cisco-AAA

更新时间：2024-04-04 17:49:01 阅读量：综合文库文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

ciscoaaa认证推荐度：
相关推荐

Cisco AAA 服务

本章介绍Cisco Secure ACS 产品以及Cisco 路由器和防火墙中的AAA 服务，主要包含以下几个部分：

1、Cisco Secure ACS 产品介绍

2、Cisco Secure ACS 安装以及基本配置 3、AAA 概述 4、配置AAA 认证 5、配置AAA 授权 6、配置AAA 审计 7、AAA 高级配置及应用

4.1 Cisco Secure ACS 产品介绍

Cisco Secure ACS 是一个用来控制对网络的访问的网络安全软件，它可以对用户进行认证、授权和审计。

Cisco Secure ACS 分为Cisco Secure ACS for windows 和Cisco Secure ACS for Unix 两个版本，下表是两个版本所支持的操作系统：版本所支持的操作系统

Cisco Secure ACS 管理起来十分简单，用户可以使用web 浏览器完成对它的所有管理，本章只介绍Cisco Secure ACS for windows version 3.3 的管理。

4.2 Cisco Secure ACS 安装及基本配置

Cisco Secure ACS 安装很简单，本节讲述Cisco Secure ACS for windows 的安装流程、注意事项以及ACS 的基本配置。

Cisco Secure ACS for windows 的安装过程如下：步骤1、检查并调整计算机硬件配置，使其满足以下要求： Pentium Ⅲ 550MHz 以上 256M 内存

250M 以上的剩余硬盘空间

步骤2、检查windows 配置，安装Java run time（JRE）。（JRE 的最新版本可以去www.sun.com

上下载）

步骤3、检查服务器到Cisco 设备的网络连接。

步骤4、插入Cisco Secure ACS for windows 光盘，点击“Install”开始安装，然后按照

windows 的提示一步步地完成安装。

图 ACS 安装

步骤4、在浏览器的地址栏里输入“http://hostname or IP address :2002”访问ACS 的 web 配置页面。如果能出现以下界面，则代表安装成功。

图 ACS 主窗口

从上图中，我们可以看到Cisco Secure ACS for windows 的Web 页面分为两部分，其左边一排按钮为配置导航条，当用户点击导航条中的某个选项时，该选项的具体内容会在导航条的右边出现。例如，用户点击“user setup”导航条以后，ACS 的页面如下图所示：

图 ACS user setup 页面

ACS 各导航条配置的选项内容如下：

用户设置（User Setup）：查看、创建、编辑、删除用户帐号。组设置（Group Setup）：查看、创建、编辑用户组设置。

共享配置组建（Shared Profile Components）：一些可共享的授权组件，它们可以应用与一个或多个用户或用户组。授权组建包括：Network Access Restriction（NAR）、Command authorization set 和PIX downloadable ACL。

网络配置（Network Configuration）：查看、创建、编辑、删除网络服务器（网络设备，如路由器、交换机等）的参数。

系统配置（System Configuration）：启动或停止ACS 服务，创建或删除网络日志，控制ACS 数据库同步等。

接口配置（Interface Configuration）：配置TACACS+和RADIUS 的选项。

管理控制（Administration Control）：查看、创建、编辑、删除ACS 的管理员帐号参数。外部数据库（External User Database）：配置ACS 的外部数据库类型以及未知的用户策略。报告和活动（Report and Activity）：查看TACACS+和RADIUS 的审计报告、Failed Attempts 报告以及已经登陆的用户信息等。

在线文档（Online Documentation）：提供关于Cisco Secure ACS 的更详细的文档。关于Cisco Secure ACS 的应用将在本章下面的讲述中进行详细的介绍。 4.3 AAA 概述通常，访问控制系统由两部分组成：Cisco Secure ACS（AAA Server）和网络访问服务器（AAA

Client）。Cisco 设备使用AAA 服务来与Cisco Secure ACS 协同工作以构成一个完整的访问控制系统。AAA 的定义如下：

Authentication（认证）：对用户的身份进行验证，决定是否允许该用户访问网络。 Authorization（授权）：给不同的用户分配不同的权限，限制每个用户可使用的网络服务。 Accounting（统计）：对用户的行为进行审计和计费。

