AAA认证(Authentication, Authorization, and Accounting)是一个网络安全框架,用于管理用户如何访问网络资源。具体来说:

  1. 认证(Authentication):确认用户的身份。这通常涉及用户名和密码,但也可以包括生物识别技术(如指纹或面部识别)、一次性密码(OTP)等。

  2. 授权(Authorization):确定已认证的用户可以访问哪些资源或执行哪些操作。这可能涉及到权限级别、角色或职责等。

  3. 审计(Accounting):记录用户活动,例如登录时间、使用的资源、数据传输量等。这有助于审计和计费。

配置示例:

1. AAA基础配置

aaa authentication-scheme default   # 默认认证方案

aaa authorization-scheme default     # 默认授权方案

aaa accounting-scheme default  # 默认计费方案

aaa accounting-scheme audit # 启用操作日志记录

 accounting log information  # 记录详细操作

 server 192.168.1.100      # 审计服务器IP

作用:启用AAA框架,使用默认的认证、授权和审计策略。

2. 域配置

domain ceshi # 创建域名"ceshi"(可选,用于分组管理)

3. 本地用户配置

管理员(权限15)

local-user admin password cipher %$%$A1B2C3D4E5F6%$%$

local-user admin privilege level 15

local-user admin service-type ssh telnet terminal

运维人员(权限3)

local-user op password cipher %$%$12345678%$%$

local-user op privilege level 3

local-user op service-type telnet terminal

审计员(权限1,仅查看)

local-user audit password cipher %$%$abcdefg%$%$

local-user audit privilege level 1

local-user audit service-type ssh

4. 接口配置

控制台接口(con 0)

user-interface con 0

 authentication-mode aaa

 idle-timeout 15  # 超时15分钟

远程登录接口(VTY 0-4)

user-interface vty 0 4

 authentication-mode aaa

 protocol inbound ssh  # 仅允许SSH

 authorization-attribute user-role level 3  # 默认权限级别3

SSH配置

ssh user admin authentication-type password

ssh user audit authentication-type password

rsa local-key-pair create  # 生成RSA密钥对

应用到VTY接口

user-interface vty 0 4

 accounting-scheme audit

5. 安全增强

禁用Telnet(不安全协议)

telnet server disable

限制SSH尝试次数

ssh authentication-retries 3

密码策略

password-policy min-length 8 # 最小密码长度8位

检查审计日志:

display aaa accounting

动态密码:

local-user admin dynamic-password # 启用动态密码(如OTP)

多因素认证:

aaa authentication-scheme radius # 集成RADIUS服务器进行双因素认证

AAA认证的更多相关文章

  1. 在思科模拟器上配置AAA认证

    1.实验拓扑 2.检测用户之间连通性 PC2 ping PC-A PC-C  ping   PC-A 3.路由及服务器配置 R1:在路由器R1上配置一个本地用户账号并且利用本地AAA通过console ...

  2. 思科网络设备配置AAA认证

    思科网络设备配置AAA认证登陆,登陆认证后直接进入#特权模式,下面以Cisco 3750G-24TS-S为例,其他设备配置完全是一样的,进入config terminal后命令如下: 前面是加2个不同 ...

  3. 详解Cisco ACS AAA认证-1(转)

    转自:http://www.360doc.com/content/12/0611/17/8797027_217495523.shtml作者:luobo2012 近来,有些同学会问到关于AAA认证的问题 ...

  4. 基于Cisco packet tracer的AAA认证

    ---恢复内容开始--- 1.Topology Diagram拓扑图 2.配置ip地址 3.路由互通 pc1--pc2 pc1--pc3 pc2--pc3 4.指令文件 R1: R1(config)# ...

  5. 在思科路由器上配置AAA认证

    1.实验拓扑 网络情况 PC-A PING PC-B PC-A PING PC-C PC-B PING PC-C 2.R1的配置 a.console线 R1(config)#username admi ...

