Basis AAA op een toegangsserver configureren
Inhoud
Inleiding
Voordat u begint Conventies Voorwaarden
Gebruikte componenten Netwerkdiagram
Algemene AAA-configuratie AAA inschakelen
De externe AAA-server specificeren AAA-serverconfiguratie
Verificatie configureren Login-verificatie
PPP-verificatie
Toestemming configureren Exec-vergunning
Netwerkautorisatie Accounting configureren
Boekhoudkundige voorbeelden configureren Gerelateerde informatie
Inleiding
Dit document legt uit hoe u verificatie, autorisatie en accounting (AAA) kunt configureren op een Cisco-router met Radius of TACACS+ protocollen. Het doel van dit document is niet alle AAA- functies te bestrijken, maar de belangrijkste opdrachten uit te leggen en enkele voorbeelden en richtlijnen te geven.
Opmerking: Lees de sectie over de Algemene AAA-configuratie voordat u doorgaat met de Cisco IOS®-configuratie. Wanneer u dit niet doet, kan dit leiden tot verkeerde configuratie en latere uitsluiting.
Voordat u begint
Conventies
Zie de Cisco Technical Tips Convention voor meer informatie over documentconventies.
Voorwaarden
Om een overzicht van AAA te krijgen, en voor volledige informatie over AAA-opdrachten en - opties, raadpleegt u de IOS 12.2 Security Configuration Guide:Verificatie, autorisatie en accounting.
Gebruikte componenten
De informatie in dit document is gebaseerd op de hoofdlijn van Cisco IOS-softwarerelease 12.1.
De informatie in dit document is gebaseerd op apparaten in een specifieke laboratoriumomgeving.
Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde
(standaard)configuratie. Als u in een levend netwerk werkt, zorg er dan voor dat u de potentiële impact van om het even welke opdracht begrijpt alvorens het te gebruiken.
Netwerkdiagram
Algemene AAA-configuratie
AAA inschakelen
Om AAA in te schakelen, moet u de opdracht nieuw-model configureren in een wereldwijde configuratie.
Opmerking: Totdat deze opdracht is ingeschakeld, zijn alle andere AAA-opdrachten verborgen.
Waarschuwing: de opdracht van het nieuwe model is onmiddellijk van toepassing op lokale
authenticatie op alle lijnen en interfaces (behalve console lijn lijn con 0). Als een telnet-sessie voor de router wordt geopend nadat u deze opdracht hebt ingeschakeld (of als een verbindingstijd uit is en opnieuw moet worden aangesloten), dan moet de gebruiker geauthentiseerd zijn met behulp van de lokale database van de router. Om te voorkomen dat u uit de router bent afgesloten, raden we u aan een gebruikersnaam en wachtwoord op de toegangsserver te definiëren voordat u de AAA-configuratie start. Voer de volgende handelingen uit:
Router(config)# username xxx password yyy
Tip: Sla de configuratie op voordat u de AAA-opdrachten configureren. Alleen nadat u al uw AAA- configuratie hebt voltooid (en ervan overtuigd bent dat deze correct werkt) moet u de configuratie opnieuw opslaan. Dit staat u toe om van onvoorziene uitsluitingen (vóór het sparen van de
configuratie) te herstellen door de router opnieuw te laden.
De externe AAA-server specificeren
In mondiale configuratie, definieer het beveiligingsprotocol dat wordt gebruikt met AAA (straal, TACACS+). Als u geen van deze twee protocollen wilt gebruiken, kunt u de lokale database op de router gebruiken.
Als u TACACS+ gebruikt, gebruikt u de <key>opdracht de tacacs-server host<IP-adres van de AAA-server.
Als u Radius gebruikt, gebruikt u de opdracht Straal server-host <IP-adres van de AAA-server>
<key>.
AAA-serverconfiguratie
Configureer de volgende parameters op de AAA-server:
De naam van de toegangsserver.
