第19章 AAA配置.docx

第19章 AAA配置.docx

《第19章 AAA配置.docx》由会员分享，可在线阅读，更多相关《第19章 AAA配置.docx（28页珍藏版）》请在冰豆网上搜索。

第19章AAA配置

第19章AAA配置

本章主要描述如何在路由器上进行AAA的配置。

AAA是认证、授权和统计（Authentication,AuthorizationandAccounting）的简称。

它是运行于网络访问服务器（NAS）上的客户端程序。

它提供了一个用来对认证、授权和统计这三种安全功能进行配置的一致性框架。

本章主要内容：

¾配置AAA相关命令描述

¾AAA配置示例

¾AAA调试

19.1AAA基本配置命令

命令

描述

配置模式

aaanew-model

*启动AAA

config

aaaauthenticationbanner

*配置AAA认证时显示的标题

config

aaaauthenticationfail-message

*配置AAA认证失败时打印的信息

config

aaaauthenticationusername-prompt

配置AAA认证时用户名提示符

config

aaaauthenticationpassword-prompt

配置AAA认证时密码提示符

config

aaaauthenticationlogin

*配置AAA登陆认证

config

aaaauthenticationenable

*配置进入特权模式认证

config

aaaauthenticationppp

*配置PPP协商认证

config

aaaauthenticationxauth

配置XAUTH协商认证

config

aaaauthorization

*配置AAA授权

config

aaaauthorizationconfig-commands

配置启用AAA命令授权

config

aaaauthorizationcommands

配置AAA命令授权

config

aaaauthorizationconsole

配置AAAconsole口授权

config

aaaaccounting

*配置AAA计费（统计）

config

aaaaccountingcommands

配置AAA命令统计

config

aaaaccountingsuppressnull-username

配置AAA是否统计用户名为空的用户

config

aaaaccountingupdate

配置AAA计费是否发送临时更新报文

config

tacacs-serverhost

*配置TACACS服务器地址

config

tacacs-serverkey

配置TACACS服务的密钥

config

tacacs-servertimeout

配置TACACS通信时的超时时间

config

aaagroupserver

配置服务器组

config

server

配置服务器组成员

config-sg-tacacs

config-sg-radius

server-private

配置服务器组私有成员

config-sg-tacacs

config-sg-radius

ipvrfforwarding

配置服务器组VRF属性

config-sg-tacacs

config-sg-radius

radius-serverhost

*配置RADIUS服务器地址

config

radius-serverdead-time

配置RADIUS服务器在操作失败之后的沉默时间

config

radius-serverkey

*配置RADIUS服务密钥

config

radius-servertimeout

配置RADIUS服务器超时时间

config

radius-serverretransmit

配置RADIUS服务器重传次数

config

ip{tacacs|radius}source-interface

配置TACACS和RADIUS的NAS服务器使用的源地址

config

注：

1.命令描述前带“*”符号的表示该命令有配置实例详细说明。

2.配置模式指可以执行该配置命令的模式，如：

config、config-if-××（接口名）、config-××（协议名称）等。

19.2AAA相关命令描述

⏹aaanew-model

在路由器上启动AAA功能。

本命令的no形式用来关闭AAA。

aaanew-model

noaaanew-model

【缺省情况】不启动AAA。

【命令模式】全局配置模式。

⏹aaaauthenticationbanner

修改当用户登录到路由器上时显示的欢迎信息。

本命令的no形式恢复缺省欢迎信息。

aaaauthenticationbannerbanner

noaaaauthenticationbanner

语法

描述

banner

登录到路由器上时显示的欢迎信息。

欢迎信息头尾用相同的字符作为头尾表示符。

如：

希望输出的欢迎信息显示为“welcome”，则输入的banner为“^welcome^”。

“^”即是首尾标示符。

【缺省情况】缺省欢迎信息为“UserAccessVerification”。

【命令模式】全局配置模式。

⏹aaaauthenticationfail-message

修改当用户登录失败时的提示信息。

本命令的no形式恢复缺省提示信息。

aaaauthenticationfail-messagefail-message

noaaaauthenticationfail-message

语法

描述

fail-message

用户登录失败时的提示信息。

提示信息头尾用相同的字符作为头尾表示符。

如：

希望输出的失败信息显示为“fail”，则输入的banner为“^fail^”。

“^”即是首尾标示符。

【缺省情况】缺省提示信息为“Accessdenied!

