任务6.2 本地AAA认证和授权的配置

计算机网络安全管理技术项目六任务6.2本地AAA认证和授权的配置子任务1本地AAA认证的配置

子任务2本地AAA授权的配置信息加密和身份认证技术的应用【任务目标】

1．了解AAA服务的概念和特点；2．学会本地AAA登录认证的操作方法；3．学会本地AAAEnable模式认证的操作方法；4．能配置本地AAA级别和命令授权，使不同人员有不同的使用权限。项目六任务6.2本地AAA认证和授权的配置

子任务1本地AAA认证的配置

子任务2本地AAA授权的配置信息加密和身份认证技术的应用【任务环境】1、主流PC机一台

2、VMwareWorkstation软件

3、GNS3软件任务6.2本地AAA认证和授权的配置

子任务1本地AAA认证的配置

【网络拓扑图】【网络IP地址分配表】设备名接口IP地址/子网掩码R1f0/0/24PC1e0/24任务6.2本地AAA认证和授权的配置

子任务1本地AAA认证的配置【知识支撑】

一、AAA服务的概念

AAA是认证、授权和审计(Authentication、Authori-zation、Accounting)三个英文单词的简称，是一个能够处理用户访问请求的服务器程序，提供验证授权以及帐户服务，主要目的是管理用户访问网络服务器，对具有访问权的用户提供服务。

任务6.2本地AAA认证和授权的配置

子任务1本地AAA认证的配置

1、认证认证部分提供了对用户的认证。整个认证通常是采用用户输入用户名与密码来进行权限审核。认证的原理是每个用户都有一个唯一的权限获得标准。由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合，那么对用户认证通过。如果不符合，则拒绝提供网络连接。

任务6.2本地AAA认证和授权的配置

子任务1本地AAA认证的配置

2、授权用户要通过授权来获得操作相应任务的权限。比如，登录系统后，用户可能会执行一些命令来进行操作。这时，授权过程会检测用户是否拥有执行这些命令的权限。简单而言，授权过程是一系列强迫策略的组合，包括确定活动的种类或质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中，一旦用户通过了认证，他们也就被授予了相应的权限。任务6.2本地AAA认证和授权的配置

子任务1本地AAA认证的配置3、审计审计过程将会计算用户在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流量等等。可以根据连接过程的统计日志、用户信息、授权控制、账单、趋势分析、资源利用以及容量计划活动来执行审计过程。任务6.2本地AAA认证和授权的配置

子任务1本地AAA认证的配置

二、特点

1、AAA认证AAA可用来认证管理性接入的用户或远程网络接入的用户。这两种接入方法使用不同的模式请求AAA服务。1）字符模式—用户发送一个请求，与路由器建这用于管理性目的EXEC模式的进程。2）数据包模式—用户发送一个请求，通过路由器与网络上的一台设备建立连接。任务6.2本地AAA认证和授权的配置

子任务1本地AAA认证的配置

AAA服务提供两种常用的方法实现认证。

1）本地AAA认证本地AAA使用一个本地数据库进行认证。这种方法在路由器本地存放用户名和口令，使用本地数据库认证用户。这个数据库也是建立基于角色的CLI需要的。本地AAA是小型网络的理想选择。任务6.2本地AAA认证和授权的配置

子任务1本地AAA认证的配置

2）基于服务器的AAA认证基于服务器的方法使用一个利用RADIUS或TACACS+协议的外部数据库服务器资源。如果存在多台路由器，基于服务器的AAA认证是更合适的选择。任务6.2本地AAA认证和授权的配置

子任务1本地AAA认证的配置2、AAA授权当用户成功通过了所选择的AAA认证后，就被授权使用特定的网络资源。总的来说，授权就是用户经过认证后在网络上能做什么和不能做什么，类似于特权级别和基于角色的CLI如何给用户特定的权限来使用路由器上的某些命令。任务6.2本地AAA认证和授权的配置