●
Het IP-adres dat de toegangsserver gebruikt om met de AAA-server te
communiceren.Opmerking: Als beide apparaten op hetzelfde Ethernet-netwerk staan, gebruikt de toegangsserver standaard het IP-adres dat op de Ethernet-interface is gedefinieerd tijdens het verzenden van het AAA-pakket. Dit is belangrijk wanneer de router meerdere interfaces (en dus meerdere adressen) heeft.
●
Dezelfde toets <>ingesteld op de toegangsserver.Opmerking: de toets is hoofdlettergevoelig.
●
Het protocol dat door de toegangsserver (TACACS+ of Straal) wordt gebruikt.
●
Raadpleeg uw AAA-serverdocumentatie voor de exacte procedure die wordt gebruikt om de bovenstaande parameters te configureren. Als de AAA-server niet correct is geconfigureerd zullen AAA-verzoeken van NAS worden genegeerd door de AAA-server en kan de verbinding mislukken.
De AAA-server moet IP bereikbaar zijn vanaf de toegangsserver (voer een ping-test uit om de connectiviteit te controleren).
Verificatie configureren
Verificatie verifieert gebruikers voordat zij toegang krijgen tot het netwerk en de netwerkdiensten (die met toestemming worden geverifieerd).
U configureren AAA-verificatie:
definieert eerst een genoemde lijst van authenticatiemethoden (in mondiale configuratiemodus).
1.
Pas die lijst op een of meer interfaces toe (in de modus van de interfaceconfiguratie).
2.
De enige uitzondering is de standaard methodelijst (die "standaard" wordt genoemd). De
standaard methodelijst wordt automatisch toegepast op alle interfaces, behalve die waarvoor een benoemde methodelijst expliciet is gedefinieerd. Een gedefinieerde methodelijst heeft voorrang op de standaard methodelijst.
De authenticatievoorbeelden hieronder gebruiken Radius, inloggen en Point-to-Point Protocol (PPP)-verificatie (het meest gebruikte) om concepten zoals methoden en benoemde lijsten te verklaren. In alle voorbeelden kan TACACS+ worden vervangen door Radius of lokale
authenticatie.
De Cisco IOS-software gebruikt de eerste methode die wordt opgesomd om gebruikers voor
authentiek te verklaren. Als die methode niet reageert (aangegeven door een FOUT), selecteert de Cisco IOS-software de volgende verificatiemethode in de methodelijst. Dit proces duurt voort totdat er met succes wordt gecommuniceerd met een geregistreerde authenticatiemethode, of alle in de methodelijst gedefinieerde methoden zijn uitgeput.
Het is belangrijk om op te merken dat de Cisco IOS software slechts authenticatie probeert met de volgende genoemde authenticatiemethode wanneer er geen respons is van de vorige methode.
Als de authenticatie op enig punt in deze cyclus mislukt, wat betekent dat de AAA server of lokale gebruikersnaam database reageert door de gebruiker toegang te ontzeggen (aangegeven door een FAIL), stopt de authenticatieprocedure en worden geen andere authenticatiemethoden gepoogd.
Om een gebruikersverificatie toe te staan, moet u de gebruikersnaam en het wachtwoord op de AAA-server configureren.
Login-verificatie
U kunt de opdracht voor de echtheidscontrole gebruiken om gebruikers te authentiseren die toegang tot de toegangsserver (tty, vty, console en aux) willen.
Voorbeeld 1: Exec Access us met Radius en lokaal
Router(config)# aaa authentication login default group radius local
In de bovenstaande opdracht:
de genoemde lijst is standaard één (standaard).
●
er zijn twee echtheidsmethoden ( groepsstraal en lokaal ) .
