由于TACACS+是Cisco的一個私有協議,因此,如果希望實現對管理員命令行操作的授權訪問,需要在TACACS+上進行進一步的配置。因此,本文除了介紹如何在AX上配置實現TACACS+的AAA認證,還將介紹如何在Cisco的ACS服務器上配置實現AX的授權訪問。
1. AX的AAA基本功能介紹
通常情況下,我們所說的AAA是三個英文單詞的縮寫,分別是:認證(Authentication)、授權(Authorization)和審計(Accounting)。下面將分別進行介紹:
1.1 認證(Authentication)
在默認情況下,當管理賬戶需要登陸到AX設備時,AX設備根據用戶輸入的用戶名和密碼檢查本地的管理員數據庫。如果輸入的用戶名和密碼在本地數據庫中,則登陸成功,否則,登陸用戶被拒絕訪問。
我們可以為AX設備配置一個外部的TACACS+服務器,用于管理賬戶的認證。在這種情況下,AX仍然會優先檢查本地數據庫,以進行認證。
如果AX設備的本地管理員數據庫有這個用戶名和密碼,則用戶通過認證,獲得訪問系統的權限。
如果AX設備的本地管理員數據庫有這個用戶名,但密碼錯誤,則AX設備會拒絕該訪問。
如果AX設備的本地管理員數據庫沒有這個用戶名,并且配置了TACACS+服務器,則AX采用這些服務器上的數據庫進行認證。
1.2 授權(Authorization)
在AX上配置TACACS+授權時,可以授權管理帳號執行以下幾個級別的CLI命令。
15(admin):允許執行所有級別的CLI命令。
14(config):可以執行除了修改管理員賬號的其他CLI命令。
1(Privileged EXEC):可以執行特權模式或用戶模式下的所有命令。
0(User EXEC):可以執行用戶模式下的所有命令。
注:配置為2-13等同于1這個級別。
1.3 審計(Accounting)
你可以為AX設備配置外部TACACS+服務器實現審計功能。通過審計功能,你可以追蹤管理帳號登陸以后的所有活動。
你可以配置以下審計內容:
Login/Logoff 活動
命令
你可以配置以下幾個級別的審計,來追蹤管理員執行命令的情況:
15(admin):審計所有級別的CLI命令的執行情況。
14(config):審計除了修改管理員賬號的其他CLI命令。
1(Privileged EXEC):審計特權模式或用戶模式下的所有命令。
0(User EXEC):審計用戶模式下的所有命令。
2. 為AX配置TACACS+的AAA認證
為AX配置TACACS+的AAA的方式很簡單,只需要幾條命令即可實現。基本上,配置命令可以簡單的分為幾個部分:
1) 在AX上配置TACACS+服務器信息。通常情況下,建議配置第二臺TACACS+作為備份服務器。
tacacs-server host 192.168.103.101 secret tacacs_secret //設定TACACS+服務器,及共享密鑰 authentication type local tacplus //設定認證服務器類型
2) 配置是否需要進行授權控制。
authorization commands 15 method tacplus //設定授權的命令行等級
3) 配置審計方式和內容。
accounting exec start-stop tacplus //設定審計管理帳號login/logoff行為 accounting commands 15 stop-only tacplus //設定對命令行的審計等級
3. Cisco ACS服務器上的配置方式
由于TACACS+是Cisco的私有協議,因此,在默認配置方式下,如果在AX上配置了授權(Authorization)控制,需要在TACACS+上進行一些額外的配置,以實現對AX的授權控制。否則,AX上可能會出現類似以下的告警日志:
Nov 30 2011 17:43:53 Error [SYSTEM]:tacplus_read_response: authorization failed with TACACS+ server 192.168.103.101以下以Cisco ACS 4.2為例,說明TACACS+的配置方式:
1) 在“Shared Profile Components”下,設置“Shell Command Authorization Set”。
在“Unmatched Commands”中,如果默認拒絕執行所有命令,你需要將允許執行的命令添加至列表中,并選擇“Permit Unmatched Args”。
2) 在“Network Configuration”中,將AX添加為“AAA Clients”。
如上圖所示,你需要指定AX的管理地址及共享密鑰。添加后,選擇“Submit+Apply”,以使配置生效。
3) 在“Group Setup”中,選擇相應的組并按照下圖對組設置進行編輯。
4) 將管理帳號與組進行關聯。
至此,完成ACS上的TACACS+配置。
推薦閱讀
雷士照明日前發布公告稱,考慮到調查小組的發現,認為重新委任吳長江為董事長及董事并不妥當。公司已設立臨時管理委員會加強對日常運營的管理。委員會由三位副總裁穆宇、王明華及談鷹組成,相信亦有助履行因李瑞及李>>>詳細閱讀
本文標題:A10負載均衡交換機AX認證方式詳解
地址:http://www.brh9h.cn/a/22/20120817/81128.html
網友點評
精彩導讀
科技快報
品牌展示