详解Cisco ACS AAA认证-1(转)
转自:http://www.360doc.com/content/12/0611/17/8797027_217495523.shtml作者:luobo2012
近来,有些同学会问到关于AAA认证的问题,以及cisco ACS如何使用,那么今天我们就主要来讲一下关于这方面的知识。
AAA代表Authentication、Authorization、Accounting,意为认证、授权、记帐,其主要目的是管理哪些用户可以访问服务器,具有访问权的用户可以得到哪些服务,如何对正在使用网络资源的用户进行记帐。
1、 认证:验证用户是否可以获得访问权限——“你是谁?”
2、 授权:授权用户可以使用哪些资源——“你能干什么?”
3、 记帐:记录用户使用网络资源的情况——“你干了些什么?”
好的,简单的了解理论知识后,接下来我们还是以实验的方式来进行讲解:
为网络提供AAA服务的,主要有TACACS+和RADIUS协议,我们主要介绍是TACACS+协议,因为它运行在TCP协议基础之上,更适合大型网络,特别是融合型网络
一、 实验拓扑介绍

该实验主要完成R1路由通过ACS服务器实现AAA认证,包括验证、授权和记帐,同时还包括PPP验证和计时通过cisco ACS实验
二、 安装cisco ACS
1、 硬软件要求
硬件:Pentium IV 处理器, 1.8 GHz 或者更高
操作系统:Windows 2000 Server
Windows 2000 Advanced Server (Service Pack 4)
Windows Server 2003, Enterprise Edition or Standard
Edition (Service Pack 1)
内存:最小1GB
虚拟内存:最小1GB
硬盘空间:最小1GB可用空间,实际大小根据日志文件的增长,复制和备份的需求而定。
浏览器:Microsoft Internet Explorer 6 或者更高版本
JAVA运行环境:Sun JRE 1.4.2_04 或更高版本
网络要求:
在CISCO IOS 设备上为了全面的支持TACACS+ 和 RADIUS,AAA 客户端必须运行Cisco IOS 11.1 或者更高的版本。
非CISCO IOS 设备上必须用TACACS+,RADIUS或者两者一起配置。
运行ACS的主机必须能ping通所有的AAA客户端。
2、 安装方法(我们用的版本是4.0版本)
打开ACS安装程序文件夹,选中setup 双击。进入安装向导,根据提示进行安装,基本为默认设置
3、 安装完成后的访问
在运行ACS的主机上,通过桌面上的ACS Admin 网页图标,可以访问ACS的web格式的管理台。也可以通过网页浏览器输入地址:http://127.0.0.1:2002 来访问ACS。
注:
Windows Xp不支持cisco ACS,在此笔者是在虚机中的windows2003sever下安装的
ACS安装完成后,一定要安装JAVA平台,否则该ACS将不能正常使用,笔者在此安装的是jre-6u12-windows-i586-p-s.exe,版本为JRE 版本 1.6.0_12 Java HotSpot(TM)
三、 ACS的配置
1、 设置ACS管理员帐号
Step 1>点击ACS界面左边的Administration control 按钮 ,然后点击Administrator control界面中的Add Administrator

Step 2>点击Add administrator 后出现此账户的诸多选项,逐一填写后点击Submit

Step3>设置了管理员后就可以通过web界面登录到ACS服务器对ACS进行配置
如:http://10.10.10.110:2002
2、 ACS网络设置(添加Tacacs+客户端
Step1>点击ACS界面的Network Configuration按钮 ,出现网络配置界面,然后点击Add Entry,

Step2>添加Tacacs+客户端(ACS中必须指定Tacacs+客户端的名字、IP地址、key)
3、 Tacacs+设置
Step1>点击ACS界面左边Interface configuration 按钮 ,选择TACACS+ (Cisco IOS)