AAA 服务支持的安全协议有：TACACS+、RADIUS、Kerberos，我们可以使用RADIUS 和TACACS+ 协议让Cisco 设备和Cisco Secure ACS 协同工作，下面是一个常见的网络拓扑：

4.4 配置AAA 认证

本节将采用以下实例来讲述Cisco IOS 和PIX OS 中AAA 认证的配置方法： 1、Cisco IOS AAA 认证基本配置 2、Cisco PIX AAA 认证基本配置

4.4.1 Cisco IOS AAA 认证基本配置

实验一

在Cisco IOS 中配置AAA 认证的过程不算复杂，主要步骤如下：步骤1、全局开启AAA 服务。

要使用AAA，就必须使用aaa new-model 全局配置命令启用AAA 服务。

步骤2、配置ACS 服务器的地址和AAA client 密码，其命令格式如下： AAA Client 和AAA Server 之间使用TACACS+协议时： tacacs-server host IP_address tacacs-server key key

AAA Client 和AAA Server 之间使用RADIUS 协议时： radius-server host IP_address radius-server key key

步骤3、配置Cisco Secure ACS 服务器。

在ACS 导航条中选择“Network Configuration”，点击右边栏的“Add Entry”进入以下界面：

如上图所示，在“AAA Client Hostname”处填入AAA 客户端的名称，在“AAA client IP Address” 处填入AAA 客户端的地址，在“key”处填入AAA 客户端的密码，在“authentication Using” 处选择该客户端所使用认证协议，最后点击“Submit + Restart”完成服务器设置。步骤4、定义认证的方法列表，常见的认证方法主要有：

一个方法列表中也可以包含多种身份验证方法，这样可以确保在第一种方法失效的时候，设备可以使用备用的身份验证系统，例如：

『注意』在上面一个例子中，Cisco IOS 软件会先使用tacacs+服务器对用户身份进行验证，如果设备无法联系到所配置的tacacs+服务器，则开始使用radius 服务器对用户身份进行验证。

步骤5、在线路上加载认证方法列表，使其对某个线路上的认证产生作用。

用户可以将不同的方法列表应用于不同的线路，值得注意的是：如果不特别指明，每个线路上会使用默认方法列表（名称为default）。实验二

下面是一个在不同的VTY 线路上应用不同的身份验证方法列表的实例：第一步：启用AAA，配置本地数据库以及ACS 用户数据库：

在ACS 的导航条中选择“User Setup”进入用户管理界面，在空白处输入新用户名，点击 “Add/Edit”添加新用户。

图用户管理

第二步：配置TACACS+和Radius 服务器的地址和密码：

第三步：配置登陆身份验证的方法列表：

第四步：在虚拟终端线路上应用列表：

在此列中，我们特别规定了0—3 号VTY 链路上的身份验证方法。其他没有特别规定线路将采用default 方法进行身份验证。

4.4.3 配置AAA 授权

使用AAA 在Cisco IOS 中对用户的等级进行授权在Cisco IOS 中配置AAA 授权主要步骤如下：

步骤1、全局开启AAA 服务。由于“授权”一般是在“认证”之后实施的，因此在配置授权

时aaa new-model 通常是打开的。

步骤2、配置ACS 服务器的地址和AAA client 密码，此步骤和AAA 认证中的相应步骤类似。步骤3、定义授权方法列表。

步骤4、在线路上加载授权方法列表，使其对某个线路上的授权产生作用。

（1）下面以在Cisco IOS 中配置EXEC 会话授权为例讲述AAA 授权的基本配置，首先需要介绍一

下IOS 命令的权限级别，默认情况下，Cisco IOS 设备使用三种权限级别：等级0：包括5 个命令：disable、enable、exit、help、logout。等级1：用户模式，提示符为>，它是用户登陆后的默认级别。等级15：特权模式，提示符为#，它拥有最高的权限。

当用户通过VTY 线路登陆到路由器时，默认可以执行等级0 和等级1 的所有命令；如果用户输入enable 命令并且输入了正确的密码（提示符由>改为#），则他的权限变为等级15。使用show privilege 命令可以查看用户当前的权限级别。