●
Alle gebruikers zijn geauthentiseerd met de server Radius (de eerste methode). Als de server Radius niet reageert wordt de lokale database van de router gebruikt (de tweede methode). Voor lokale authenticatie, definieer de gebruikersnaam en het wachtwoord:
Router(config)# username xxx password yyy
Omdat we de standaardinstelling van de lijst in de opdracht voor de authenticatie gebruiken, wordt inlogverificatie automatisch toegepast op alle inlogverbindingen (zoals tty, vty, console en aux).
Opmerking: De server (Radius of TACACS+) zal geen antwoord geven op een verzoek om verificatie die door de toegangsserver wordt verstuurd als er geen IP-connectiviteit is, als de toegangsserver niet juist op de AAA-server is gedefinieerd of als de AAA-server niet juist op de toegangsserver is gedefinieerd.
Opmerking: Als we het voorbeeld hierboven gebruiken, als we het trefwoord niet opnemen, hebben we:
Router(config)# aaa authentication login default group radius
Opmerking: Als de AAA-server niet antwoordt op de authenticatieaanvraag, zal de authenticatie
falen (omdat de router geen alternatieve methode heeft om te proberen).
Opmerking: het groepstrefwoord biedt een manier om bestaande serverhosts te groeperen. Met deze functie kan de gebruiker een subset van de geconfigureerde serverhosts selecteren en voor een bepaalde service gebruiken. Raadpleeg voor meer informatie over deze geavanceerde functie de AAA-servergroep van het document.
Voorbeeld 2: Console toegang met lijnwachtwoord
Laten we de configuratie uit Voorbeeld 1 uitbreiden zodat de inlognaam van de console alleen echt wordt gemaakt door het wachtwoord dat op lijn con 0 is ingesteld.
De lijst CONSOLE wordt gedefinieerd en dan toegepast op regel con 0.
Wij vormen:
Router(config)# aaa authentication login CONSOLE line
In de bovenstaande opdracht:
de genoemde lijst is CONSOLE.
●
er is slechts één authenticatiemethode ( regel ) .
●
Zodra een genoemde lijst (in dit voorbeeld CONSOLE) wordt gecreëerd, moet deze op een lijn of interface worden toegepast om van kracht te worden. Dit gebeurt met de opdracht aanmelding- verificatie list_name:
Router(config)# line con 0
Router(config-line)# exec-timeout 0 0 Router(config-line)# password cisco
Router(config-line)# login authentication CONSOLE
De lijst CONSOLE heeft betrekking op de standaard methodelijst op regel con 0. U moet het wachtwoord "cisco" (ingesteld op line pictogram 0) invoeren om toegang tot de console te krijgen.
De standaard lijst wordt nog steeds gebruikt op tty, vty en aux.
Opmerking: Om toegang tot console te hebben die voor echt is bevonden door een lokale gebruikersnaam en wachtwoord, gebruikt u:
Router(config)# aaa authentication login CONSOLE local
Opmerking: In dit geval, moeten een gebruikersnaam en wachtwoord in de lokale database van de router worden ingesteld. De lijst moet ook op de regel of de interface worden toegepast.
Opmerking: Gebruik geen authenticatie
Router(config)# aaa authentication login CONSOLE none
Opmerking: In dit geval is er geen authenticatie om toegang tot de console te krijgen. De lijst moet ook op de regel of de interface worden toegepast.
Voorbeeld 3: Modus toegang inschakelen met externe AAA-server
U kunt verificatie uitgeven om modus (privilege 15) in te schakelen.
Wij vormen :
Router(config)# aaa authentication enable default group radius enable
Alleen het wachtwoord wordt gevraagd, de gebruikersnaam is $enab15$. Daarom moet de gebruikersnaam voor $enab15$ op de AAA-server worden gedefinieerd.
Als de Radius-server niet antwoordt, moet het wachtwoord dat lokaal op de router is ingesteld, worden ingevoerd.
PPP-verificatie
De opdracht AAA-verificatie ppp wordt gebruikt om een PPP-verbinding voor authentiek te maken.
