cisco如何查看aaa用戶

　　有網(wǎng)友問小編cisco 路由器如何查看aaa用戶?學(xué)習(xí)啦小編去網(wǎng)上搜索了相關(guān)資料，給大家奉上，希望大家喜歡。

　　CISCO路由器AAA介紹及相關(guān)路由配置

　　CISCO AAA www.2cto.com

　　3A概念：認(rèn)證authentication 授權(quán)authorization 記帳 accounting

　　cisco為路由器和交換機(jī)提供多種3A服務(wù)的方法：

　　1 自包含AAA 路由器/NAS自身包含AAA服務(wù) NAS(網(wǎng)絡(luò)訪問服務(wù)器)

　　2 CISCO SECURE ACS 路由器/NAS上的AAA服務(wù)與外部CISCO SECURE ACS系統(tǒng)聯(lián)系

　　3 CISCO SECURE ACS SOLUTION ENGINE 路由器/NAS上的AAA服務(wù)與外部CISCO SECURE ACS SOLUTION

　　ENGINE系統(tǒng)聯(lián)系

　　4 第三方ACS 路由器/NAS上的AAA服務(wù)與外部CISCO認(rèn)可的第三方ACS系統(tǒng)聯(lián)系 radius tacacs+

　　cisco secure acs系列是供安全訪問網(wǎng)絡(luò)的一種全面而靈活的平臺。他主要負(fù)責(zé)以下一個方面的安全

　　通過CISCO NAS和路由器撥號

　　管理員進(jìn)行路由器和交換機(jī)的控制臺及VTY端口訪問

　　CISCO PIX防火墻訪問 www.2cto.com

　　3000系列集線器(僅用于RADIUS)

　　使用CISCO LEAP 和 PEAP的無線局域網(wǎng)支持

　　交換機(jī)的無線802.1X認(rèn)證

　　邊界路由器AAA配置過程

　　1 在vty,異步，aux和tty端口對特權(quán)EXEC和配置模式進(jìn)行安全訪問

　　config t

　　enable password ***

　　service password-encryption

　　enable secret ******

　　2 在邊界路由器上，用aaa new-model命令啟用AAA。

　　config t

　　aaa new-model

　　username *** password ***

　　aaa authentication login default local

　　注意點(diǎn)，在配置aaa new-model命令的時候，一定要提供一種本地登入方式，防止由于管理性會話失效而引發(fā)

　　路由器鎖定。

　　3 配置AAA認(rèn)證列表

　　aaa authentication login 定義用戶視圖登入到路由器時需要使用哪個認(rèn)證步驟。

　　aaa authentication ppp 對于使用PPP的串行接口上的用戶會話，定義了要使用的認(rèn)證步驟。

　　aaa authentication enable default 定義了有人試圖通過enable命令進(jìn)去特權(quán)EXEC模式時，應(yīng)該采用的

　　認(rèn)證步驟

　　在訪問服務(wù)器上全局啟用了AAA之后，還需要定義認(rèn)證方法列表，并將其應(yīng)用到鏈路和接口。這些認(rèn)證方法

　　列表指出了服務(wù)(PPP,ARAP,NASI,LOGIN) 和認(rèn)證方法(本地，TACACS+，RADIUS,login 或enable)，這里

　　建議將本地認(rèn)證作為最后一種方法。

　　定義認(rèn)證方法列表

　　1規(guī)定服務(wù)(PPP,ARAP,NASI)或登錄認(rèn)證

　　2標(biāo)識一個列表名稱或采用缺省

　　3規(guī)定認(rèn)證方法，并規(guī)定其中一種不可用時，路由器如何反應(yīng)

　　4將其應(yīng)用到一下鏈路或接口之一

　　鏈路--tty,vty,console,aux和async鏈路，或者供登入的控制臺端口已經(jīng)供ARA的異步鏈路 www.2cto.com

　　接口--同步，異步以及為PPP.SLIP.NASI或ARAP而配置的虛擬接口

　　5在全局配置模式下使用aaa authentication命令，以啟用AAA認(rèn)證過程。

　　1 aaa authentication login命令

　　config t

　　aaa authentication login default enable

　　aaa authentication login console-in local

　　aaa authentication login tty-in line

　　console-in和 tty-in是管理員創(chuàng)建的簡單的方法列表名稱。

　　aaa authentication login {default | list-name} method1 [method2~~~]

　　default 用戶登入時，使用此變量后面列出的認(rèn)證方法，作為缺省的方法列表

　　list-name 當(dāng)用戶登錄時，用來命名認(rèn)證方法列表的字符串

　　method:

　　(enable) 使用enable口令來認(rèn)證

　　(krb5) 用kerberos 5來認(rèn)證

　　(krb5-telnet) 當(dāng)借助telnet連接路由器時，使用kerberos 5 telnet認(rèn)證協(xié)議

　　(line) 用鏈路口令來認(rèn)證

　　(local) 用本地用戶名數(shù)據(jù)庫來認(rèn)證

　　(none) 不用認(rèn)證

　　(group- radius) 使用包含所有RADIUS服務(wù)器的一個列表來認(rèn)證

　　(group tacacs+) 使用包含所有TACACS+服務(wù)器的一個列表來認(rèn)證

　　(group group-name) 用RADIUS或TACACS+服務(wù)器的一個子集來認(rèn)證 這些服務(wù)器定義在aaa group

　　server radius或aaa group server tacacs+命令中

　　2 aaa authentication ppp命令

　　aaa authentication ppp (default |list-name) method1 [method2~~~]

　　default 用戶登入時，使用此變量后面列出的認(rèn)證方法，作為缺省的方法列表

　　list-name 當(dāng)用戶登錄時，用來命名認(rèn)證方法列表的字符串

　　method:

　　(if-needed 如果用戶在TTY鏈路上認(rèn)證了，就不需要再認(rèn)證

　　(krb5 用kerberos 5來認(rèn)證

　　(local 用本地用戶名數(shù)據(jù)庫來認(rèn)證

　　(local-case

　　(none 不用認(rèn)證

　　(group group-name 用RADIUS或TACACS+服務(wù)器的一個子集來認(rèn)證 這些服務(wù)器定義在aaa group

　　server radius或aaa group server tacacs+命令中

　　3 aaa authentication enable default命令

　　aaa authentication enable default method1 [method2~~~]

　　method:

　　enable 使用enable口令來認(rèn)證

　　line 用鏈路口令來認(rèn)證

　　none 不用認(rèn)證

　　group radius 使用包含所有RADIUS服務(wù)器的一個列表來認(rèn)證

　　group tacacs+ 使用包含所有TACACS+服務(wù)器的一個列表來認(rèn)證

　　group group-name 用RADIUS或TACACS+服務(wù)器的一個子集來認(rèn)證 這些服務(wù)器定義在aaa group

　　server radius或aaa group server tacacs+命令中

　　4 對鏈路和接口應(yīng)用認(rèn)證命令

　　config t

　　aaa new-model 啟用AAA

　　aaa authentication login default enable 將enable口令作為缺省的登入方式

　　aaa authentication login console-in group tacacs+ local 無論何時使用名為console-in的列

　　表，都使用TACACS+認(rèn)證，如果TACACS+認(rèn)證失敗，己用本地用戶名和口令

　　aaa authentication login dial-in group tacacs+ 無論何時使用名為dial-in的列表，都

　　使用TACACS+認(rèn)證.

　　username *** password **** 建立一個本地用戶名和口令，最可能與console-in登錄方法列

　　表一起使用

　　line console 0 進(jìn)入鏈路控制臺配置模式

　　login authentication console-in 使用console-in列表作為控制臺端口0的登錄認(rèn)證

　　line s3/0

　　ppp authentication chap dial-in 使用dial-in列表作接口S3/0 的PPP CHAP的登錄認(rèn)證

　　4 配置供用戶通過認(rèn)證之后的AAA授權(quán)

　　aaa authorization 命令

　　aaa authorization {network|exec|commands level|reverse-access|configuration} {default

　　|list-name} method1 [method2~~~]

　　network 為所有網(wǎng)絡(luò)相關(guān)的服務(wù)請求進(jìn)行授權(quán)，包括SLIP,PPP,PPP NCP和ARA

　　exec 使用授權(quán)，以確定是否用戶可以運(yùn)行一個EXEC shell.

　　commands 為所有處于規(guī)定的特權(quán)級別的命令使用授權(quán)

　　level 規(guī)定應(yīng)該被授權(quán)的命令級別，有效值 0-15

　　reverse-access 為反向訪問連接使用授權(quán)，例如反向Telnet

　　configuration 從AAA服務(wù)器上下載配置

　　default 使用此變量后列出的認(rèn)證方法，作為缺省方法列表供認(rèn)證

　　listname 用來命令認(rèn)證方法列表的字符串

　　method 規(guī)定以下關(guān)鍵字的至少一種

　　group 用radius或tacacs+服務(wù)器的一個子集來認(rèn)證，這些服務(wù)器定義在aaa group server radius

　　或aaa group server tacacs+命令中

　　if-authenticated 如果用戶為認(rèn)證，允許用戶訪問請求的功能;

　　krb5-instance 使用被kerberos instance map命令定義的實(shí)例;

　　local 用本地用戶名數(shù)據(jù)庫來授權(quán)

　　none 不用授權(quán)

　　例子：

　　enable secret level 1 *** 為級別1的用戶建立一個enable secret口令

　　enable secret level 15 *** 為級別15的用戶建立一個enable secret口令

　　aaa new-model 啟用AAA

　　aaa authentication login default enable 將enable口令作為缺省的登入方式

　　aaa authentication login console-in group tacacs+ local 無論何時使用名為console-in的列

　　表，都使用TACACS+認(rèn)證，如果TACACS+認(rèn)證失敗，己用本地用戶名和口令

　　aaa authentication login dial-in group tacacs+ 無論何時使用名為dial-in的列表，都使用

　　TACACS+認(rèn)證.