”。

【命令模式】全局配置模式。

⏹aaaauthenticationusername-prompt

修改提示用户输入用户名时显示的文本。

本命令的no形式恢复缺省显示文本。

aaaauthenticationusername-promptusername-prompt

noaaaauthenticationusername-prompt

语法

描述

username-prompt

提示用户输入用户名时显示的文本。

【缺省情况】缺省显示文本为“login:

”。

【命令模式】全局配置模式。

⏹aaaauthenticationpassword-prompt

修改提示用户输入口令时显示的文本。

本命令的no形式恢复缺省显示文本。

aaaauthenticationpassword-promptpassword-prompt

noaaaauthenticationpassword-prompt

语法

描述

password-prompt

提示用户输入口令时显示的文本。

【缺省情况】缺省显示文本为“password:

”。

【命令模式】全局配置模式。

⏹aaaauthenticationlogin

配置登录身份认证方法列表。

本命令的no形式删除方法列表。

aaaauthenticationlogin{default|list-name}method1[method2…]

noaaaauthenticationlogin{default|list-name}

语法

描述

default

定义缺省方法列表

list-name

方法列表名

method

认证方法

none：

不进行身份认证，直接通过

enable：

使用有效口令进行身份认证（全局enable口令）

local：

使用本地用户数据库进行身份认证

line：

使用线路口令进行身份认证

radius：

使用RADIUS进行身份认证

tacacs：

使用TACACS进行身份认证

WORD：

使用TACACS或RADIUS服务器组进行认证，WORD为服务器组名称

最多可以配置4种方法

【缺省情况】缺省没有定义认证方法列表。

【命令模式】全局配置模式。

注：

使用时可与loginauthentication命令相配合，使方法列表用于某线路的登录+身份认证。

缺省方法列表自动应用于所有接口及线路（明确定义了所要引用的方法列表的接口或线路除外）。

⏹aaaauthenticationenable

配置进入特权模式身份认证方法列表。

本命令的no形式删除方法列表。

aaaauthenticationenabledefaultmethod1[method2…]

noaaaauthenticationenabledefault

语法

描述

default

定义缺省方法列表

method

认证方法

none：

不进行身份认证，直接通过

enable：

使用有效口令进行身份认证（用户enable口令或全局enable口令）

line：

使用线路口令进行身份认证

radius：

使用RADIUS进行身份认证

tacacs：

使用TACACS进行身份认证

WORD：

使用TACACS或RADIUS服务器组进行认证，WORD为服务器组名称

【缺省情况】缺省没有定义认证方法列表。

【命令模式】全局配置模式。

注：

使用radius认证方法时以“$enab15$”用户（需要在radius服务器上设置用户名$enab15$）的密码作为验证密码。

⏹aaaauthenticationppp

配置PPP身份认证方法列表。

本命令的no形式删除方法列表。

aaaauthenticationppplist-namemethod1[method2…]

noaaaauthenticationppplist-name

语法

描述

list-name

方法列表名

method

认证方法

none：

不进行身份认证，直接通过

local：

使用本地用户数据库进行身份认证

radius：

使用RADIUS进行身份认证

tacacs：

使用TACACS进行身份认证

WORD：

使用TACACS或RADIUS服务器组进行认证，WORD为服务器组名称

【缺省情况】缺省没有定义认证方法列表。

【命令模式】全局配置模式。

使用时需与pppauthentication命令相配合，使方法列表用于某接口的PPP验证。

⏹aaaauthenticationxauth

配置扩展认证（XAUTH）认证方法列表。

本命令的no形式删除方法列表。

aaaauthenticationxauth{default|list-name}method1[method2…]

noaaaauthenticationxauth{default|list-name}

语法

描述

list-name

方法列表名

default

定义缺省方法列表

method

认证方法

none：

不进行身份认证，直接通过

local：

使用本地用户数据库进行身份认证

radius：

使用RADIUS进行身份认证

tacacs：

使用TACACS进行身份认证

WORD：

使用TACACS或RADIUS服务器组进行认证，WORD为服务器组名称

【缺省情况】缺省没有定义认证方法列表。

【命令模式】全局配置模式。

使用时需与IKEID别名配置命令相配合，详细信息请参考IPSecVPN配置章节。

⏹aaaauthorization

限制用户的访问权限。

本命令的no形式不限制访问权限。

aaaauthorization{exec|network}{default|list-name}method1[method2…]

