大中型企业中布置使用AAA-本地授权篇51CTO博客 - 千亿集团

大中型企业中布置使用AAA-本地授权篇51CTO博客

2019年02月23日13时17分40秒 | 作者: 运升 | 标签: 用户,装备,用户名 | 浏览: 2518

AAA现已在大中型企业中布置运用了,而许多的网友或许工程师对AAA的运用和保护不见得融会贯通了。近来更新的数篇博客,都将以AAA为专题给咱们来叙述我在做项目中的实践运用事例。期望兄弟们在茶余酒后过来助威。 项目需求: 1,某大型客户,从接入层、会聚层、核心层设备“清一色”全Cisco。公司高管要求对加强设备的安全性,特别要求网络办理人员对设备的保护和操作要求专门人员,专门账号,不同的办理人员登录设备的权限不一样。详细来剖析,假如在设备上装备多个办理员账号,而不同的办理人员具有不同的办理权限,对特其他人员,约束只能运用Configure terminal 等 需求完结办法: 客户日常办理设备和修正装备文件,大多数都是经过长途Telnet或许SSH办法来完结。装备长途登录用户名和暗码 网络拓扑(客户办理人员在作业室需求经过超级终端或许SecureCRTd等软件,来登录),初始装备,就必须先从console登录,装备好长途登录用户名和暗码,今后的调试和装备,就不必奔走下楼到机房,插上console线路再调试 完结办法一:(与AAA无关),安全性较低   第一步:运用console线登陆设备,检查IP地址,测验设备与客户作业网络能够互通。客户PC,ip地址为192.168.10.1/24  
Center>enable Center# Center#show ip int brief Interface                  IP-Address      OK? Method Status                Protocol Ethernet0/0                12.0.0.1        YES manual up                    up      Ethernet1/0                192.168.10.2    YES manual up                    up      Center#ping 192.168.10.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/18/60 ms Center#
第二步:装备长途登陆的用户名和暗码,这儿装备两个不同的用户,而且两个用户的等级是不一样的,要求暗码在show running-config中,以密文的办法来显现,避免其他用户窥屏(呵呵,看你后边站的那位在干吗了)即运用不同的用户名和暗码,登陆到路由器处于不同的形式下。
Center#conf t Enter configuration commands, one per line.  End with CNTL/Z. Center(config)#username zhanggong secret gongzhang> //装备一个一般的用户,该用户的等级是默许的1,用户等级最大是15,可是运用该用户名,长途登陆之后,只能在用户形式下,而且不对该用户走漏enable暗码,该用户只要对路由器的作业状况监督检查。 Center(config)#username nopassword! privilege 15 secret passwordccie //装备一个高等级的用户,该用户的等级设置为15,即运用本用户和暗码长途登陆到路由器能直接进入到特权形式。 //进入VTY线路装备形式 Center(config)#line vty 0 15 //装备本地登陆验证办法,即要求输入用户名和暗码,和VTY线路没有任何关系。 Center(config-line)#login local Center(config-line)#end Center# *Mar  1 00:38:38.675: %SYS-5-CONFIG_I: Configured from console by console Center#
第三步:长途登陆测验成果(如图所示1),长途登陆协议:Telnet,端口号:23,主机IP:192.168.10.2,再点击“衔接” 第四步:如图2所示,提示输入用户名和暗码,咱们输入用户名:zhanggong 暗码:gongzhang> 回车之后,登录成功了可是在用户形式下,能够紧系根本的调试,用户形式下的指令我就不做过多解说了。 如图3所示,用别的一个用户登录,能够直接进入特权形式,能够进行调试和装备修正,用户的需求完结了。 完结办法二,经过装备了AAA,运用AAA的认证和授权功能来完结,安全等级要高
用户名和暗码都坚持和本来的共同,再次根底之上只需求装备AAA的认证和授权 Center#conf t Enter configuration commands, one per line.  End with CNTL/Z. //敞开AAA Center(config)#aaa new-model //装备登陆验证办法有aaa 认证来完结,验证办法为本地 Center(config)#aaa authentication login default local Center(config)#aaa authorization ?   auth-proxy       For Authentication Proxy Services   cache            For AAA cache configuration   commands         For exec (shell) commands.   config-commands  For configuration mode commands.   configuration    For downloading configurations from AAA server   console          For enabling console authorization   exec             For starting an exec (shell).   ipmobile         For Mobile IP services.   network          For network services. (PPP, SLIP, ARAP)   reverse-access   For reverse access connections   template         Enable template authorization //对本地登陆的用户进行授权,当用户在客户端运用不同的用户名和暗码企图登陆,输入的用户名和暗码,发送的路由器,路由器查询本地数据库的用户名和暗码,假如收到的用户名和暗码和本地界说的用户名匹配成功,则用户身份认证经过。完结了认证之后,即运用户的等级是15,由于现已启用了AAA,AAA的安全等级高,要想让这个15等级的用户能进入到特权形式,还必须经过授权来完结。 //装备对exec授权,授权办法为本地 Center(config)#aaa authorization exec default local Center(config)#end
第一步:运用不同的用户名和暗码,测验AAA认证和授权的进程,在路由器翻开debug,剖析aaa认证和授权进程。 如图4所示,先要翻开debug调试指令,再来长途登录 如图5所示:运用等级为1的用户登录 如图6所示,用户zhanggong,认证和授权成果 如图7所示,运用用户名nopassword!登录成功了 如图8所示,用户nopassword! ,认证经过之后,才是授权,授权用户的等级是15,授权成功,经过运用show users现已检查到有用户登录到本地设备上了,而且对方登录的用户名也能看到。 经过客户的需求,咱们给了两套解决方案,从安全性视点来考虑,  第二种完结办法更为科学一些。启用了AAA来是完结,而且还能够和aaa的审计联动起来,对用户的操作指令做了记载,或人,某个时间段,登录设备,履行哪些指令,几点脱离的等都能够经过aaa来完结的,假如没有aaa,则要完结对用户的行为进行审计就比较困难了,关键是办理杂乱了,客户履行起来十分不方便。 下篇文章,将给咱们介绍怎么建立Cisco ACS Server来完结认证和授权,审计。
版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表千亿集团立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章