博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 2101|回复: 1

Cisco Secure ACS + IOS + AAA认证实例(认证+授权+记录用户的登陆时间以及输入的命令

[复制链接]
发表于 2008-6-15 05:08:05 | 显示全部楼层 |阅读模式
Cisco Secure ACS + IOS + AAA认证实例(认证+授权+记录用户的登陆时间以及输入的命令
网上关于ACS和AAA认证的文章并不多,我把我做项目的一些经验写出来吧

最终实现的功能:
所有设备的认证、授权和记帐都由ACS统一管理。

认证部分:所有用户都在ACS上设置并统一管理,无需每台设备都设置一次用户名密码。如果需要更安全的口令,可以使用RSA SecurID动态密码产品,每分钟变化一次密码,SecurID可以与ACS完美集成,有兴趣的可以自己去找相关资料。

授权部分:用户经过认证后,由ACS直接授权用户级别,用户获得15级别的特权,无需再使用enable命令进入特权模式,同时,考虑到可能会由于网络或认证服务器故障,导致设备与认证服务器之间无法通讯导致无法认证,因此,设备的Console口仍然使用本地密码,确保网络故障时,仍可通过Console口进入设备进行配置。

记帐部分:ACS上会记录下所有用户的登录和退出的时间,逗留的时长,从哪个IP地址登录,所登录的设备等信息,同时,会记录下用户所有在设备上输入的命令和输入命令的时间。

至于要求不同用户可以管理不同的设备,可以参考ACS的NAR设置,这些不在本文讨论范围之内,大家可以自己看看ACS的User Guide

以上配置在Win2003企业版,ACS 4.0和3640,IOS版本12.0(7)T(够老的吧)上测试通过。

路由器配置:
3640#sh run
Building configuration...

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname 3640
!
aaa new-model #启用AAA认证
aaa authentication login aaa_authentication group tacacs+ #定义使用tacacs+协议的,名为aaa_authentication的login认证
aaa authorization exec aaa_authorization group tacacs+ #定义使用tacacs+协议的,名为aaa_authorization的exec授权
aaa accounting exec aaa_accounting start-stop group tacacs+ #定义使用tacacs+协议的,名为aaa_accouting的记帐,记录下exec的开始和结束
aaa accounting commands 0 aaa_accounting start-stop group tacacs+ #定义使用tacacs+协议的,名为aaa_accouting的记帐,记录下特权级别为0的命令的输入
aaa accounting commands 1 aaa_accounting start-stop group tacacs+ #定义使用tacacs+协议的,名为aaa_accouting的记帐,记录下特权级别为1命令的输入
aaa accounting commands 15 aaa_accounting start-stop group tacacs+ #定义使用tacacs+协议的,名为aaa_accouting的记帐,记录下特权级别为15令的输入
enable secret 5 $1$svEj$oMMHlYpnubrL2lFePZqUR0 #enable密码,用于Console口登录认证
!
!
!
!
!
ip subnet-zero
no ip domain-lookup
!
cns event-service server
!
!
!
!
!
interface FastEthernet0/0
ip address 192.168.4.25 255.255.255.0
no ip directed-broadcast
duplex auto
speed auto
!
interface ATM1/0
no ip address
no ip directed-broadcast
shutdown
no atm ilmi-keepalive
!
ip classless
no ip http server
!
!
tacacs-server host 192.168.4.22 key test #定义tacacs+服务器,IP地址为192.168.4.22,key为test
!
line con 0
transport input none
line aux 0
line vty 0 4 #进入虚拟终端线路
authorization exec aaa_authorization #使用aaa_authorization这条授权方式对登录用户进行授权
accounting commands 0 aaa_accounting #使用aaa_accounting这条记帐方式对登录用户输入的所有特权级别为0的命令进行记录
accounting commands 1 aaa_accounting #使用aaa_accounting这条记帐方式对登录用户输入的所有特权级别为1的命令进行记录
accounting commands 15 aaa_accounting #使用aaa_accounting这条记帐方式对登录用户输入的所有特权级别为15的命令进行记录
accounting exec aaa_accounting #使用aaa_accounting这条记帐方式对登录用户exec进行记帐,记录下用户登录和退出的时间
login authentication aaa_authentication #使用aaa_authentication这条认证方式对用户的登录进行认证
!
end


ACS的配置,只需在相应用户组的Tacacs+属性中,选择Shell,并为用户授予15级别特权即可
1.jpg
2.jpg
3.jpg
4.jpg
发表于 2008-6-27 01:19:58 | 显示全部楼层
ding,不错的文章,正好在讲这个
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-24 06:24 , Processed in 0.094151 second(s), 20 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表