noaaaauthorization{exec|network}{default|list-name}

语法

描述

exec

配置EXEC授权命令方法列表

network

配置关于网络服务的授权方法列表

default

定义缺省方法列表

list-name

方法列表名

method

授权方法

if-authenticated：

如果通过身份认证，则允许用户访问请求的功能

local：

使用本地数据库进行授权

none：

不执行授权操作，直接授予相应权限

radius：

向RADIUS服务器请求授权信息

tacacs：

向TACACS服务器请求授权信息

WORD：

使用TACACS或RADIUS服务器组进行认证，WORD为服务器组名称

【缺省情况】缺省不限制访问权限（等价于关键字none）。

【命令模式】全局配置模式。

注：

当配置了EXEC授权命令方法列表，用户运行EXEC时，NAS会进行授权以决定用户是否有权执行EXEC外壳程序；若授权失败，则用户不能执行EXEC。

⏹aaaauthorizationconfig-commands

限制用户操作Shell命令的权限。

本命令的no形式不限制访问权限。

aaaauthorizationconfig-commands

noaaaauthorizationconfig-commands

⏹aaaauthorizationconsole

限制用户从console口进入系统的权限。

本命令的no形式不限制console口。

aaaauthorizationconsole

noaaaauthorizationconsole

⏹aaaauthorizationcommandscmd-lvl{default|list-name}method1[method2…]

noaaaauthorizationcommandscmd-lvl{default|list-name}

语法

描述

config-commands

配置AAA允许命令授权

cmd-lvl

需要授权的命令等级，范围<0-15>

default

定义缺省方法列表

list-name

方法列表名

method

授权方法

if-authenticated：

如果通过身份认证，则允许用户访问请求的功能

local：

使用本地数据库进行授权

none：

不执行授权操作，直接授予相应权限

radius：

向RADIUS服务器请求授权信息

tacacs：

向TACACS服务器请求授权信息

WORD：

使用TACACS或RADIUS服务器组进行认证，WORD为服务器组名称

【缺省情况】缺省不限制访问权限（等价于关键字none）。

【命令模式】全局配置模式。

⏹aaaaccounting

配置AAA统计方法列表。

本命令的no形式取消统计方法列表。

aaaaccounting{connection|exec|network|system}{default|list-name}{none|start-stop|stop-only|wait-start}[broadcast]method1[method2…]

noaaaaccounting{connection|exec|network}{default|list-name}

语法

描述

connection

配置当用户通过telnet或rlogin登录到别的路由器上时的统计命令。

exec

配置启动EXEC会话时的统计命令。

network

配置所有与网络相关的服务请求的统计命令。

system

系统事件统计，比如在系统启动或者重启时将统计发送给服务器

default

定义缺省方法列表。

list-name

方法列表名。

none

不进行统计。

start-stop

在进程开始时发出开始统计通知，在进程结束时发出结束统计通知。

开始统计记录在后台发送。

不论服务器是否收到开始统计通知，所有请求的用户进程都将开始执行。

stop-only

仅仅在请求的用户进程结束时发送结束统计通知。

wait-start

向统计服务器发送开始统计通知和结束统计通知。

但直到开始统计通知得到确认时才启动请求的用户服务。

broadcast

当存在多个TACACS或者RADIUS服务器的时候，将统计信息发送给每个服务器

method

统计方法。

radius:

向RADIUS服务器发出统计信息

tacacs:

向TACACS服务器发出统计信息

WORD：

使用TACACS或RADIUS服务器组进行认证，WORD为服务器组名称

【缺省情况】缺省没有定义统计方法列表。

【命令模式】全局配置模式。

注：

为尽可能少地执行统计工作，可以使用关键字stop-only,仅仅在请求的用户进程结束时发送一条停止记录统计通知。

要了解更详细的统计信息，可以使用关键字start-stop，这样NAS使用RADIUS或TACACS在请求的进程开始时发出统计通知，在结束时发出终止通知。

要对统计获得更大的控制权，可以使用wait-start，它确保只有RADIUS或TACACS服务器收到开始通知后，用户的进程请求才会获得批准。

system统计仅支持tacacs服务器，radius服务器不支持。

⏹aaaaccountingcommands

配置AAA统计方法列表。

本命令的no形式取消统计方法列表。

aaaaccountingcommandscmd-lvl{default|list-name}{none|start-stop}[broadcast]method1[method2…]

