AAA认证(Authentication, Authorization, and Accounting)是一个网络安全框架,用于管理用户如何访问网络资源。具体来说:

  1. 认证(Authentication):确认用户的身份。这通常涉及用户名和密码,但也可以包括生物识别技术(如指纹或面部识别)、一次性密码(OTP)等。

  2. 授权(Authorization):确定已认证的用户可以访问哪些资源或执行哪些操作。这可能涉及到权限级别、角色或职责等。

  3. 审计(Accounting):记录用户活动,例如登录时间、使用的资源、数据传输量等。这有助于审计和计费。

配置示例:

1. AAA基础配置

aaa authentication-scheme default   # 默认认证方案

aaa authorization-scheme default     # 默认授权方案

aaa accounting-scheme default  # 默认计费方案

aaa accounting-scheme audit # 启用操作日志记录

 accounting log information  # 记录详细操作

 server 192.168.1.100      # 审计服务器IP

作用:启用AAA框架,使用默认的认证、授权和审计策略。

2. 域配置

domain ceshi # 创建域名"ceshi"(可选,用于分组管理)

3. 本地用户配置

管理员(权限15)

local-user admin password cipher %$%$A1B2C3D4E5F6%$%$

local-user admin privilege level 15

local-user admin service-type ssh telnet terminal

运维人员(权限3)

local-user op password cipher %$%$12345678%$%$

local-user op privilege level 3

local-user op service-type telnet terminal

审计员(权限1,仅查看)

local-user audit password cipher %$%$abcdefg%$%$

local-user audit privilege level 1

local-user audit service-type ssh

4. 接口配置

控制台接口(con 0)

user-interface con 0

 authentication-mode aaa

 idle-timeout 15  # 超时15分钟

远程登录接口(VTY 0-4)

user-interface vty 0 4

 authentication-mode aaa

 protocol inbound ssh  # 仅允许SSH

 authorization-attribute user-role level 3  # 默认权限级别3

SSH配置

ssh user admin authentication-type password

ssh user audit authentication-type password

rsa local-key-pair create  # 生成RSA密钥对

应用到VTY接口

user-interface vty 0 4

 accounting-scheme audit

5. 安全增强

禁用Telnet(不安全协议)

telnet server disable

限制SSH尝试次数

ssh authentication-retries 3

密码策略

password-policy min-length 8 # 最小密码长度8位

检查审计日志:

display aaa accounting

动态密码:

local-user admin dynamic-password # 启用动态密码(如OTP)

多因素认证:

aaa authentication-scheme radius # 集成RADIUS服务器进行双因素认证

AAA认证的更多相关文章

  1. 在思科模拟器上配置AAA认证

    1.实验拓扑 2.检测用户之间连通性 PC2 ping PC-A PC-C  ping   PC-A 3.路由及服务器配置 R1:在路由器R1上配置一个本地用户账号并且利用本地AAA通过console ...

  2. 思科网络设备配置AAA认证

    思科网络设备配置AAA认证登陆,登陆认证后直接进入#特权模式,下面以Cisco 3750G-24TS-S为例,其他设备配置完全是一样的,进入config terminal后命令如下: 前面是加2个不同 ...

  3. 详解Cisco ACS AAA认证-1(转)

    转自:http://www.360doc.com/content/12/0611/17/8797027_217495523.shtml作者:luobo2012 近来,有些同学会问到关于AAA认证的问题 ...

  4. 基于Cisco packet tracer的AAA认证

    ---恢复内容开始--- 1.Topology Diagram拓扑图 2.配置ip地址 3.路由互通 pc1--pc2 pc1--pc3 pc2--pc3 4.指令文件 R1: R1(config)# ...

  5. 在思科路由器上配置AAA认证

    1.实验拓扑 网络情况 PC-A PING PC-B PC-A PING PC-C PC-B PING PC-C 2.R1的配置 a.console线 R1(config)#username admi ...

  6. HCNA配置console线路密码aaa认证

    Please check whether system data has been changed, and save data in time Configuration console time ...

  7. 简单配置AAA认证与telnet图解

    不罗嗦,直接上图

  8. 华为5700交换机通过外部开源protal和本地aaa用户认证的一些问题

    http://support.huawei.com/ecommunity/bbs/10178271.html?p=1#p0 华为5700交换机通过外部开源protal和本地aaa用户认证的一些问题 各 ...

  9. 配置用户通过Telnet登录设备的身份认证(AAA本地认证)

    背景信息 用户通过Telnet登录设备时,设备上必须配置验证方式,否则用户无法成功登录设备.设备支持不认证.密码认证和AAA认证三种用户界面的验证方式,其中AAA认证方式安全性最高. 采用AAA本地认 ...

  10. Radius 远程用户拨号认证系统

    RADIUS 锁定 本词条由“科普中国”百科科学词条编写与应用工作项目 审核 . RADIUS:Remote Authentication Dial In User Service,远程用户拨号认证系 ...

随机推荐

  1. Qt开源作品29-NTP服务器时间同步

    一.前言 很多软件都有时间同步的功能,尤其是Qt在嵌入式设备上的,有时候还有很多是没有UI界面的程序,而硬件上有个时钟,时间久了难免没有电,需要从服务器来同步时间来保证本地的时间是正确的,不然本地记录 ...

  2. Kubernetes系列(三) - 通过Kubeadm部署kubernetes

    目录 1. Kubeadm简介 2. 本次操作的机器配置 3. 部署步骤 3.1 准备工作 3.2 安装docker 3.3 安装kubeadm, kubectl, kubelet 3.4 maste ...

  3. 【狂神说Java】Java零基础学习笔记-Java基础

    [狂神说Java]Java零基础学习笔记-Java基础 Java基础01:注释 平时我们编写代码,在代码量比较少的时候,我们还可以看懂自己写的,但是当项目结构一旦复杂起来,我们就需要用到注释了. 注释 ...

  4. WPF刮刮乐

    WPF刮刮乐 <Window x:Class="WpfApp2.MainWindow" xmlns="http://schemas.microsoft.com/wi ...

  5. WebSocket一篇就够了-copy

    WebSocket介绍与原理 WebSocket protocol 是HTML5一种新的协议.它实现了浏览器与服务器全双工通信(full-duplex).一开始的握手需要借助HTTP请求完成. --百 ...

  6. biancheng-Python机器学习算法

    http://c.biancheng.net/ml_alg/ Python机器学习 就当下而言,Python 无疑是机器学习领域最火的编程语言,这得益于 Python 对科学计算的强大支持.因此,本套 ...

  7. w3cschool-Docker 入门到实践

    https://www.w3cschool.cn/reqsgr/ 什么是 Docker Docker 是一个开源项目,诞生于 2013 年初,最初是 dotCloud 公司内部的一个业余项目.它基于 ...

  8. Algernon pg walkthrough Window

    第一次打window 从简单的开始打起吧 nmap └─# nmap -p- -A 192.168.150.65 Starting Nmap 7.94SVN ( https://nmap.org ) ...

  9. Shiftdel walkthrough Intermediate

    点击查看代码 nmap -p- -A 192.168.167.174 Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-11-12 00:09 UT ...

  10. Drawable图形定制

    设置背景设置背景 button或者textview我们想要自定义他的背景就需要用到Drawable中创建xml文件 例如 shape标签是用来控制背景的形状的 他下面的子标签有 stroke控制描边 ...