Yeslab秦柯CCSP视频笔记Cisco AAA详解.docx
- 文档编号:6007835
- 上传时间:2023-01-02
- 格式:DOCX
- 页数:11
- 大小:22.49KB
Yeslab秦柯CCSP视频笔记Cisco AAA详解.docx
《Yeslab秦柯CCSP视频笔记Cisco AAA详解.docx》由会员分享,可在线阅读,更多相关《Yeslab秦柯CCSP视频笔记Cisco AAA详解.docx(11页珍藏版)》请在冰豆网上搜索。
Yeslab秦柯CCSP视频笔记CiscoAAA详解
Authentication:
用于验证用户的访问,如loginaccess,pppnetworkaccess等。
Authorization:
在Autentication成功验证后,Authorization用于限制用户可以执行什么操作,可以访问什么服务。
Accouting:
记录Authentication及Authorization的行为。
PartI.安全协议
1>TerminalAccessControllerAccessControlSystemPlus(TACACS+)
Cisco私有的协议。
加密整个发给tacacs+server的消息,用户的keys。
支持模块化AAA,可以将不同的AAA功能分布于不同的AAAServer甚至不同的安全协议,从而可以实现不同的AAAServer/安全协议实现不同的AAA功能。
配置命令:
Router(config)#tacacs-serverhostIP_address[single-connection][port{port_#}][timeout{seconds}][key{encryption_key}]
Router(config)#tacacs-serverkey{encryption_key}注:
(1)single-connection:
为Router与AAAServer的会话始终保留一条TCP链接,而不是默认的每次会话都打开/关闭TCP链接。
(2)配置两个tacacs-serverhost命令可以实现tacacs+的冗余,如果第一个serverfail了,第二个server可以接管相应的服务。
第一个tacacs-serverhost命令指定的server为主,其它为备份。
(3)配置inboundacl时需要permittacacs+的TCPport49。
(4)如果两个tacacs-server使用不同的key,则需要在tacacs-serverhost命令中指定不同的encryption_key,否则可以使用tacacs-serverkey统一定制。
但tacacs-serverhost命令中的key定义优先于tacacs-serverkey命令。
Troubleshooting:
命令:
#showtacacs
#debugtacacs关于TACACS+的操作信息。
#debugtacacsevents比debugtacacs更详细的信息,包括router上运行的TACACS+processes消息。
Router#showtacacs
Tacacs+Server :
10.0.0.10/49
Socketopens:
3
Socketcloses:
3
Socketaborts:
0
Socketerrors:
0
SocketTimeouts:
0
FailedConnectAttempts:
0
TotalPacketsSent:
42
TotalPacketsRecv:
41
ExpectedReplies:
0
Nocurrentconnection
2>RemoteAuthenticationDial-InUserService(RADIUS)
RADIUS是一个开放的标准,定义于RFC2865和2865。
RADIUS使用一个共享的密钥,并且只加密用户的keys,而不是TACACS+的整个AAA消息。
用户的keys不会明文在网络上传递。
RADIUS应用范围:
(1)使用multiplevendors设备,并且需要一个单独的安全协议用于AAA。
(2)需要实现资源记录,如跟踪用户登录router多长时间及用户访问网络多长时间。
(3)smartcardauthenticationsystems只支持RADIUS。
(4)在用户初始化访问一个设备时,对他进行preauthentication。
RADIUS的使用限制:
(1)不支持AppleTalk'sRemoteAccessProtocol(ARAP),theNetBIOSFrameControlProtocol(NBFCP),NetWare'sAsynchronousServeicesInterface(NASI)及X.25PAD链接。
(2)RAIUDS不支持模块化AAA操作,即只可以使用RADIUS来完成全部的AAA操作。
(3)只支持one-wayauthentication.不支持two-wayauthentication(如:
两个router之间的PPPCHAPAuthentication).
(4)RADIUS将Authentication及Authorization功能集成为"Authentication"。
配置命令:
Router(config)#radius-serverhostIP_address[auth-port{port_#}][acct-port{port_#}][timeout{seconds}][retransmit{retries}][key{key_value}][alias{hostname|IP_address}]
Router(config)#radius-servertimeout{seconds}
Router(config)#radius-serverretransmit{retries}
Router(config)#radius-serverkey{key_value}
注:
(1)RADIUSServerdaemon监听Authentication消息默认使用UDP1645.Authorization消息默认使用UDP1646.
(2)配置inboundacl以permitUDP1645/1646。
(3)RFC2026中指出,RADIUS也可能使用UDP1812/1813,一些新的RADIUSServer同时监听UDP1645/1646及UDP1812/1813。
所以配置routerinboundacl以permit相应的端口。
(4)RADIUS默认timeout为5s,retransmit为3.