Step2>根据个人具体应用,在Tacacs+相关项目中打勾(如果没有将tacacs+相关项目选中,则在用户组/用户属性中将不会出现tacacs+相关项目)
17676 |
4、 设备端tacacs+服务器的指定
在cisco设备端用以下命令指定ACS tacacs+服务器 R1(config)# tacacs-server host 10.10.10.110 R1(config)# tacacs-server directed-request R1(config)# tacacs-server key xinhua 5、 添加用户组 Step1>在ACS界面左边点击Group Setup ![]() Step2>在下拉列表中选取某个组,给这个组重命名,接着选择Edit setting进入组的属性配置 Step3>在组的enable option 中的Max privilege for any AAA Client设置组的级别 6、 添加用户 Step1>在ACS界面的左边点击user setup 按钮 ![]() Step2>在user方框中填写用户名,然后点击ADD/Edit Step3>在出现的用户属性中逐一填写 ![]() Step4>选择用户属于哪个用户组 ![]() Step5>选择用户属于的级别(可以定义单个用户级别,也可以和所属的用户组级别一样) ![]() Step6>设置用户的enable 密码 |
Step3>点击Add添加命令集
页面下方有两个方框,左边填写命令的前缀,右边填写命令的后缀,命令后缀填写的语法格式是:permit/deny ***,如本例当中只允许使用show version命令
Step4>将命令集运用到用户组或者用户,在用户组属性当中进行设置,如下图,然后点击submit+restart
Step6>设备端配置
R1(config)# aaa new-model
R1(config)# aaa authorization commands 1 default group tacacs+ local '指定级别1能够使用的EXEC命令
R1(config)# aaa authorization commands 15 default group tacacs+ local '指定级别15能够使用的EXEC命令
R1(config)# line vty 0 4
R1(config)# authorization commands 1 default '应用到telnet登陆进程
R1(config)# authorization commands 15 default
Step7>测试
由于根据前面授权设置,在特权15级别下只能使用show version命令,故其它命令均不能使用
另外,我们也可以在用户组属性中设置该组能够使用特权的最高级别,如下图:
3、 ACS审计
Step1>设备端配置
R1(config)# aaa new-model
R1(config)# aaa accounting exec default start-stop group tacacs+
R1(config)# lin vty 0 4
R1(config)# accounting exec default
Step2>点击ACS界面左边的reports and activity按钮,然后选择TACACS+ Accounting可以具体浏览某一天的记录

Step3>如果要记录用户所用的命令,设备端配置为:
R1(config)# aaa new-model
R1(config)# aaa accounting commands 0 default start-stop group tacacs+
R1(config)# aaa accounting commands 1 default start-stop group tacacs+
R1(config)# aaa accounting commands 15 default start-stop group tacacs+
R1(config)# line vty 0 4
R1(config)# accounting commands 0 default
R1(config)# accounting commands 1 default
R1(config)# accounting commands 15 default
Step4>然后点击report and activity中的TACACS+ Administration,可以浏览某天某用户的所有命令