noaaaaccountingcommandscmd-lvl{default|list-name}

语法

描述

commands

当用户执行命令时，对执行的命令进行统计

cmd-lvl

需要统计的命令等级，范围<0-15>

broadcast

当存在多个TACACS或者RADIUS服务器的时候，将统计信息发送给每个服务器

default

定义缺省方法列表。

list-name

方法列表名。

none

不进行统计。

start-stop

在进程开始时发出开始统计通知，在进程结束时发出结束统计通知。

开始统计记录在后台发送。

不论服务器是否收到开始统计通知，所有请求的用户进程都将开始执行。

method

统计方法。

tacacs:

向TACACS服务器发出统计信息

WORD：

使用TACACS或RADIUS服务器组进行认证，WORD为服务器组名称

【缺省情况】缺省没有定义统计方法列表。

【命令模式】全局配置模式。

⏹aaaaccountingsuppressnull-username

禁止为用户名为空的用户生成统计记录。

本命令的no形式允许为用户名为空的用户生成统计记录。

aaaaccountingsuppressnull-username

noaaaaccountingsuppressnull-username

【缺省情况】缺省允许为用户名为空的用户生成统计记录。

【命令模式】全局配置模式。

⏹aaaaccountingupdate

向服务器发送临时统计记录。

本命令的no形式取消发送临时统计记录。

aaaaccountingupdate{newinfo|periodicnumber}

noaaaaccountingupdate

语法

描述

newinfo

每当有新的统计信息时向服务器发送临时统计记录。

periodic

周期性的发出临时统计记录。

number

间隔周期。

【缺省情况】缺省不发送临时统计记录。

【命令模式】全局配置模式。

⏹tacacs-serverhost

配置Tacacs服务器。

本命令的no形式删除Tacacs服务器。

tacacs-serverhostaddress[keykey][portport][timeouttimeout]

notacacs-serverhostaddress

语法

描述

address

Tacacs服务器的地址。

key

路由器和Tacacs服务器通信所使用的密钥。

port

对Tacacs后台程序进行连接时使用的TCP端口号。

timeout

设置等待Tacacs服务器应答的时间间隔定时器。

【缺省情况】默认情况下端口号为49，超时为5秒。

【命令模式】全局配置模式。

注：

在路由器和Tacacs服务器上配置的密钥必须一致。

可以配置多个tacacs服务器，系统将根据配置的先后顺序选择服务器进行认证，当一个服务器失效后，系统会自动选择下一个服务器，直到最后一个服务器为止。

⏹tacacs-serverkey

配置Tacacs加密密钥。

本命令的no形式删除Tacacs加密密钥。

tacacs-serverkeykey

notacacs-serverkey

语法

描述

key

路由器和Tacacs服务器通信所使用的密钥。

【缺省情况】无加密密钥。

【命令模式】全局配置模式。

⏹tacacs-servertimeout

配置等待Tacacs服务器应答的时间间隔定时器。

本命令的no形式恢复缺省值。

tacacs-servertimeouttimeout

notacacs-servertimeout

语法

描述

timeout

设置等待Tacacs服务器应答的时间间隔定时器。

【缺省情况】5秒。

【命令模式】全局配置模式。

⏹aaagroupserver

配置服务器组。

no命令删除服务器组。

aaagroupserver{tacacs|radius}grp-name

noaaagroupserver{tacacs|radius}grp-name

语法

描述

grp-name

服务器组名称

【缺省情况】无。

【命令模式】全局配置模式。

当前可配置TACACS和RADIUS两种服务器组。

注：

在配置服务器组名的时候，组名应尽可能有明确的含义，并且应该避免使用可能造成混淆的关键字。

比如：

tac、rad、loc等，它们在配置方法列表时可能和tacacs、radius、local这些固有关键字引起混淆。

⏹server（TACACS）

配置TACACS服务器组成员，no命令删除。

serverip-address

noserverip-address

语法

描述

ip-address

Tacacs服务器地址。

该地址必须是已经通过tacacs-server配置了的地址，否则不能生效。

【缺省情况】无。

【命令模式】服务器组配置模式。

⏹server（RADIUS）

配置RADIUS服务器组成员，no命令删除。

serverip-address[auth-portport][acct-portport]

noserverip-add