下面时一个使用AAA 配置EXEC 会话的全过程：

用户还可以对Cisco CLI 的命令权限级别进行修改，例如：clear line 命令的默认级别为 15，但是我们可以使用privilege exec 命令将其权限修改为级别7。

通过以上设置，如果用户使用user2 进行登陆的话，他就可以在不进入特权模式的情况下直接使用clear line 命令。

（二）使用AAA 在Cisco IOS 中对用户可使用的命令进行授权

Cisco Secure ACS 支持IOS 命令的授权，它可以限制管理用户所能够使用的命令以及命令参数。下面，我们使用一个示例来说明如何配置IOS 命令的授权。

如上图所示，管理员希望使用ACS 实现以下功能：

普通管理员（等级15）只能使用“show ip route”、“show interface”命令查看设备的基本信息，并且无法进入配置模式对设备的配置进行修改；超级管理员（等级15）可以使用所有命令。

第一步：在IOS 设备上启动AAA，并且配置AAA 认证（授权之前必须先通过认证）。

第二步：在ACS 管理页面上点击“Network Configuration”，添加一个AAA client，地址为10.1.1.1，key 为cisco，协议使用TACACS +，最后点击“Submit + Restart”完成设置。

第三步：点击“group setup”，将“group 1”重命名为“normal”，将“group 2”重命名为“super”。

第四步：点击“user setup”添加用户test1 和test2，其中test1 属于“normal”组，test2 属于“super”组。

图将用户分配到相应的组。

第五步：在IOS 设备上配置命令授权。

（说明：第一条是将EXEC 会话级别启用授权并交给AAA服务器来授权，第二条是将安全级别1的

命令启用授权并交给AAA服务器来授权，第三条是将安全级别15的命令给AAA服务器来授权）

第六步：在Cisco Secure ACS 的“group setup”中按照要求设置组的权限。点击“group setup”，选择“normal”组，点击“Edit Settings”。

如上图所示，在TACACS +选项组中选择“shell（exec）”，并且将“privilege Level”设置为15。

如上图所示，在“Shell Command Authorization Set”中设置该组所能执行的命令以及参数，最后点击“Submit + Restart”。

“super”组的权限设置和“normal”组基本类似，唯独不同的就是“Shell Command Authorization Set”部分，下图显示了normal 组的“Shell Command Authorization Set”设置。

第七步：测试。

在远程管理PC 上telnet 10.1.1.1 进行测试，当使用test2 帐号登陆时，用户可以执行所有命令，当使用test1 帐号登陆时，执行命令的界面如下：

从输出中我们可以看到，test1 用户只能执行“show ip route”和“show interface”命令，当执行其他命令时，IOS 会提示“Command authorization failed.”

（注解：上例设定的AAA验证、授权策略列表都是设定的“default”列表，所以做完策略列表后无需应用到line链路中，如果策略列表是自定义的名称，则需要最后应用到相关line链路中，如下图实例，AAA的认证和授权策略表名称为“AH1”，最后还要应用在line vty中）

4.4.3 Cisco IOS 认证代理

认证代理是Cisco IOS 12.3 防火墙特性集中的一个功能，它可以在用户访问Internet 时对用户进行认证和授权。下图就是一个使用IOS 的认证代理功能控制用户访问Internet 的例子。

图使用IOS 认证代理控制用户访问Internet

图中的10.10.20.10 为Cisco Secure ACS 服务器，路由器使用Tacacs+协议与服务器通信。当用户输入正确用户名和密码后，路由器从ACS 上获取用户的访问配置文件，并且加入到相应的访问控制列表中。下面列出主要的实现步骤：

第一步，启动AAA，设置认证和授权方法，并且配置Tacacs+服务器的参数。

第二步，在ACS 上将路由器设置为AAA client。

在ACS 导航栏中点击“Network Configuration”，在AAA client 中点击“Add Entry”添加AAA 客户端，如下图所示：

图将路由器设置为AAA client

第三步，在ACS 上配置代理服务。

在ACS 导航栏中点击“Interface Configuration”，点击“Tacacs +（Cisco IOS）”进入以下界面：

图 Tacacs+配置选项

在new Services 中添加一个新的服务，名称为“auth-proxy”，如上图所示。第四步，在ACS 中添加用户，并且将用户分配到相应的组中。第五步，配置用户授权文件。

