AAA讲解ppt课件

第十一章AAA 学习目标 通过本章学习使学员能够熟悉AAA基本概念掌握AAA基本配置熟悉RADIUS基本概念掌握RADIUS基本配置 本章内容 AAA介绍配置AAARADIUS介绍配置RADIUS 课程议题 AAA基本概念 AAA认证 什么是AAA认证 认证Authentication验证用户的身份与可使用的网络服务简单点说 你是谁 你是什么身份 就像我们都有个身份证作证明每个银行用信用卡作证明是否是我们银行的用户 什么是AAA认证 授权Authorization依据认证结果开放网络服务给用户你的权限是什么 你可以拥有哪些权力 你可以享受的服务有哪些 什么是AAA认证 审计Accounting记录用户对各种网络服务的用量 并提供给计费系统记住三W什么人 who什么时间 when做过什么事情 what AAA介绍 续 AAA是一个提供网络访问控制安全的模型 通常用于用户登录设备或接入网络 Authentication 认证模块可以验证用户是否可获得访问权 Authorization 授权模块可以定义用户可使用哪些服务或这拥有哪些权限 Accounting 计费模块可以记录用户使用网络资源的情况 可实现对用户使用网络资源情况的记帐 统计 跟踪 AAA介绍 续 相对与其他的本地身份认证 端口安全等安全策略 AAA能够提供更高等级的安全保护 AAA优点 灵活性可控性可扩展性可靠性标准化协议 为什么要做AAA 原因 1 设备数量较多2 用户数目居多3 管理员调动过于频繁4 设备不能完成审计功能 AAA协议 RAIDUS RemoteAuthenticationDialInUserService 远程用户拨号认证系统 2 TACACS TerminalAccessControllerAccessControlSystem终端访问控制器访问管理体系 他们有什么区别呢 AAA协议 RADIUS公开标准TACACS CISCO私有 AAA基本模型 AAA基本模型中分为用户 NAS 认证服务器三个部分 AAA基本模型 续 用户向NAS设备发起连接请求NAS设备将用户的请求转发给认证服务器认证服务器返回认证结果信息给NAS设备NAS设备根据认证服务器返回的认证结果对用户采取相应认证 授权 计费的操作 认证Authentication 本地认证 不启用AAA认证 AAA本地认证 需要启用AAA AAA服务器认证 用到AAA服务器 本地线下登陆认证 Router config linevty015Router config line passwordxxRouter config line login vty与aux线路默认都开启login 其意思就是需要密码才能登陆 要是没有密码就无法登陆 本地非线下认证 Router config usernamexxpasswordxxRouter config linevty015Router config line loginlocal 在线下调用本地认证时 必须先建好用户 可以建多个用户 课程议题 AAA配置 配置AAA Authentication 启用AAARouter config aaanew model配置验证列表Router config aaaauthenticationservice default list name method1 method2 验证列表用于定义对用户进行身份认证的多种方法 这样确保在第一种方法失败的情况下 可以使用备份验证方式和备份验证系统 只有在前一种方法没有应答的情况下 NAS设备才会尝试下一种方法如果在验证列表中的最后一种认证方式而还没有成功 则身份认证宣告失败 AAA认证基本配置 Router config aaanew model 此条命令是AAA的开关 必须先打上 ConfiguringAAAauthentication Router config aaaauthenticationtype default list name method1 method4 type分为 login enable ppp local override arap nasi password prompt和username prompt 其中常用的为前面四个 login 为想进入到EXEC命令行模式的用户认证 enable 决定用户是否可以访问特权级命令级 ppp 在运行PPP的串行口上指定认证 local override 用于某些特殊用户 如系统管理员 快速登录 先使用本地数据库 如果失败再使用后面的认证方式 Listtype分两种 一种是default 一种是命名list 用来指代后面的认证方式列表method1 method4 证调用的名字是自定义的 如果配置登录认证名字为默认 default 是不需要在VTY和Console 再次调用一下 因为在执行认证就会去查询本地名称default 如果配置认证是名字为自定义的 如 wl 就必须到VTY和Console执行调用才可以认证通过 不然这个配置 当从console登录根本就没有对console做安全认证 AAAauthentication 不同的type对应不同的Method 后面的认证方式只有当前面的认证方式返回了一个出错信息时使用 最多四种Method 而不是在前面的认证失败时使用 一般分为以下几种 配置AAA Authentication 参数method表示此验证列表中使用的认证方式 认证方法可以有以下几种方式 groupradius 使用所有的RADIUS服务器进行验证groupgroup name 使用RADIUS服务器组中的服务器进行验证local 使用本地用户数据库进行验证 当配置local参数使用本地用户数据库进行验证时 需要使用usernameusernamepasswordpassword命令预先在本地创建用户None 不验证 此参数可以作为最后的备用验证方式 如果由于网络或设备故障导致无法正常的进行验证时 在验证列表的最后一步可以使用none不对用户进行验证 配置AAA Authentication 应用验证列表Router config line loginauthentication default list name 将验证列表应用到PPP接口 Router config if pppauthentication default list name Authentication配置示例 运用AAA服务器认证实例 第一步 启用AAA 配置ACS用户数据库Router config aaanew model 在ACS的导航条中选择 UserSetup 进入用户管理界面 在空白处输入新用户名 点击 Add Edit 添加新用户 运用AAA服务器认证实例 第二步 配置TACACS 和Radius服务器的地址和密码Router config tacacs serverhost192 168 10 100keycisco第三步 配置登陆身份验证的方法列表Router config aaaauthenticationloginex1grouptacacs 第四步 在虚拟终端线路上应用列表Router config linevty0Router config line loginauthenticationex1 Rconfig aaanew model全局启用AAA功能R config aaaauthenticationlogin WORDNamedauthenticationlist defaultThedefaultauthenticationlist 