目录
第四步:对R1设备telnet我R2的时候提供AAA ?用户级别授权
一、AAA认证简介:
AAA是认证(Authentication)、授权(Authorization)和计费(Accounting)的简称,是网络安全中进行访问控制的一种安全管理机制,提供认证、授权和计费三种安全服务,数据中心被大量应用
AAA提供的安全服务具体是指:
-
认证(Authentication):是对用户的身份进行验证,判断其是否为合法用户。
-
授权(Authorization):是对通过认证的用户,授权其可以使用哪些服务。
-
计费(Accounting):是记录用户使用网络服务的资源情况,这些信息将作为计费的依据。
首先,认证部分提供了对用户的认证。整个认证通常是采用用户输入用户名与密码来进行权限审核。认证的原理是每个用户都有一个唯一的权限获得标准。由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合,那么对用户认证通过。如果不符合,则拒绝提供网络连接。
其次,用户要通过授权来获得操作相应任务的权限。比如,登录系统后,用户可能会执行一些命令来进行操作。这时,授权过程会检测用户是否拥有执行这些命令的权限。简单而言,授权过程是一系列强迫策略的组合,包括:确定活动的种类或质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中,一旦用户通过了认证,他们也就被授予了相应的权限。
最后,计费这一过程将会计算用户在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流量等等。可以根据连接过程的统计日志、用户信息、授权控制、账单、趋势分析、资源利用以及容量计划活动来执行计费过程
?
?AAA认证流程:
实验及配置命令:?
第一步:开启AAA认证
r2(config)#aaa new-model
第二步:配置线下保护(console接口不参与AAA认证)
r2(config)#aaa authentication login no-rz line none //对登录的流量做一个名称为no-rz的策略:如果原来这个console接口配置了一个password认证,还是采用原来的password认证,如果没有配置的话,我后面就对这个console接口不认证了
r2(config)#line console 0
r2(config-line)#password 123456
r2(config-line)#login authentication no-rz //调用策略no-rz
r2(config-line)#exit
第三步:对R1设备telnet我R2的时候提供AAA认证
r2(config)#user aaa password bbb // 创建本地用户名和密码数据库
r2(config)# tacacs-server host 192.168.100.100 key kkk / /AAA认证服务器配置
r2(config)# radius-server host 192.168.100.100 key kkk? //AAA认证服务器配置
声明TACACS服务器或者radius服务器在哪,与这个AAA认证服务器传输数据的时候加密的密钥是KKK
r2(config)#aaa authentication login telnet-rz group tacacs+? local
//先采用本地数据库对login(登录)行为进行认证,如果本地数据库没有配置则采用身后的AAA认证服务器里面的用户名和密码对客户进行认证
(r2(config)#aaa authentication login telnet-rz local group tacacs+)?
(//认证的时候先进行AAA server 认证,如果AAA server认证失败或者AAA server不存在的话,进行本地认证。)
r2(config)#line vty 0 8 ?//在VTY线程里调用认证策略
r2(config-line)#login authentication telnet-rz
r2(config-line)#exit
第四步:对R1设备telnet我R2的时候提供AAA ?用户级别授权
r2(config)#username aaa privilege 5 ?//在本地定义这个用户级别为5
r2(config)#aaa authorization exec telnet-author local group tacacs+?
//先采用身后的AAA服务器为客户进行授权,如果我和服务器失去联系,再采用本地授权,
r2(config)#line vty 0 8 ?//在telnet里面调用授权策略
r2(config-line)#authorization exec telnet-author
r2(config-line)#exit
第五步:AAA本地命令授权
r2(config)#privilege exec level 5 config t?
config t //是在EXEC特权模式下输入的,把这个命令剪切到5级命令库里面去
r2(config)#privilege configure level 5 int
interface是在configuration 全局模式下输入的,把此命令剪切到5级里面去
r2(config)#privilege interface level 5 ip address
r2(config)#privilege interface level 5 no shut ??
r2(config)#privilege configure all level 5 router
把router后面的所有配置命令都剪切到5级命令库里面;router配置命令在configuration模式下输入的
---------------------------------------------------------------------------------------------------------------------------------
详细:
1、(33条消息) 配置AAA认证和授权_青红造了个大白之成长记-CSDN博客_aaa new-model
?2、(33条消息) 网络设备 密码、用户级别 AAA授权 的管理_centos的博客-CSDN博客
?