在ACS 导航栏中点击“Group Setup”，选中相应的组，点击“Edit Settings”，将滚动菜单下拉到以下界面：

图配置用户授权文件

如上图所示，选中auth-proxy 和Custom Attributes 复选框，在Custom Attributes 的文本框中输入该组用户的授权文件。

用户授权文件其实就是将来路由器要加载的ACL，每条语句使用proxyacl#n 的形式来表示，并且只能包含permit 语句。路由器下载授权文件后，它会自动将每条语句中的源地址（any）替换成用户的源IP 地址。下面是一个授权文件的实例：

『注意』授权文件的最后一行必须以priv-lvl=15 结尾。

第六步，在路由器上定义进站访问控制列表，只允许到路由器的AAA 流量。

使用show access-list 检查ACL：

第七步，打开路由器的HTTP 服务器。

第八步，配置认证代理规则。

第九步，测试。

用户访问Internet 上的服务器218.1.1.2 时，路由器会弹出下图所示的web 页面提示用户输入用户名和密码。

图 web 认证页面

第十步，检查认证缓冲区中的认证记录。

使用show ip auth-proxy cache 命令可以查看缓冲区中的认证记录，例如：

此时，如果再检查以下访问控制列表，我们可以发现访问控制列表101 的最前面被添加了一条语句。

第十一步，设置相关的时间参数以及认证标志。

缓冲区中的认证记录是有有效期的。当记录过期后，路由器会提示用户重新进行认证。PIX 使用非活动计时器和绝对计时器来计算认证记录的有效期，下面是对这两个计时器的详细解释：非活动计时器（inactivity）：当用户连接空闲时，非活动计时器开始计时。如果用户在计时器超时之前建立了一个连接，则计时器复位；如果用户在计时器超时之后建立了一个连接，则

路由器会提示用户重新进行认证。该计时器的缺省值为60 分钟。

绝对计时器（absolute）：绝对计时器永远不复位，当绝对计时器计时到期时，用户需要重新进行认证。该计时器的缺省值为0，即不使用该计时器。

非活动计时器和绝对计时器可以同时使用，但是绝对计时器的值一定要大于非活动计时器的值，否则非活动计时器永远不会产生作用。

使用ip auth-proxy inactivity-timer min absolute-timer min 命令可以对计时器的值进行修改，例如：

使用sh ip auth-proxy configuration 命令可以查看认证代理的相关参数，例如：

使用ip auth-proxy auth-proxy-banner http text 命令可以修改认证的标志，例如：

使用clear ip auth-proxy cache * 命令可以清除认证缓存记录

4.6.1 使用AAA 在Cisco IOS 中对管理员的行为进行审计

本节将接着“使用AAA 在Cisco IOS 中对用户可使用的命令进行授权”一节继续讨论，因此关于认证和授权部分的配置，本节不再列出。

如上图所示，假如我们想在ACS 服务器上记录管理员每次登陆的时间和所使用的命令，此时就必须在IOS 设备上配置AAA 审计，配置命令如下：

完成设置后，在ACS 的管理页面上点击“Report and activity”，可以看到以下界面：

其中“TACACS + Accounting”中记录了用户登陆的记录，“TACACS + Administration”中记录了用户曾经使用的命令记录，如下图所示：

4.4.3 PIX AAA 认证基本配置

在PIX OS 中配置AAA 认证主要步骤如下：

步骤1、创建AAA 服务器组，并且指明该组使用的认证协议，命令格式如下： aaa-server group_tag protocol { tacacs+ | radius}