Meestal wordt dit gebruikt om ISDN of analoge externe gebruikers die toegang willen hebben tot het internet of een centraal kantoor, voor een authentiek te verklaren op een toegangsserver.
Voorbeeld 1: Eén PPP-verificatiemethode voor alle gebruikers
De toegangsserver heeft een ISDN-interface die is geconfigureerd om PPP-dialoogklanten te accepteren. We gebruiken een dialer roterend-groep 0 maar de configuratie kan worden gedaan op de hoofdinterface of dialer profielinterface.
We vormen
Router(config)# aaa authentication ppp default group radius local
Deze opdracht authenticeert alle PPP-gebruikers die Radius gebruiken. Als de Radius-server geen antwoord geeft, wordt de lokale database gebruikt.
Voorbeeld 2: PPP-verificatie met een specifieke lijst
U kunt een lijst met namen gebruiken in plaats van de standaardlijst. U kunt de volgende opdrachten configureren:
Router(config)# aaa authentication ppp ISDN_USER group radius
Router(config)# int dialer 0
Router(config-if)# pp authentication chap ISDN_USER
In dit voorbeeld is de lijst ISDN_USER en de methode is Straal.
Voorbeeld 3: PPP die vanuit een sessie in tekenmodus wordt gestart
De toegangsserver heeft een interne modemkaart (MICA, Microcom of Next Port). Laten we ervan uitgaan dat zowel als de authenticatie inlognaam en de opdrachten van een verificatiep zijn
ingesteld.
Als een modemgebruiker eerst de router betreedt met behulp van een tekenmodus (bijvoorbeeld een Terminalvenster na bellen gebruiken), wordt de gebruiker op een tekstregel echt gemaakt. Als u een pakketmodemsessie wilt starten, moeten gebruikers de standaard ppp of ppp typen.
Aangezien PPP-verificatie expliciet wordt geconfigureerd (met een verificatieppp), wordt de gebruiker opnieuw op het PPP-niveau geauthenticeerd.
Om deze tweede authenticatie te vermijden, kunnen we het indien-nodig sleutelwoord gebruiken.
Router(config)# aaa authentication login default group radius local
Router(config)# aaa authentication ppp default group radius local if-needed
Opmerking: Als de client direct een PPP-sessie start, wordt PPP-verificatie direct uitgevoerd omdat er geen inlogtoegang tot de toegangsserver is.
Raadpleeg voor meer informatie over AAA-verificatie de documenten IOS 12.2 Security
Configuration Guide: Het configureren van verificatie en casestudy voor Cisco AAA-implementatie.
Toestemming configureren
Een autorisatie is het proces waarmee u kunt controleren wat een gebruiker kan en kan doen.
AAA-autorisatie heeft dezelfde regels als authenticatie:
Om te beginnen moet een lijst van vergunningmethoden worden opgesteld.
1.
Pas die lijst vervolgens op een of meer interfaces toe (behalve de standaard methodelijst).
2.
De eerste in de lijst opgenomen methode wordt gebruikt. Als het niet reageert wordt de tweede gebruikt, enzovoort.
3.
De methodelijsten zijn specifiek voor het soort vergunning dat wordt gevraagd. Dit document is gericht op de typen EXec- en netwerkautorisaties.
Raadpleeg de Cisco IOS Security Configuration Guide, release 12.2 voor meer informatie over de andere soorten autorisatie.
Exec-vergunning
De opdracht AAA autorisatie bepaalt of de gebruiker een EXEC schaal mag gebruiken. Deze voorziening kan informatie over gebruikersprofielen teruggeven, zoals informatie over
automatische commando, tijdelijke pauze, sessietijd, toegangslijst en voorrechten en andere factoren per gebruiker.
Exec-vergunning wordt alleen verleend voor veertig en veertig lijnen.
In het volgende voorbeeld wordt Radius gebruikt.