4、 ppp验证与计时
Step1>验证设备端配置
R1:
R1(config)# aaa authentication ppp jxxh group tacacs+
R1(config)# int s0/0
R1(config-if)# encapsulation ppp
R1(config-if)# ppp authentication pap jxxh
R1(config-if)# ppp pap sent-username r1 password 123
R2:
R2(config)#username r1 password 123
R2(config)# int s1
R2(config-if)# encapsulation ppp
R2(config-if)# ppp authentication pap
R2(config-if)# ppp pap sent-username test password test
在本例PPP验证中,R1采用的是ACS服务器验证,R2依然采用的是本地数据库验证
Step2>计时设备端配置
R1(config)# aaa accounting network jxppp start-stop group tacacs+
R1(config)# int s0/0
R1(config-if)# ppp accounting jxppp
配完后,点击ACS界面左边的reports and activity按钮,然后选择TACACS+ Accounting可以查看ppp连接时间和断开时间
好的,关于cisco acs AAA认证就讲到这里。
详解Cisco ACS AAA认证-1(转)的更多相关文章
- Python3中使用urllib的方法详解(header,代理,超时,认证,异常处理)_python
我们可以利用urllib来抓取远程的数据进行保存哦,以下是python3 抓取网页资源的多种方法,有需要的可以参考借鉴. 1.最简单 import urllib.request response = ...
- FastAPI(59)- 详解使用 OAuth2PasswordBearer + JWT 认证
JWT JSON Web Tokens 它是一个将 JSON 对象编码为密集且没有空格的长字符串的标准 使用 JWT token 和安全密码 hash 使应用程序真正安全 JWT 小栗子 eyJhbG ...
- 详解Django的CSRF认证
1.csrf原理 csrf要求发送post,put或delete请求的时候,是先以get方式发送请求,服务端响应时会分配一个随机字符串给客户端,客户端第二次发送post,put或delete请求时携带 ...
- Python3中使用urllib的方法详解(header,代理,超时,认证,异常处理)
出自 http://www.jb51.net/article/93125.htm
- 详解cisco访问控制列表ACL
一:访问控制列表概述 ·访问控制列表(ACL)是应用在路由器接口的指令列表.这些指令列表用来告诉路由器哪些数据包可以通过,哪些数据包需要拒绝. ·工作原理:它读取第三及第四层包头中的信息,如源 ...
- 转:SSL 握手协议详解
SSL 握手协议详解 RSA作为身份认证,ECDHE来交换加密密钥,AES/DES等作为加密. 如果RSA来加解密,那么身份认证后,直接用认证后的RSA公钥解密.不需要再额外交换加密密钥了. 相关报文 ...
- Flask-Login详解
Flask-Login详解 关于Flask登录认证的详细过程请参见拙作<<使用Flask实现用户登陆认证的详细过程>>一文,而本文则偏重于详细介绍Flask-Login的原理, ...
- CDA考试 ▏2017 CDA L1备考资源习题详解-统计基础部分
CDA考试 ▏2017 CDA L1备考资源习题详解-统计基础部分 <CDA LEVEL 1描述性分析典型例题讲解> 主讲人:CDA命题组委会 傅老师 ▏2017 CDA L1备考资源习题 ...
- Linux的加密认证功能以及openssl详解
一.详细介绍加密.解密技术 现在的加密/解密技术主要有三种:对称加密,非对称加密,和单向加密 这三种加密解密技术的组合就是现在电子商务的基础,它们三个有各自最适合的领域,而且所要完成的功能也是不同的, ...
随机推荐
- 常见的Java的软件包
java.lang: language java的核心包,Object System String Throwable jdk1.2版本后,该包中的类自动被导入. java.awt: 定义的都是用于j ...
- Elasticsearch核心概念
Elasticsearch 核心概念 Cluster 代表一个集群, 集群中有多个节点, 其中一个为主节点, 该节点可以通过选举产生.(主从节点只针对于集群内部) 去中心化: 对于集群外来说无中心节点 ...
- Codeforces Round #616 (Div. 2)
地址:http://codeforces.com/contest/1291 A题就不写解析了,就是给一个数,是不是本身满足这个条件或者删除某些数字来达到这个条件:奇数,各个位上的数字加起来是偶数. # ...
- Power Tower
题目大意:给出一段长为 \(n\) 的序列 \(a_1,a_2,\cdots,a_n\) ,一个模数 \(m\) .每次询问给定 \(l,r\) 求 \(a_l^{{a_{l+1}^\cdots}^{ ...
- 14 ~ express ~ 显示用户数据
一,router/admin.js var express = require('express') var router = express.Router() var User = require( ...
- 如何写好一个完整的Essay写作论证
主体段是我们留学生在Essay写作中陈述观点和论述观点的核心段落,那么一个完整的论证应该包含哪些要素呢?我觉得有这么几项:主旨句.解释.例证.小结(非必需) 这些其实也是我们在说服他人接受我们的观点时 ...
- 科学 multi port
issues/679 create new UUID cat /proc/sys/kernel/random/uuid example config : multi port , multi user ...
- OI常用模板
long long qpow(long long a,long long b,int mod) { ; while (b) { ) res=res*a%mod; a=a*a%mod; b>> ...
- Unity3d中渲染到RenderTexture的原理,几种方式以及一些问题
超级搬运工 http://blog.csdn.net/leonwei/article/details/54972653 ---------------------------------------- ...
- springBoot中的邮件发送
1. 添加依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId> ...