子任务1本地AAA认证的配置AAA支持本地授权和基于服务器授权模式，并允许组合使用，组合授权模式有先后顺序。授权模式缺省使用本地授权。授权是自动进行的，不需要用户在认证后执行额外的步骤。授权紧跟在用户认证后实施。任务6.2本地AAA认证和授权的配置

子任务1本地AAA认证的配置

3、AAA审计审计收集和报告使用情况的数据以便这些数据能够用于审计或计费。收集的数据可能包括连接的开始和结束时间、执行的命令、数据包数量以及字节数。审计使用一个基于AAA服务器的解决方案来实施。这项服务将使用情况统计信息报告给ACS服务器。这些统计信息可以被提取出来，创建关于网络配置的详细报告。任务6.2本地AAA认证和授权的配置

子任务1本地AAA认证的配置审计的一个广为部署的用法是与AAA认证结合，对网络管理人员访问联网设备进彻理。审计提供的安全性要强于认证。AAA服务器保留一份详细的日志，精确记录被认通用户在设备上做了哪些操作，这包括用户发出的所有EXEC和配置命令。日志包含大量数据字段，包括用户名、日期和时间以及用户实际输入的命令。这些信息在对设备进行故障排除时很有用，并提供了有效的手段来对付执行恶意活动的个人。任务6.2本地AAA认证和授权的配置

子任务1本地AAA认证的配置

【任务实施】1、实训基本环境的搭建

1）启动VMwareWorkstation和GNS32）绘制网络拓扑图

3）开启设备4）根据网络IP地址分配表配置设备接口IP地址等参数

5）验证R1和PC1间的连通性

任务6.2本地AAA认证和授权的配置

子任务1本地AAA认证的配置2、配置AAA本地认证

1）开启AAA认证主要配置命令如下：

R1(config)#aaanew-model//在设备上开启AAA认证任务6.2本地AAA认证和授权的配置

子任务1本地AAA认证的配置2）设置AAA本地登录认证主要配置命令如下：

3）设置AAAEnable模式本地认证主要配置命令如下：R1(config)#aaaauthenticationloginAUTHENlocal//创建一个名为AUTHEN的AAA认证列表，提供本地用户登录认证R1(config)#aaaauthenticationenabledefaultenable//使用enable密码提供对enable模式的认证任务6.2本地AAA认证和授权的配置

子任务1本地AAA认证的配置

3、应用AAA认证主要配置命令如下：

R1(config)#ipdomain-nameR1(config)#cryptokeygeneratersaR1(config)#linevty015R1(config-line)#transportinputsshR1(config-line)#loginauthenticationAUTHEN//将AUTHEN登录认证列表应用在SSH远程登录注：default为默认全局应用，无需单独应用任务6.2本地AAA认证和授权的配置

子任务1本地AAA认证的配置

4、创建本地用户数据库主要配置命令如下：5、创建enable密码主要配置命令如下：

R1(config)#usernameuser1passwordP@ssw0rd1//本地创建user1用户R1(config)#enablesecretP@ssw0rd//创建enable密码任务6.2本地AAA认证和授权的配置

