詳解Cisco ACS AAA認證

1、詳解Cisco ACS AAA認證2009-09-10 23:53AAA代表Authentication、Authorization、Accounting，意為認證、授權、記帳，其主要目的是管理哪些用戶可以訪問服務器，具有訪問權的用戶可以得到哪些服務，如何對正在使用網(wǎng)絡資源的用戶進行記帳。1、 認證：驗證用戶是否可以獲得訪問權限“你是誰？”2、 授權：授權用戶可以使用哪些資源“你能干什么？”3、 記帳：記錄用戶使用網(wǎng)絡資源的情況“你干了些什么？”好的，簡單的了解理論知識后，接下來我們還是以實驗的方式來進行講解：為網(wǎng)絡提供AAA服務的，主要有TACACS+和RADIUS協(xié)議，我們主要介紹是TAC

2、ACS+協(xié)議，因為它運行在TCP協(xié)議基礎之上，更適合大型網(wǎng)絡，特別是融合型網(wǎng)絡一、 實驗拓撲介紹 該實驗主要完成R1路由通過ACS服務器實現(xiàn)AAA認證，包括驗證、授權和記帳，同時還包括PPP驗證和計時通過cisco ACS實驗二、 安裝cisco ACS1、 硬軟件要求硬件：Pentium IV 處理器， 1.8 GHz 或者更高 操作系統(tǒng)：Windows 2000 Server Windows 2000 Advanced Server (Service Pack 4) Windows Server 2003， Enterprise Edition or Standard Edition (S

3、ervice Pack 1) 內(nèi)存：最小1GB 虛擬內(nèi)存：最小1GB 硬盤空間：最小1GB可用空間，實際大小根據(jù)日志文件的增長，復制和備份的需求而定。 瀏覽器：Microsoft Internet Explorer 6 或者更高版本 JAVA運行環(huán)境：Sun JRE 1.4.2_04 或更高版本 網(wǎng)絡要求： 在CISCO IOS 設備上為了全面的支持TACACS+ 和 RADIUS，AAA 客戶端必須運行Cisco IOS 11.1 或者更高的版本。 非CISCO IOS 設備上必須用TACACS+，RADIUS或者兩者一起配置。 運行ACS的主機必須能ping通所有的AAA客戶端。2、 安裝

4、方法（我們用的版本是4.0版本）打開ACS安裝程序文件夾，選中setup 雙擊。進入安裝向導，根據(jù)提示進行安裝，基本為默認設置3、 安裝完成后的訪問在運行ACS的主機上，通過桌面上的ACS Admin 網(wǎng)頁圖標，可以訪問ACS的web格式的管理臺。也可以通過網(wǎng)頁瀏覽器輸入地址：:2002 來訪問ACS。注：l Windows Xp不支持cisco ACS，在此筆者是在虛機中的windows2003sever下安裝的 ACS安裝完成后，l1、一定要安裝JAVA平臺，否則該ACS將不能正常使用，筆者在此安裝的是jre-6u12-windows-i586-p-s.exe

5、，版本為JRE 版本 1.6.0_12 Java HotSpot(TM)2、IE的瀏覽器一定把安全級別設置為低或者中低，否者打的開界面將是空的。三、 ACS的配置1、 設置ACS管理員帳號Step 1>點擊ACS界面左邊的Administration control 按鈕 ，然后點擊Administrator control界面中的Add AdministratorStep 2>點擊Add administrator 后出現(xiàn)此賬戶的諸多選項，逐一填寫后點擊SubmitStep3>設置了管理員后就可以通過web界面登錄到ACS服務器對ACS進行配置如：http:/10.10.1

6、0.110:20022、 ACS網(wǎng)絡設置（添加Tacacs+客戶端Step1>點擊ACS界面的Network Configuration按鈕 ，出現(xiàn)網(wǎng)絡配置界面，然后點擊Add Entry,Step2>添加Tacacs+客戶端（ACS中必須指定Tacacs+客戶端的名字、IP地址、key）3、 Tacacs+設置Step1>點擊ACS界面左邊Interface configuration 按鈕 ，選擇TACACS+ (Cisco IOS)Step2>根據(jù)個人具體應用，在Tacacs+相關項目中打勾(如果沒有將tacacs+相關項目選中，則在用戶組/用戶屬性中將不會出現(xiàn)t

7、acacs+相關項目)4、 設備端tacacs+服務器的指定 在cisco設備端用以下命令指定ACS tacacs+服務器 R1(config)# tacacs-server host 10 R1(config)# tacacs-server directed-request R1(config)# tacacs-server key xinhua5、 添加用戶組Step1>在ACS界面左邊點擊Group SetupStep2>在下拉列表中選取某個組，給這個組重命名，接著選擇Edit setting進入組的屬性配置Step3>在組的enable optio