  6. HCNA配置console线路密码aaa认证

    Please check whether system data has been changed, and save data in time Configuration console time ...

  7. 简单配置AAA认证与telnet图解

    不罗嗦,直接上图

  8. 华为5700交换机通过外部开源protal和本地aaa用户认证的一些问题

    http://support.huawei.com/ecommunity/bbs/10178271.html?p=1#p0 华为5700交换机通过外部开源protal和本地aaa用户认证的一些问题 各 ...

  9. 配置用户通过Telnet登录设备的身份认证(AAA本地认证)

    背景信息 用户通过Telnet登录设备时,设备上必须配置验证方式,否则用户无法成功登录设备.设备支持不认证.密码认证和AAA认证三种用户界面的验证方式,其中AAA认证方式安全性最高. 采用AAA本地认 ...

  10. Radius 远程用户拨号认证系统

    RADIUS 锁定 本词条由“科普中国”百科科学词条编写与应用工作项目 审核 . RADIUS:Remote Authentication Dial In User Service,远程用户拨号认证系 ...

随机推荐

  1. 概率论与数理统计教程(第二版,茆诗松,2010)PDF下载

    概率论与数理统计教程(第二版,茆诗松,2010)PDF下载:共享地址

  2. IM开发干货分享:有赞移动端IM的组件化SDK架构设计实践

    本文由有赞技术团队原创分享,原题"有赞 APP IM SDK 组件架构设计",即时通讯网收录时有修订和改动,感谢原作者的无私分享. 1.引言 本文主要以Android客户端为例,记 ...

  3. 树莓派cm4更新bootloader(eeprom)

    cm4不能在系统里通过 rpi-eeprom-update 指令进行升级,也不能通过 update 进行更新,只能通过recovery模式进行更新. 以下为Windows的升级方式. Setp 1:下 ...

  4. 关于JetbrainsIDE升级到2024.2版本之后jetbra/ja-netfaliter激活失效不断弹窗的解决方案

    1. 原因: jetbra/ja-netfaliter激活的原理是拦截并重定向与Jetbrains账号验证服务器的数据. 2024.2后jetbrains新的安装程序自带了三个区域语言包,其中若选择中 ...

  5. Windows安全加固(三)

    五.网络安全配置 协议安全 1.SYN攻击保护 指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5:指定处于SYN_RCVD状态的TCP连接数的阈值为500,指定处于至少已发送一次重传的S ...

  6. AsyncLocal的妙用

    AsyncLocal<T>是一个在.NET中用来在同步任务和异步任务中保持全局变量的工具类. 它允许你在不同线程的同一个对象中保留一个特定值,这样你可以在不同的函数和任务中访问这个值. 这 ...

  7. Cobweb Intermediate pg walkthrough

    源码泄露 可以直接看到源码存在sql注入 反弹shellpayload http://192.168.167.162/phpinfo%22%20%20union%20select%20'system( ...

  8. AI编程:如何编写提示词

    这是小卷对AI编程工具学习的第2篇文章,今天讲讲如何编写AI编程的提示词,并结合实际功能需求案例来进行开发 1.编写提示词的技巧 好的提示词应该是:目标清晰明确,具有针对性,能引导模型理解问题 下面是 ...

  9. 【忍者算法】从图书馆编目到数组搜索:探索缺失的第一个正整数|LeetCode 41 缺失的第一个正整数

    从图书馆编目到数组搜索:探索缺失的第一个正整数 生活中的算法 想象你是一位图书馆管理员,正在整理一排连续编号的图书.这些书应该从1号开始按顺序排列,但是有些编号的书不见了.你的任务是找出第一个缺失的编 ...

  10. THUWC 之后到 2.9 的总结

    考试 题解还没来得及写. 还是出现没有得到预期得分的情况,有时是没有调试完成,有时是挂分. 但是从做题情况看来,做我熟悉的题目比方说偏数学和性质的一般没有劣势.但是在数据结构比较不熟练,技巧和 tri ...