当用户登录时启用AAA认证功能 并且定义认证时调用的名字是默认的 default 还是自己随便定义个R config aaaauthenticationlogindefault 指定用哪种认证方式enableUseenablepasswordforauthentication 使用特权密码groupUseServer group使用Radius或者Tacacs 协议krb5UseKerberos5authentication 使用Kerberoskrb5 telnetAllowloginsonlyifalreadyauthenticatedviaKerberosVTelnet lineUselinepasswordforauthentication 使用线路认证方式localUselocalusernameauthentication 使用本地认证方式 需配置用户名和密码local caseUsecase sensitivelocalusernameauthentication noneNOauthentication 不做认证 配置当用户登录设备时 使用aaa本地登录认证方式 认证调用的名字为default 认证方式为localR config aaaauthenticationlogindefaultlocal密码建议配置复杂一点 要有大小写 特殊字符 和数字 长度大于8位以上 如 P ssw0rdR config usernamenousernamesecretnopassword AAA授权 AAA服务器授权 授权 等级授权 命令授权 本地AAA授权 注意 授权之前必须先通过认证 AAA授权 Router config aaaauthorizationtype default list name method1 method2 type分为 配置AAA Authorization 配置授权列表 Router config aaaauthorizationnetwork default list name method1 method2 network 对网络访问进行授权 例如PPP SLIP Ethernet default 默认授权列表 默认情况下 默认的授权列表default将应用于所有接口和线路 list name 定义授权列表的名称 后续将指定的授权列表应用于具体的接口 线路时将引用此名称 method 定义授权方法 授权方法包括groupradius local和none 将授权列表应用到PPP接口 Router config if pppauthorization default list name 本地等级授权 第一步 启用AAA 配置本地数据库 为不同的用户设置不同的权限Router config aaanew modelRouter config usernameuser1privilege1passworduser1Router config usernameuser2privilege15passworduser2第二步 配置EXEC会话授权的方法Router config aaaauthorizationexecciscolocal第三步 在虚拟终端线路上应用授权Router config linevty04Router config line authorizationexeccisco 等级授权 默认情况下 CiscoIOS设备使用三种权限级别 等级0 包括5个命令 disable enable exit help logout 等级1 用户模式 提示符为 它是用户登陆后的默认级别 等级15 特权模式 提示符为 它拥有最高的权限 当用户通过VTY线路登陆到路由器时 默认可以执行等级0和等级1的所有命令 如果用户输入enable命令并且输入了正确的密码 提示符由 改为 则他的权限变为等级15 使用showprivilege命令可以查看用户当前的权限级别 审计Accounting Router config aaaaccountingtype default list name Record typemethod1 method2 type分为 配置AAA 配置Accounting 配置计费列表 Router config aaaaccountingnetwork default list name start stopmethod1 method2 network 对网络应用进行计费 例如PPP SLIP Ethernet default 默认计费列表 默认情况下 默认的计费列表default将应用于所有接口和线路 stard stop 网络访问服务器在用户开始和结束访问网络的时候向RADIUS服务器发送计费信息 list name 定义计费列表的名称 后续将指定的计费列表应用于具体的接口 线路时将引用此名称 method 定义计费方法 计费方法包括groupradius groupgroup name 将计费列表应用到PPP接口 Router config if pppaccounting default list name 举例 常规配置noipdomain lookupenablesecret5 1 mERr 3HhIgMGBA 9qNmgzccuxv0enable密码是ciscointerfaceFastEthernet0 1ipaddress192 168 1 1255 255 255 0linecon0exec timeout00loggingsynchronouslogin aaanew model开启AAAtacacs serverhost192 168 1 2指定TACACS 的服务器地址和KEYtacacs serverkeyabcaaaauthenticationlogindefaultgrouptacacs enable指定首先使用TACACS 认证 其次是enable密码登录linevty04loginloginauthenticationdefaultvty线路下调用 课程议题 RAIDUS概述 Radius协议概述 RADIUS RemoteAuthenticationDialInUserService远程认证拨号用户服务 是在网络接入设备和认证服务器之间进行认证授权计费和配置信息的协议 客户端主机 交换机 Radius服务器 Radius协议模型 Radius协议模型 客户端主机 USER NAS Radius服务器 交换机 Radius服务器 RADIUS协议特点 RADIUS协议特点客户 服务器模型 网络接入设备 NAS 通常作为RADIUS服务器的客户端 安全性 RADIUS服务器与NAS之间使用共享密钥对敏感信息进行加密 该密钥不会在网络上传输 可扩展的协议设计 RADIUS使用属性 长度 值 AVP Attribute Length Value 数据封装格式 用户可以自定义其他的私有属性 扩展RADIUS的应用 灵活的鉴别机制 RADIUS服务器支持多种方式对用户进行认证 支持PAP CHAP UNIXlogin等多种认证方式 课程议题 配置RAIDUS 配置RADIUS 配置RADIUS服务器Router config radius serverhostip address auth portport acct portport ip address表示远程RADIUS服务器的IP地址 auth port参数表示配置RADIUS服务器的认证和授权端口号 默认情况下RADIUS服务器的认证和授权端口号为U