Voorbeeld 1: Dezelfde Exec-verificatiemethoden voor alle gebruikers Zodra geauthentiseerd met:
Router(config)# aaa authentication login default group radius local
Alle gebruikers die willen inloggen op de toegangsserver moeten geautoriseerd worden met behulp van Radius (eerste methode) of een lokale database (tweede methode).
Wij vormen:
Router(config)# aaa authorization exec default group radius local
Opmerking: Service-Type=1 (aanmelding) op de AAA-server moet worden geselecteerd.
Opmerking: Als dit voorbeeld, als het lokale sleutelwoord niet inbegrepen is en de AAA server niet antwoordt, zal de autorisatie nooit mogelijk zijn en de verbinding zal falen.
Opmerking: In voorbeelden 2 en 3 hieronder hoeven we geen opdracht op de router toe te voegen, maar alleen het profiel op de toegangsserver te configureren.
Voorbeeld 2: Toepassingsniveaus van de Exec-universiteit toewijzen op de AAA-server Gebaseerd op Voorbeeld 1, als een gebruiker die in de toegangsserver logt moet worden
toegestaan om toe te geven om wijze direct in te voeren, moet u het volgende Cisco AV-paar op de AAA server configureren:
shell:priv-lvl=15
Dit betekent dat de gebruiker rechtstreeks naar de activeringsmodus gaat.
Opmerking: Als de eerste methode niet reageert, dan wordt de lokale database gebruikt. De gebruiker gaat echter niet rechtstreeks naar de activeringsmodus, maar moet wel het wachtwoord invoeren voor het activeren en inschakelen.
Voorbeeld 3: Inactiviteitstimer toewijzen vanaf de AAA-server
Om een tijdelijke uitvoer te configureren (zodat de sessie wordt losgekoppeld in het geval van geen verkeer na de stille tijdsperiode) gebruikt u de eigenschap IETF-straal 28: Time-out bij inactiviteitstimer onder het profiel van de gebruiker.
Netwerkautorisatie
De opdracht autorisatienetwerk voert een vergunning uit voor alle netwerkgerelateerde serviceaanvragen zoals PPP, SLIP en ARAP. Deze sectie richt zich op PPP, die het meest gebruikt wordt.
De AAA-server controleert of een PPP-sessie door de client is toegestaan. Bovendien kan de klant om een PPP-optie verzoeken: callback, compressie, IP-adres enzovoort. Deze opties moeten in het gebruikersprofiel op de AAA-server worden ingesteld. Bovendien kan het AAA- profiel voor een specifieke client onbeperkt blijven, toegangslijst en andere eigenschappen per gebruiker bevatten die gedownload worden door de Cisco IOS-software en van toepassing zijn op deze client.
In het volgende voorbeeld wordt een vergunning met Radius verleend:
Voorbeeld 1: Dezelfde netwerkautomatiseringsmethodes voor alle gebruikers
De toegangsserver wordt gebruikt om PPP-dialinverbindingen te accepteren.
Ten eerste worden gebruikers geauthentiseerd (zoals eerder ingesteld) door:
Router(config)# aaa authentication ppp default group radius local
vervolgens moeten zij worden toegestaan met gebruikmaking van :
Router(config)# aaa authorization network default group radius local
Opmerking: Configureer op de AAA-server:
Service-type=7 (framed)
●
Framed-protocol = PPP
●
Voorbeeld 2: Gebruikerspecifieke kenmerken toepassen
U kunt de AAA-server gebruiken om eigenschappen als IP-adres, callback-nummer,
inactiviteitstimer of toegangslijst enz. toe te wijzen. Bij een dergelijke implementatie downloads de juiste kenmerken van het AAA-servergebruikersprofiel.
Voorbeeld 3: PPP-toestemming met een specifieke lijst
Net als voor verificatie kunnen we een lijstnaam configureren in plaats van de standaardnaam te gebruiken:
Router(config)# aaa authorization network ISDN_USER group radius local
Vervolgens wordt deze lijst toegepast op de interface:
Router(config)# int dialer 0
Router(config-if)# ppp authorization ISDN_USER
Raadpleeg voor meer informatie over AAA-verificatie de documenten IOS 12.2 Security
Configuration Guide: Het configureren van verificatie en casestudy voor Cisco AAA-implementatie.