Troubleshooting:
showradiusstatistics
debugradius[brief]
加上brief参数功能类似于debugtacacs命令,不加则类似于debugtacacsevent命令。
Router#showradiusstatistics
Auth. Acct. Both
MaximuminQlength:
NA NA 1
MaximumwaitQlength:
NA NA 1
MaximumdoneQlength:
NA NA 1
Totalresponsesseen:
5 0 5
Packetswithresponses:
5 0 5
Packetswithoutresponses:
0 0 0
Averageresponsedelay(ms):
1880 0 1880
Maximumresponsedelay(ms):
6540 0 6540
NumberofRadiustimeouts:
0 0 0
DuplicateIDdetects:
0 0 0
3>Kerberos
其中TACACS+及RADIUS全面支持AAA。
Kerberos只支持Authentication。
Item
TACACS+
RADIUS
Comparison
Connection
TCP
UDP
UDPhaslessoverhead;however,withTCP,TACACS+morequicklycandetectafailedserverandswitchovertoabackup.TCPcandothisbyhavingtherouterlookforanRST(closedconnection)messageorbyusingTCPkeepalives.
Encryption
Payload
Passwords
TACACS+ismoresecurebecauseitencryptstheentirepayload,whichincludesalluserandAAAmessageinformation;RADIUSencryptsonlypasswords,soeverythingelse,includingusernamesandotheraccountinformation,issentincleartext.
Authenticationandauthorization
Separate
Combined
RADIUScombinesauthenticationandauthorizationfunctions,whichmeansthatyoumustusethesameserverorgroupforthesefunctions.TACACS+separatesthem,givingyoumorecontrolovertheserverthathandlesthesefunctions.
WANprotocols
PPP,ARAP,NetBIOS,NASI,andX.25PAD
PPPandSLIP
TACACS+isbettersuitedforremote-accesssituationsthatinvolvemultipledialupprotocols,whereasRADIUSsupportsonlyPPPandSLIP.
Routercommandauthorization
Yes
No
TACACS+enablesyoutocontrolwhatcommandsanauthenticatedusercanexecuteonarouter;RADIUSdoesnot.
Accounting
Basic
Advanced
TheonebigadvantagethatRADIUShasoverTACACS+isitsrobustaccounting,whichiswhymanyISPsuseittomonitorPPPconnections.
PartII.ServerGroupings
默认使用tacacs-serverhost或radius-serverhost命令配置的AAAServer都是按命令出现的顺序分为主/备服务器,可以使用aaagroupserverradius/tacacs+命令覆盖实现部分配置的host做为验证server。
同时可以实现不同的aaagroup实现不同的AAA功能,如group1实现Authentication,group2实现Authorization等。
配置命令:
Router(config)#aaagroupserverradius|tacacs+{group_name}
Router(config-sg)#server{IP_address|hostname}[auth-port{port_#}][acct-port{port_#}]
注:
(1)不能在aaagroupserver中混合使用多种安全协议。
PartIII.Authentication
router支持authentication以下两种基本的访问模式。
1>Charactermode:
用户通过console,auxiliary,TTY,orVTY线路获得到router的user或privilegedEXEC访问。
2>Packetmode:
用户通过使用PPP,SLIP,ARAP,NASI,NetBIOS,orX.25PAD等远程访问协议建立一个data-linklayer链接。
Methodlists:
指定一系列的认证方式。
如grouptacacs+,groupradius,local,none等。
每个authentication命令最多只能同时使用4种认证methods。
认证的结果:
Success:
此method可达,且用户通过验证。
Fail:
此mothod可达,但用户验证失败。
Error:
有两种情况
(1)此mothod中指定的aaaservergroup中的一个AAAServer不可达,第二个AAAServer被尝试。
(2)此mothod指定的方式不存在,或AAAgroup中的所有的servers都不可达。
注:
1>如果router试图访问的所有mothods结果都是unsuccessful,则routeracl会自动deny以后的authenticationrequest。
2>如果指定的mothod是local,且没有与用户提供的用户名相匹配的username,则验证结果为Error。
AuthticationCommandSyntax:
aaaauthticationlogin{认证列表名称}{验证方法}
{认证列表名称}
default:
默认的authentication认证方式。
name:
指定特定的认证方式列表,实现更具体的认证。
{验证方法}
enable使用enable帐号密码验证
group:
使用ServerGroup验证
krb5:
使用kerberosV验证
krb5-telnet:
使用kerberosV验证telnet
line:
使用线路密码验证
local:
使用本地帐号密码验证
local-case:
使用本地帐号密码验证(区分大小写)
none:
不进行验证
aaaauthenticationenabledefault{验证方法}
{验证方法}
enable
group
line
none
aaaauthenticationppp{认证列表名称}{验证方法}
{认证列表名称}
default:
默认的authentication认证方式。
name:
指定特定的认证方式列表,实现更具体的认证。
{验证方法}
group
if-needed:
如果用户已经通过tty线路身份验证,则在此不验证用户身份,直接通过
krb5
local-case
local
none
AuthticationConfiguration:
Router(config)#aaanew-model
Router(config)#aaaauthenticationlogin{default|list_name}method1[method2...]
