由于TACACS+是Cisco的一個(gè)私有協(xié)議,因此,如果希望實(shí)現(xiàn)對(duì)管理員命令行操作的授權(quán)訪問,需要在TACACS+上進(jìn)行進(jìn)一步的配置。因此,本文除了介紹如何在AX上配置實(shí)現(xiàn)TACACS+的AAA認(rèn)證,還將介紹如何在Cisco的ACS服務(wù)器上配置實(shí)現(xiàn)AX的授權(quán)訪問。
1. AX的AAA基本功能介紹
通常情況下,我們所說的AAA是三個(gè)英文單詞的縮寫,分別是:認(rèn)證(Authentication)、授權(quán)(Authorization)和審計(jì)(Accounting)。下面將分別進(jìn)行介紹:
1.1 認(rèn)證(Authentication)
在默認(rèn)情況下,當(dāng)管理賬戶需要登陸到AX設(shè)備時(shí),AX設(shè)備根據(jù)用戶輸入的用戶名和密碼檢查本地的管理員數(shù)據(jù)庫。如果輸入的用戶名和密碼在本地?cái)?shù)據(jù)庫中,則登陸成功,否則,登陸用戶被拒絕訪問。
我們可以為AX設(shè)備配置一個(gè)外部的TACACS+服務(wù)器,用于管理賬戶的認(rèn)證。在這種情況下,AX仍然會(huì)優(yōu)先檢查本地?cái)?shù)據(jù)庫,以進(jìn)行認(rèn)證。
如果AX設(shè)備的本地管理員數(shù)據(jù)庫有這個(gè)用戶名和密碼,則用戶通過認(rèn)證,獲得訪問系統(tǒng)的權(quán)限。
如果AX設(shè)備的本地管理員數(shù)據(jù)庫有這個(gè)用戶名,但密碼錯(cuò)誤,則AX設(shè)備會(huì)拒絕該訪問。
如果AX設(shè)備的本地管理員數(shù)據(jù)庫沒有這個(gè)用戶名,并且配置了TACACS+服務(wù)器,則AX采用這些服務(wù)器上的數(shù)據(jù)庫進(jìn)行認(rèn)證。
1.2 授權(quán)(Authorization)
在AX上配置TACACS+授權(quán)時(shí),可以授權(quán)管理帳號(hào)執(zhí)行以下幾個(gè)級(jí)別的CLI命令。
15(admin):允許執(zhí)行所有級(jí)別的CLI命令。
14(config):可以執(zhí)行除了修改管理員賬號(hào)的其他CLI命令。
1(Privileged EXEC):可以執(zhí)行特權(quán)模式或用戶模式下的所有命令。
0(User EXEC):可以執(zhí)行用戶模式下的所有命令。
注:配置為2-13等同于1這個(gè)級(jí)別。
1.3 審計(jì)(Accounting)
你可以為AX設(shè)備配置外部TACACS+服務(wù)器實(shí)現(xiàn)審計(jì)功能。通過審計(jì)功能,你可以追蹤管理帳號(hào)登陸以后的所有活動(dòng)。
你可以配置以下審計(jì)內(nèi)容:
Login/Logoff 活動(dòng)
命令
你可以配置以下幾個(gè)級(jí)別的審計(jì),來追蹤管理員執(zhí)行命令的情況:
15(admin):審計(jì)所有級(jí)別的CLI命令的執(zhí)行情況。
14(config):審計(jì)除了修改管理員賬號(hào)的其他CLI命令。
1(Privileged EXEC):審計(jì)特權(quán)模式或用戶模式下的所有命令。
0(User EXEC):審計(jì)用戶模式下的所有命令。
2. 為AX配置TACACS+的AAA認(rèn)證
為AX配置TACACS+的AAA的方式很簡單,只需要幾條命令即可實(shí)現(xiàn)。基本上,配置命令可以簡單的分為幾個(gè)部分:
1) 在AX上配置TACACS+服務(wù)器信息。通常情況下,建議配置第二臺(tái)TACACS+作為備份服務(wù)器。
tacacs-server host 192.168.103.101 secret tacacs_secret //設(shè)定TACACS+服務(wù)器,及共享密鑰 authentication type local tacplus //設(shè)定認(rèn)證服務(wù)器類型
2) 配置是否需要進(jìn)行授權(quán)控制。
authorization commands 15 method tacplus //設(shè)定授權(quán)的命令行等級(jí)
3) 配置審計(jì)方式和內(nèi)容。
accounting exec start-stop tacplus //設(shè)定審計(jì)管理帳號(hào)login/logoff行為 accounting commands 15 stop-only tacplus //設(shè)定對(duì)命令行的審計(jì)等級(jí)
3. Cisco ACS服務(wù)器上的配置方式
由于TACACS+是Cisco的私有協(xié)議,因此,在默認(rèn)配置方式下,如果在AX上配置了授權(quán)(Authorization)控制,需要在TACACS+上進(jìn)行一些額外的配置,以實(shí)現(xiàn)對(duì)AX的授權(quán)控制。否則,AX上可能會(huì)出現(xiàn)類似以下的告警日志:
Nov 30 2011 17:43:53 Error [SYSTEM]:tacplus_read_response: authorization failed with TACACS+ server 192.168.103.101以下以Cisco ACS 4.2為例,說明TACACS+的配置方式:
1) 在“Shared Profile Components”下,設(shè)置“Shell Command Authorization Set”。
在“Unmatched Commands”中,如果默認(rèn)拒絕執(zhí)行所有命令,你需要將允許執(zhí)行的命令添加至列表中,并選擇“Permit Unmatched Args”。
2) 在“Network Configuration”中,將AX添加為“AAA Clients”。
如上圖所示,你需要指定AX的管理地址及共享密鑰。添加后,選擇“Submit+Apply”,以使配置生效。
3) 在“Group Setup”中,選擇相應(yīng)的組并按照下圖對(duì)組設(shè)置進(jìn)行編輯。
4) 將管理帳號(hào)與組進(jìn)行關(guān)聯(lián)。
至此,完成ACS上的TACACS+配置。
推薦閱讀
雷士照明日前發(fā)布公告稱,考慮到調(diào)查小組的發(fā)現(xiàn),認(rèn)為重新委任吳長江為董事長及董事并不妥當(dāng)。公司已設(shè)立臨時(shí)管理委員會(huì)加強(qiáng)對(duì)日常運(yùn)營的管理。委員會(huì)由三位副總裁穆宇、王明華及談鷹組成,相信亦有助履行因李瑞及李>>>詳細(xì)閱讀
本文標(biāo)題:A10負(fù)載均衡交換機(jī)AX認(rèn)證方式詳解
地址:http://www.brh9h.cn/a/22/20120817/81128.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示