Accounting configureren
Met de AAA-accounting kunt u de services bijhouden die gebruikers gebruiken en de hoeveelheid netwerkbronnen die ze gebruiken.
AAA-accounting heeft dezelfde regels als authenticatie en autorisatie:
U moet eerst een genaamd lijst van boekhoudmethoden definiëren.
1.
Pas die lijst vervolgens op een of meer interfaces toe (behalve de standaard methodelijst).
2.
De eerste in de lijst opgenomen methode wordt gebruikt, indien deze niet reageert, de tweede wordt gebruikt enzovoort.
3.
De eerste in de lijst opgenomen methode wordt gebruikt, indien deze niet reageert, de tweede wordt gebruikt enzovoort.
Netwerkaccounting bevat informatie voor alle PPP-, Slip- en AppleTalk-sessies van Remote Access Protocol (ARAP): pakkettelling, octetten tellen, sessietijd, begin- en stoptijd.
●
Exec accounting geeft informatie over gebruikersEXEC eindsessies (een telnet-sessie bijvoorbeeld) van de netwerktoegangsserver: sessietijd, begin- en stoptijd.
●
Raadpleeg de Cisco IOS Security Configuration Guide, release 12.2 voor meer informatie over de andere soorten autorisatie.
De onderstaande voorbeelden zijn gericht op de manier waarop informatie naar de AAA-server kan worden verzonden.
Boekhoudkundige voorbeelden configureren
Voorbeeld 1: Boekhoudkundige records genereren en stoppen
Voor elke dialin PPP zitting, wordt de boekhoudingsinformatie naar de AAA server verzonden wanneer de client geauthentiseerd is en na het ontkoppelen met behulp van het sleutelwoord start-stop.
Router(config)# aaa accounting network default start-stop group radius local
Voorbeeld 2: Boekhoudkundige gegevens genereren
Als de boekhoudinformatie slechts na de scheiding van een cliënt moet worden verzonden, gebruik het sleutelwoordstop en stel de volgende lijn in:
Router(config)# aaa accounting network default stop group radius local
Voorbeeld 3: Resourceregisters genereren voor verificatie- en onderhandelingstafels
Tot dit punt biedt AAA accounting ondersteuning voor start- en stop-record voor oproepen die gebruikersverificatie hebben doorlopen.
Als authenticatie of PPP onderhandeling mislukt, is er geen registratie van authenticatie.
De oplossing is om AAA te gebruiken als stop met accounting:
Router(config)# aaa accounting send stop-record authentication failure
Een stoprecord wordt naar de AAA-server verzonden.
Voorbeeld 4: Volledig bron-accounting
Om volledige resource accounting mogelijk te maken, die zowel een begin record bij aanroep als een stop record bij aanroep output genereert, moet u configureren:
Router(config)# aaa accounting resource start-stop
Deze opdracht is geïntroduceerd in Cisco IOS-softwarerelease 12.1(3)T.
Met deze opdracht, leidt een aanroep installatie en aanroep start-stop accounting record de vooruitgang van de resource verbinding met het apparaat. Een afzonderlijk begin-stop
boekhoudingsrecord voor gebruikersverificatie volgt de voortgang van het gebruikersbeheer. Deze twee reeksen boekhoudgegevens zijn met elkaar verbonden door gebruik te maken van een unieke sessie-ID voor de oproep.
Raadpleeg voor meer informatie over AAA-verificatie de documenten IOS 12.2 Security
Configuration Guide: Het configureren van verificatie en casestudy voor Cisco AAA-implementatie.
Gerelateerde informatie
Technische ondersteuning - Cisco-systemen
●