Router(config)#aaaauthenticationenabledefaultmethod1[method2...]
Router(config)#line[aux|console|tty|vty]start_line_#[end_line_#]
Router(config-line)#loginauthentication{default|list_name}
Router(config-line)#timeoutloginresponse{seconds}
MethodKeyword
Description
enable
Thepasswordintheenablesecretorenablepasswordcommandsisusedtoperformtheauthentication.
line
Thelinepasswordcommand,onthelinethattheuseristryingtoaccess,isusedtoperformauthentication.
local
Theusernamecommandsareusedtoperformauthentication.
local-case
Theusernamecommandsareusedtoperformauthentication.However,theusernamethattheuserentersistreatedascasesensitive.
none
Noauthenticationisperformed.
groupradius
AllconfiguredRADIUSserverscanbeusedtoperformauthentication.
grouptacacs+
AllconfiguredTACACS+serverscanbeusedtoperformauthentication.
groupgroup_name
Onlyserversinthespecifiedaaagroupservercommandareusedtoperformauthentication.
注:
1>aaaauthenticationlogin:
UserEXECAuthentication
2>aaaauthenticationenable:
PrivilegedEXECAuthentication
3>timeout值为ciscorouter等待多长时间将此认证method认为是error。
默认timeout为30s,取值范围1~300s。
4>上图列出的methods,aaaauthenticationenable不支持local和local-case。
UsernameandPasswordPrompts:
默认用户登录时,cisco会给出这样的提示符:
Username:
Password:
可以使用以下命令修改这些默认的提示:
Router(config)#aaaauthenticationusername-prompt{prompt_string}Router(config)#aaaauthenticationpassword-prompt{prompt_string}
注:
TACACS+/RADIUSServer也支持修改默认的提示符,如果同时配置aaaauthenticationusername-prompt/password-prompt命令和TACACS+/RADIUSServer配置,则cisco优先使用TACACS+/RADIUSServer配置的prompt。
LoginBanners:
可以使用aaa来代替默认用banner命令配置的登录提示消息:
Router(config)#aaaauthenticationbanner{stop_charactermessagestop_character}注:
最多支持2996个字符。
也可以修改用户在输入无效的用户名/密码时的提示:
Router(config)#aaaauthenticationfail-message{stop_charactermessagestop_character}
注:
最多支持2996个字符。
LoginAttempts:
默认ciscorouter允许用户尝试3次登录,最后disconnect用户的链接。
可以使用以下命令修改允许尝试的次数:
Router(config)#aaaauthenticationattemptslogin{#_of_attempts}注:
1>可配置的次数为1~25。
2>推荐将网络外接设备的loginattempts次数修改为1,这样可以减少对密码暴力破解的机会。
AuthenticationTroubleshooting:
Router#debugaaaauthentication
PartIV.Authorization
AuthorizationCommandSyntax:
aaaauthorization{授权类型}{授权列表名称}{授权方法}
{授权类型}
auth-proxy:
当用户成功通过authentication后,此method允许用户通过router/firewall建立到链接的其它网络的多个链接,具体的的链接数在AAAServer端配置实现。
commands:
限制用户可以在router上执行的命令。
config-commands:
限制用户可以在router上执行的配置命令。
exec:
限制用户到router的EXEC访问。
其主要用于dialup环境,用户使用PPP的PAP/CHAP认证方式,在通过认证后通过router访问网络,此处可以限制其在通过认证后,只能实现网络访问,而不能EXEC到router。
network:
当用户通过authentication并获得一个EXEC,其就可以在一个dailup接口上建立一个PPP/SLIP连接。
此method用于限制此种行为。
reverse-access:
在通过authent
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Yeslab秦柯CCSP视频笔记Cisco AAA详解 Yeslab 秦柯 CCSP 视频 笔记 Cisco AAA 详解