8、n 中的Max privilege for any AAA Client設置組的級別6、 添加用戶Step1>在ACS界面的左邊點擊user setup 按鈕Step2>在user方框中填寫用戶名，然后點擊ADD/EditStep3>在出現(xiàn)的用戶屬性中逐一填寫Step4>選擇用戶屬于哪個用戶組Step5>選擇用戶屬于的級別（可以定義單個用戶級別，也可以和所屬的用戶組級別一樣）Step6>設置用戶的enable 密碼好的，到這里基本配置就算是配完了，接下來我們來演示一下AAA功能的實現(xiàn)四、 ACS功能設置1、 ACS認證a) 在設備端定義tacacs+服務器地

9、址以及key R1(config)# tacacs-server host 10 R1(config)# tacacs-server directed-request R1(config)# tacacs-server key xinhuab) 在ACS端定義設備的IP地址（參考ACS基本配置）c) 在ACS上面建立用戶名和用戶組d) 在設備端配置AAA認證R1(config)# enable secret 123 定義enable密碼R1(config)# username abc password 456 定義本地數(shù)據(jù)庫R1(config)# aaa new-model

10、    啟用AAA認證R1(config)# aaa authentication login default group tacacs+ local 設置登陸驗證默認為采用先ACS服務器再本地驗證（當ACS服務器不可達才用本地數(shù)據(jù)庫驗證）R1(config)# aaa authentication enable default group tacacs+ enable 設置enable進入特權模式默認為采用先ACS服務器再本地enable設置的密碼R1(config)# line vty 0 4 R1(config)# login authentication defau

11、lt 設置telnet登陸采用前面定義的defaulte) 驗證 telnet登陸：telnetl 00，輸入ACS服務器的用戶名和密碼，登陸成功，用本地數(shù)據(jù)庫用戶名和密碼登陸失?。ㄒ驗楦鶕?jù)前面設置，R1首先會去ACS服務器進行驗證，當ACS服務器不可達時，才會用本地數(shù)據(jù)庫驗證）我們可以試著斷開ACS與路由的連接，然后再進行登陸，這時則必須用本地數(shù)據(jù)庫驗證，也就是用戶名為abc 密碼為456 enable進入特權測試l此時輸入特權模式密碼為ACS服務器上的密碼，而非本地路由的enable密碼2、 ACS授權ACS中可以通過設置用戶組/用戶的級別privilege來實現(xiàn)不同用

12、戶登錄設備后可用的命令的不同，也可以通過使用ACS的命令授權來實現(xiàn)不同用戶登錄設備的可用命令條目，以下介紹ACS的命令授權Step1>在ACS的界面左邊的share profile components按鈕Step2>點擊shell command authorization setsStep3>點擊Add添加命令集 頁面下方有兩個方框，左邊填寫命令的前綴，右邊填寫命令的后綴，命令后綴填寫的語法格式是：permit/deny *，如本例當中只允許使用show version命令Step4>將命令集運用到用戶組或者用戶，在用戶組屬性當中進行設置，如下圖，然后點擊submi

13、t+restartStep6>設備端配置R1(config)# aaa new-model R1(config)# aaa authorization commands 1 default group tacacs+ local 指定級別1能夠使用的EXEC命令R1(config)# aaa authorization commands 15 default group tacacs+ local 指定級別15能夠使用的EXEC命令R1(config)# line vty 0 4 R1(config)# authorization commands 1 default 應用到telnet

14、登陸進程R1(config)# authorization commands 15 defaultStep7>測試由于根據(jù)前面授權設置，在特權15級別下只能使用show version命令，故其它命令均不能使用另外，我們也可以在用戶組屬性中設置該組能夠使用特權的最高級別，如下圖：3、 ACS審計Step1>設備端配置 R1(config)# aaa new-model R1(config)# aaa accounting exec default start-stop group tacacs+ R1(config)# lin vty 0 4 R1(config)# account

15、ing exec defaultStep2>點擊ACS界面左邊的reports and activity按鈕，然后選擇TACACS+ Accounting可以具體瀏覽某一天的記錄Step3>如果要記錄用戶所用的命令，設備端配置為： R1(config)# aaa new-model R1(config)# aaa accounting commands 0 default start-stop group tacacs+ R1(config)# aaa accounting commands 1 default start-stop group tacacs+ R1(config)

16、# aaa accounting commands 15 default start-stop group tacacs+ R1(config)# line vty 0 4 R1(config)# accounting commands 0 default R1(config)# accounting commands 1 default R1(config)# accounting commands 15 default Step4>然后點擊report and activity中的TACACS+ Administration，可以瀏覽某天某用戶的所有命令4、 ppp驗證與計時Step

17、1>驗證設備端配置R1：R1(config)# aaa authentication ppp jxxh group tacacs+R1(config)# int s0/0R1(config-if)# encapsulation pppR1(config-if)# ppp authentication pap jxxhR1(config-if)# ppp pap sent-username r1 password 123R2：R2(config)#username r1 password 123R2(config)# int s1R2(config-if)# encapsulation pppR2(config-if)# ppp authentication papR2(config-if)# ppp pap sent-usernam