　　username *** password **** 建立一個本地用戶名和口令，最可能與console-in登錄方法列

　　表一起使用

　　aaa authorization commands 1 alpha local 用本地用戶名數(shù)據(jù)庫來為所有級別1命令的使用進(jìn)行

　　授權(quán) www.2cto.com

　　aaa authorization commands 15 bravo if-authenticated group tacplus local 如果用戶已經(jīng)認(rèn)

　　證了，讓其運(yùn)行級別15的命令，如果還未認(rèn)證，在允許其訪問級別15的命令之前，必須基于tacplus組中的

　　TACACS+服務(wù)器來認(rèn)證

　　aaa authorization network charlie local none 使用本地數(shù)據(jù)庫來對所有網(wǎng)絡(luò)服務(wù)的使用授權(quán)，

　　如果本地服務(wù)器不可用，此命令執(zhí)行并不授權(quán)，用戶能使用所有的網(wǎng)絡(luò)服務(wù)

　　aaa authorization exec delta if-authenticated group tacplus 如果用戶已經(jīng)認(rèn)證，讓其運(yùn)行

　　EXEC過程，如果沒有認(rèn)證，在允許EXEC之前，必須基于tacplus組中的TACACS+服務(wù)器來認(rèn)證

　　privilege exec level 1 ping 為級別1的用戶啟用PING

　　line console 0

　　login authentication console-in 使用console-in列表作為控制臺端口0的登錄認(rèn)證

　　line s3/0

　　ppp authentication chap dial-in 使用dial-in列表作接口S3/0 的PPP CHAP的登錄認(rèn)證

　　5 配置規(guī)定如何寫記帳記錄的AAA記帳

　　aaa accounting [auth-proxy |system |network |exec |connection |commands level]{default

　　|list-name} [vrf vrf-name] [start-stop|stop-only|none][broadcast][method][method2]

　　auth-proxy 提供有關(guān)所有認(rèn)證代理用戶事件的信息

　　system 為所有非用戶相關(guān)的系統(tǒng)級事件執(zhí)行記帳

　　network 為所有網(wǎng)絡(luò)相關(guān)的服務(wù)請求運(yùn)行記帳

　　exec 為EXEC shell會話運(yùn)行記帳。

　　connection 提供所有有關(guān)源子NAS的外出連接的信息

　　commands 為所有處于特定特權(quán)級別的命令運(yùn)行記帳，有效的特權(quán)級別取值0-15

　　default 使用本參數(shù)之后列出的記帳方式

　　list-name 用來命令記帳方式列表的字符串

　　vrf vrf-name 規(guī)定一個VRF配置

　　start-stop 在一個過程的開端，發(fā)送一個開始記帳通知，在過程結(jié)束時，發(fā)送一個停止記帳通知

　　。

　　stop-only 在被請求用戶工程結(jié)束時發(fā)送一個停止記帳通知

　　none 禁止此鏈路或接口上的記帳服務(wù)

　　broadcast 啟用發(fā)送記帳記錄到多個3A服務(wù)器，同時向每個組中第一臺服務(wù)器發(fā)送記帳記

　　錄 www.2cto.com

　　method 規(guī)定一下關(guān)鍵子中的至少一個

　　group radius 用所有RADIUS服務(wù)器列表作為記帳

　　group tacacs+ 用所有列出的TACACS+服務(wù)器來記帳

　　group group-name 用RADIUS或TACACS+服務(wù)器的一個子集作為記帳

　　在路由器上啟用下列命令以啟用幾張

　　aaa accounting system wait-start local 用記帳方法審計系統(tǒng)事件

　　aaa accounting network stop-only local 當(dāng)網(wǎng)絡(luò)服務(wù)中斷，發(fā)送停止記錄通知

　　aaa accounting exec start-stop local 當(dāng)EXEC過程開始時，發(fā)送一個開始記錄通知，結(jié)束時，發(fā)

　　送停止記錄

　　aaa accounting commands 15 wait-start local 在任何級別15的命令開始之前，發(fā)送一個開始記錄通

　　知，并等待確認(rèn)，當(dāng)命令中止時，發(fā)送一個停止記錄通知。

　　6 校驗(yàn)配置

　　debug aaa authentication 顯示有關(guān)認(rèn)證功能的調(diào)試信息

　　debug aaa authorization 顯示有關(guān)授權(quán)功能的調(diào)試信息

　　debug aaa accounting 顯示有關(guān)記帳功能的調(diào)試信息

　　以上內(nèi)容來源互聯(lián)網(wǎng)，希望對大家有所幫助。