步骤2、创建AAA 服务器，并且把它分配到一个AAA 组中。一个组中可以包含多个AAA 服务器，当首选AAA 服务器无法访问时，PIX 会将请求转发到下一个AAA 服务器。定义AAA 服务器的命令格式如下：

aaa-server group_tag (if_name) host server_ip key timeout seconds

步骤3、使用aaa authentication 命令定义认证方法。

下面我们举个例子来说明如何在PIX 上使用AAA 实现对控制台的认证。第一步，配置AAA 服务器参数。

第二步，配置认证方法。

4.4.3 Cisco PIX 网络访问认证

PIX 可以使用AAA 对进站连接和出站连接进行控制。下图就是某单位使用PIX 对用户访问 Internet 进行控制的例子，当图中172.16.254.0/24 网段中的用户访问Internet 时，pix 会弹出对话框提示用户输入用户名和密码。用户输入正确的用户名和密码后，PIX 将允许用户的访问。

图使用AAA 控制进站和出站连

图中的172.16.254.10 为Cisco Secure ACS 服务器，PIX 使用Tacacs+协议与服务器通信。下面列出主要的实现步骤：

第一步，配置PIX 接口地址以及NAT。

第二步，配置AAA 服务器参数。

第三步，配置AAA 认证。

第四步，测试。

当用户访问Internet 上的服务器218.1.1.2 时，PIX 会弹出下图所示的对话框提示用户输入用户名和密码。

如果管理员在配置时还输入了aaa authentication secure-http-client 命令，pix 则会使

用web 页面对用户进行认证，如下图所示：

第五步，修改认证的超时时间和认证提示。

Show uauth 命令可以列出PIX 当前认证缓冲区中的记录，例如：

管理员可以使用clear uauth 命令清除缓冲区中的所有记录，这样用户在下一次访问 Internet 时就必须重新进行认证。

缓冲区中的认证记录是有有效期的。当记录过期后，PIX 会提示用户重新进行认证。PIX 使用非活动计时器和绝对计时器来计算认证记录的有效期，下面是对这两个计时器的详细解释：非活动计时器（inactivity）：当用户连接空闲时，非活动计时器开始计时。如果用户在计时器超时之前建立了一个连接，则计时器复位；如果用户在计时器超时之后建立了一个连接，则 PIX 会提示用户重新进行认证。该计时器的缺省值为0。

绝对计时器（absolute）：绝对计时器永远不复位，当绝对计时器计时到期时，用户需要重新进行认证。该计时器的缺省值为5 分钟，如果要禁用该计时器，可以将其设置为0。非活动计时器和绝对计时器可以同时使用，但是绝对计时器的值一定要大于非活动计时器的值，否则非活动计时器永远不会产生作用。

使用timeout uauth 命令可以对计时器的值进行修改，例如： pixfirewall(config)# timeout uauth 1:00:00 absoute pixfirewall(config)# timeout uauth 0:10:00 inactivity 使用auth-prompt 命令可以修改用户登陆的提示信息，语法如下： auth-prompt [accept | reject | prompt] string 使用实例如下：

pixfirewall(config)# auth-prompt prompt Please Enter your Username and Password pixfirewall(config)# auth-prompt accept Sorry, Please Try Again pixfirewall(config)# auth-prompt reject Authentication Successful

4.4.4 使用AAA 在PIX 中对用户访问权限进行授权

在“Cisco PIX 网络访问认证”一节中，我们介绍到如何使用PIX 对进站连接和出站连接进行控制。本节将接着这个例子进行讲述，我们还可以在PIX 上配置授权规则，对用户的访问权限进行控制。

第一步，在PIX 上添加授权规则。

『注意』AAA 认证部分的配置和“Cisco PIX 网络访问认证”一节一样，因此不再列出。

第二步，在ACS 中为每个用户组设置授权规则。

在ACS 导航栏中点击“Group Setup”，将窗口滚动到“Shell Command Authorization Set” 部分，如下图所示:

图配置用户组的权限

图中，我们在“command”文本框中输入了“http”，“Arguments”框留空，“Unlisted arguments” 选择“permit”，这中配置代表允许改组用户访问所有的HTTP 服务器。『注意』Command 域部分可以填入http 或telnet 或ftp。

如果想限制用户只能访问某个服务器，可以采用如下图所示的配置：

图限制用户只能访问某个服务器

4.4.5 使用AAA 在PIX 中对用户的行为进行审计

PIX 上的审计命令相对比较简单，命令与法为：