Локальная аутентификация использует имена пользователей и пароли, хранящиеся, непосредственно, на граничном маршрутизаторе (сервере сетевого доступа).
Системный администратор должен занести в локальную базу данных имя, пароль и профиль каждого пользователя, который может подключаться к сети.
Настройка локальной аутентификации может быть использована как резервный вариант подключения.
Рассмотрим шаги настройки локальной аутентификации.
1. Включите ААА на маршрутизаторе.
2. Занесите в локальную базу данных имена и пароли пользователей, которым необходим административный доступ к маршрутизатору.
3. Настройте параметры ААА на маршрутизаторе.
4. Проверьте настройку ААА.
Для включения ААА на маршрутизаторе необходимо в режиме глобальной конфигурации ввести команду aaa new-model.
После этого устанавливаются пароли на доступ в привилегированный режим, линии vty, tty и консоль.
Router(config)# enable secret supersecret
Включение ААА на маршрутизаторе
Router(config)# aaa new-model
Необходимо создать именованный (name) список методов аутентификации, который применяется к различным интерфейсам для различных сервисов. Для каждого сервиса существует определенный набор методов.
Список методов создается с помощью команды глобального режима конфигурации aaa authentication.
ааа authentication {arap | enable | login | ppp} {default | name} method 1 [method 2] [method 3] [method 4]
Несколько методов в списке позволяет администратору использовать несколько протоколов аутентификации для возможности восстановления системы, если какой-то из методов не сработает.
Для определения методов используются специальные ключевые слова.
Включение локальной аутентификации выполняется с помощью ключевого слова local.
Можно использовать в списке в качестве последнего метода none, но только при отладке системы.
В списке может быть указано от одного до четырех методов аутентификации.
При подключении пользователя, аутентификация начинается с первого метода в списке.
Если первый метод не отвечает или выполняется с ошибками, то используется следующий. Если метод аутентификации запрещает доступ пользователю, то процесс аутентификации останавливается, и другие методы не проверяются.
Сервисы
arap | Аутентификация ААА для ARAP (AppleTalk Remote Access — удаленный доступ AppleTalk) с использованием RADIUS или TACACS +. |
enable | Определяет набор методов аутентификации для получения доступа к командам привилегированного режима маршрутизатора. |
login | Включение аутентификации ААА в начале сеанса. |
ррр | Включение аутентификации ААА для последовательного интерфейса, использующего РРР и TACACS+. |
Default - использование следующих за данным аргументом методов по умолчанию при входе пользователя в систему.
Методы и сервисы, которые их используют
сервис | метод | описание |
arap | guest | разрешает гостевой вход в систему. Этот метод должен быть первым в списке. |
arap | autho-guest | разрешает гостевой вход в систему при условии, что пользователь уже получил доступ к режиму EXEC. Этот метод должен быть первым в списке. |
arap enable login ррр | group tacacs+ | использование списка всех серверов TACACS+ для аутентификации. |
arap enable login ррр | group radius | использование списка всех серверов RADIUS для аутентификации. |
login | groupgroup-name | использование группы серверов RADIUS or TACACS+ для аутентификации определенной с помощью команд aaa group server radius или aaa group server tacacs+. |
login ррр | krb5 | использование аутентификации Kerberos 5 |
login | krb5-telnet | использование протокола аутентификации Kerberos 5 Telnet при доступе Telnet к маршрутизатору. |
ррр | If-needed | не использовать аутентификацию, если пользователь аутентифицирован по линии tty. |
arap enable login | line | использование пароля линии. |
arap login ррр | local | использование локальной базы данных имен пользователей. local-case. (определяет чувствительность к вводу строчных или заглавных букв). |
enable login | enable | использование пароля привилегированного режима. |
enable login ррр | nоnе | отказ от аутентификации |
Списки методов должны быть применены к интерфейсам. Различные списки могут быть применены к различным интерфейсам.
Для применения списка к интерфейсу, надо в порежиме конфигурации этого интерфейса ввести команду login authentication с именем списка методов аутентификации.
При включении ААА активируется список методов «по умолчанию» с именем «default». Он пустой и автоматически применяется ко всем интерфейсам маршрутизатора.
Подключить методы к списку «default» можно с помощью команды aaa authentication login default.
Если к интерфейсу подключить другой список, то он автоматически заменит существующий.
Если к интерфейсу не подключен никакой список, то на нем будет выполняться аутентификация по локальной базе данных.
Для отмены списка методов на интерфейсе, надо выполнить команду no aaa authentication login имя списка.
Router(config)# enable secret password
Router(config)# username name secret password
Router(config)# aaa new-model
Router(config)# ааа authentication login default enable
Router(config)# ааа authentication login Telnet-list local
Router(config)# line vty 0 4
Router(config-line)# login authentication Telnet-list
Безопасность может быть усилена ограничением общего количества неудачных попыток аутентификации с помощью команды режима глобальной конфигурации aaa local authentication attempts max-fail. При достижении значения, указанного в этой команде, учетная запись блокируется.
Внимание. Восстановление учетной записи выполняется с помощью команды привилегированного режима clear aaa local user lockout.
При подключении пользователя к маршрутизатору с использованием ААА, устанавливается уникальный номер сеанса, и все его параметры фиксируются в базе данных. К таким параметрам относятся тип используемого протокола, скорость соединения, объем переданной и полученной информации.
Для просмотра этих параметров используется команда show aaa user. При этом можно посмотреть все (all) сеансы или для конкретного пользователя (id). Определить ID сеанса конкретного пользователя можно с помощью команды show aaa sessions.
aaa local authentication attempts max-fail number-of-unsuccessful-attempts
number-of-unsuccessful-attempts – количество попыток неверной аутентификации для учетной записи.
clear aaa local user lockout { username username | all}
username – имя, для которого сбрасывается счетчик неверных попыток аутентификации.
show aaa user {all | unique id}