile:配置對mobile鏈接的授權。configuration:限制對AAA服務的配置。授權列表名稱default:默認的authentication認證方式。name:指定特定的認證方式列表，實現(xiàn)更具體的認證。授權方

31、法groupif-authtication:如果用戶通過了authentication，則允許它執(zhí)行相應的操作。localnoneAuthorization Configuration:Router(config)# aaa authorization commands level_# default | list_name method1 method2. Router(config)# line aux | console | tty | vty start_line_# end_line_# Router(config-line)# authorization commands leve

32、l_# default | list_nameMethod KeywordDescriptionlocalThe username commands are used to perform authorization.noneNo authorization is performed. This parameter is typically not used.group radiusAll configured RADIUS servers can be used to perform authorization.group tacacs+All configured TACACS+ serv

33、ers can be used to perform authorization.group group_nameOnly servers in the specified aaa group server command are used to perform authorization.Configuration Mode Command Authorization:一般情況使用aaa authorization后，用戶執(zhí)行的每個命令都被aaa限制執(zhí)行，這可能對configure termianl模式的命令有一些影響，可以使用下面命令使aaa authorization忽略對configu

34、re termianl模式的命令的限制：Router(config)# no aaa authorization config-commandsAuthorization Troubleshooting：Router# debug aaa authorizationPart V. Accounting配置accouting主要有兩部分：1type of accouting:記錄哪些信息。2method:將記錄的信息發(fā)送到哪。Accouting Command Syntax:aaa accouting 統(tǒng)計類型 統(tǒng)計列表名稱 統(tǒng)計記錄方式 統(tǒng)計方法統(tǒng)計類型commands level:記錄用戶執(zhí)

35、行的所有的命令，包括privilege/configuration mode命令。connection:記錄router通過Telnet, LAT, TN32760, PAD, and rlogin等方式建立的到其它設備的鏈接信息。信息包括建立鏈接的用戶名，日期/時間及在建立的鏈接上執(zhí)行的命令。exec:記錄router的EXEC會話信息。信息包括用戶名，會話起始日期和時間，用戶設備的IP。network:記錄dialup鏈接的信息，如PPP/SLIP。信息包括相應鏈接的packets數(shù)目及bytes數(shù)目。resource:記錄dialup鏈接信息及phone call的資源信息。system

36、:記錄system-level事件。如接口up/down，router reload，accouting被啟用/禁止。統(tǒng)計列表名稱default:默認的authentication認證方式。name:指定特定的認證方式列表，實現(xiàn)更具體的認證。統(tǒng)計記錄方式start-stop:在事件開始和結束時都建立相應的記錄。先執(zhí)行后記錄。stop-only:只在事件結束時建立相應的記錄。none:禁用對特定服務的記錄。wait -start:類似于start-stop，在事件開始和結束時都建立相應的記錄。不同的是此模式只在成功鏈接到AAA Server并能實現(xiàn)記錄時才允許用戶執(zhí)行相應的事件，否則等待。即：先

37、記錄后執(zhí)行。（此模式在Cisco IOS 12.1及以后的版本中被移除，并不再支持）統(tǒng)計方法groupMethods of Accounting:RADIUSTACACS+注：1只能使用以上兩種method在aaa accouting中。2Cisco的RADIUS實現(xiàn)不能實現(xiàn)aaa accouting，只能使用TACACS+。Accouting Configuration:Router(config)# aaa accounting system | network | exec | connection | commands level_# default | list_name start

38、-stop | stop-only | none method1 method2. Router(config)# line aux | console | tty | vty line_# ending_line_# Router(config-line)# accounting arap | commands level_# | connection | exec default | list_name Router(config)# interface type slot_#/port_# Router(config-if)# ppp accounting default | list_

39、nameService KeywordDescriptionsystemEnables accounting to capture system-level events, such as an interface status changing or the router reloading (only the default method list is supported for this service)networkEnables accounting for all network services, such as SLIP, PPP, NCP, and ARAPexecEnab

40、les accounting for EXEC sessions, listing what users logged in and when they logged into and out of the routerconnectionEnables accounting for outbound connections from the router, such as Telnet and TN3270commands level_#Enables accounting for commands, listing the commands (and their privilege levels) that were executed by a userresourceEnables accounting for dialup connections, list