子任务1本地AAA认证的配置

6、验证在PC1上应用SecureCRT软件使用user1用户进行远程登录，如图所示。

任务6.2本地AAA认证和授权的配置

子任务1本地AAA认证的配置以下结果表明使用user1用户远程登录到路由器R1上，同时enable认证也通过了。

7、保存文件，下一个任务-本地AAA授权的配置将在此任务的基础上进行。

1）保存路由器R1的配置

2）关闭设备后在GNS3环境上保存文件

R1>enPassword:R1#任务6.2本地AAA认证和授权的配置

子任务1本地AAA认证的配置项目六任务6.2本地AAA认证和授权的配置子任务1本地AAA认证的配置

子任务2本地AAA授权的配置信息加密和身份认证技术的应用【任务环境】1、主流PC机一台

2、VMwareWorkstation软件

3、GNS3软件任务6.2本地AAA认证和授权的配置

子任务2本地AAA授权的配置

【网络拓扑图】

同上一个任务【网络IP地址分配表】

同上一个任务任务6.2本地AAA认证和授权的配置

子任务2本地AAA授权的配置

【任务实施】1、启动VMwareWorkstation和GNS32、在GNS3环境下打开上次任务保存的文件

3、开启设备

4、R1上生成SSH的加密密钥，主要配置命令如下：

R1(config)#cryptokeygeneratersa任务6.2本地AAA认证和授权的配置

子任务2本地AAA授权的配置

5、配置AAA本地级别授权1）设置AAA本地级别授权主要配置命令如下：

R1(config)#aaaauthorizationexecAUTHORlocal//创建一个名为AUTHOR的AAA授权列表，提供本地用户级别授权任务6.2本地AAA认证和授权的配置

子任务2本地AAA授权的配置

2）应用AAA本地级别授权主要配置命令如下：

R1(config)#linevty015R1(config-line)#authorizationexecAUTHOR//将AUTHOR级别授权列表应用在SSH远程登录任务6.2本地AAA认证和授权的配置

子任务2本地AAA授权的配置

3）创建本地用户数据库主要配置命令如下：

R1(config)#usernameuser2privilege2passwordP@ssw0rd2R1(config)#usernameuser3privilege6passwordP@ssw0rd3R1(config)#usernameuser4privilege15passwordP@ssw0rd4//在本地分别创建user2、user3和user4，级别分别为2级、6级和15级注：级别大小从0-15，默认为1级。任务6.2本地AAA认证和授权的配置

子任务2本地AAA授权的配置

4）验证在PC1上应用SecureCRT软件分别使用user1、user2、user3和user4用户进行远程登录。

（1）用户user1

R1>showprivilegeCurrentprivilegelevelis1//查看当前级别为1任务6.2本地AAA认证和授权的配置

子任务2本地AAA授权的配置

（2）用户user2

（3）用户user3R1#showprivilegeCurrentprivilegelevelis2//查看当前级别为2R1#showprivilegeCurrentprivilegelevelis6//查看当前级别为6任务6.2本地AAA认证和授权的配置

子任务2本地AAA授权的配置（4）用户user4以上结果表明用户user1-user4都能远程登录到路由器R1上，而且每个用户都有相应的级别。

R1#showprivilegeCurrentprivilegelevelis15//查看当前级别为15任务6.2本地AAA认证和授权的配置

子任务2本地AAA授权的配置6、配置AAA本地命令授权默认情况下，级别0-14为来宾权限，只能输入极少的命令，而级别15为管理员权限，能输入所有的命令。使用命令授权可以为每个级别的用户授权相应的命令。

任务6.2本地AAA认证和授权的配置

子任务2本地AAA授权的配置

1）为级别2的用户授权showrunning-config命令主要配置命令如下：

2）为级别6的用户授权configureterminal命令主要配置命令如下：

R1(config)#privilegeexeclevel6configureterminal//将configureterminal命令授权给级别6的用户R1(config)#privilegeexeclevel2showrunning-config//将showrunning-config命令授权给级别2的用户任务6.2本地AAA认证和授权的配置

子任务2本地AAA授权的配置

3）验证在PC1上再次应用SecureCRT软件分别使用user1、user2、user3和user4用户进行远程登录，并运行以上命令。（1）用户user1

R1>showrunning-config^%Invalidinputdetectedat'^'marker.R1>configureterminal^%Invalidinputdetectedat'^'marker.任务6.2本地AAA认证和授权的配置

子任务2本地AAA授权的配置（2）用户user2

R1#showrunning-configBuildingconfiguration...Currentconfiguration:114bytes!!Lastconfigurationchangeat16:50:49UTCSatMay52018!……R1#configureterminal^%Invalidinputdetectedat'^'marker.任务6.2本地AAA认证和授权的配置

子任务2本地AAA授权的配置（3）用户user3

R1#showrunning-configBuildingconfiguration...Currentconfiguration:114bytes!!Lastconfigurationchangeat16:50:49UTCSatMay52018!……R1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.R1(config)#interfacef0/0^%Invalidinputdetectedat'^'marker.任务6.2本地AAA认证和授权的配置

子任务