Пример настройки локальной аутентификации

 

Надо настроить локальную аутентификацию AAA на подключение к маршрутизатору R1 по telnet для пользователей:

1.    user12345 пароль pass12345.

2.    user23456 пароль pass23456.

3.    admin1 пароль adminpass.

Имя списка методов аутентификации example.

В качестве резервного метода аутентификации использовать пароль на вход в привилегированный режим – ciscopass.

Ограничить максимальное число неудачных попыток аутентификации тремя.

 

R1(config)#enable secret ciscopass

R1(config)#username user12345 secret pass12345

R1(config)#username user23456 secret pass23456

R1(config)#username admin1 secret adminpass

R1(config)#aaa new-model

R1(config)#aaa authentication login example local enable

R1(config)#aaa local authentication attempts max-fail 3

R1(config)#line vty 0 4

R1(config-line)#login authentication example

 

Результаты настройки

R1#sh run

Building configuration...

…

enable secret 5 $1$mERr$FPJ20VOurz4bQRCfX6TQR/

…

aaa new-model

…

aaa authentication login example local enable

aaa local authentication attempts max-fail 3

…

username admin1 secret 5 $1$mERr$89oFbVUY9tU/mdjv3ClG3.

username user12345 secret 5 $1$mERr$iAVmf7e183tuRhOi42MBS0

username user23456 secret 5 $1$mERr$AoalWO/kbUDx/kKOzGf0w.

…

interface FastEthernet0/0

 ip address 10.1.1.1 255.255.255.0

…

interface Serial0/0/0

 ip address 192.168.1.1 255.255.255.0

…

line con 0

 login

line vty 0 4

 login

 login authentication example

!

end

 

Просмотр установленных сеансов связи

 

Установим соединение по telnet с рабочей станции WS1 к маршрутизатору R1 по записи admin1. Затем установим соединение по telnet с маршрутизатора R2 к маршрутизатору R1.

Теперь проверим установленные сеансы связи на маршрутизаторе R1 с помощью команды show aaa sessions.

В результате выполнения данной команды мы можем видеть, что с маршрутизатором R1 установлено два сеанса связи.

Telnet – сессия с рабочей станции имеет Id:11 с указанием имени пользователя(admin1) и IP адреса рабочей станции, с которой установлено соединение.

Telnet – сессия с рабочей станции имеет Id:12 с указанием имени пользователя(user12345) и IP адреса маршрутизатора, с которого установлено соединение.

 

PC>telnet 10.1.1.1

Trying 10.1.1.1...Open

User Access Verification

Username: admin1

Password: <adminpass>

R1>en

Password:<ciscopass>

R1#

R2#telnet 192.168.1.1

Trying 192.168.1.1...Open

User Access Verification

Username: user12345

Password:<pass12345>

R1>en

Password:<ciscopass>

R1#

R1#show aaa sessions

Total sessions since last reload: 7

Session Id:11

                Unique Id:11

               User Name:admin1

                IP Address:10.1.1.2

                Idle Time: 0

                CT Call Handle: 0

Session Id:12

                Unique Id:12

                User Name:user12345

                IP Address:192.168.1.2

                Idle Time: 0

                CT Call Handle: 0

 

Настройка удаленной аутентификации ААА

 

При использовании аутентификации ААА с помощью удаленной базы данных, необходимо использование сервера защиты TACACS+ или RADIUS.

 

Для настройки удаленной аутентификации необходимо выполнить следующие шаги:

1. Включите ААА на маршрутизаторе.

2. Определите сервер защиты TACACS+ или RADIUS.

3. Сформируйте ключ для шифрования сообщений, которыми будут обмениваться сервер сетевого доступа и сервер защиты.

4. Установите списки методов аутентификации.

5. Подключите сформированные списки методов к соответствующим интерфейсам.

 

Настройка параметров сервера TACACS+ для аутентификации

 

Для установки параметров сервера TACACS+ используется команда глобального режима конфигурации tacacs-server host. В этой команде обязательно должно быть указано имя или ip-адрес сервера TACACS+.

При этом, желательно установить параметр single-connection, который включает поддержку только одного открытого соединения TCP для получения подтверждения от сервера защиты. Соединение должно быть открыто и закрыто для каждого сеанса.

С помощью команды глобального режима конфигурации tacacs-server key устанавливаем ключ для шифрования сообщений между сервером сетевого доступа и сервером защиты.

Так как в сети может быть несколько серверов защиты, то можно сформировать отдельный ключ шифрования для каждого сервера в опциях команды tacacs-server host.

Теперь необходимо в списках методов аутентификации определить аутентификацию с помощью сервера защиты TACACS+. Для этого используется команда aaa authentication login. В поле имени списка можно установить «default», так как это упрощает процесс использования ААА.

В завершении, данный список применяется к соответствующим интерфейсам.

 

 

tacacs-server host name [ single-connection ] [ port number] [ timeout ss] [ key string]

 

name	Имя или ip-адрес сервера защиты
single-connection	(опционально) поддержка только одно открытое соединение TCP для получения подтверждения от сервера защиты. Соединение должно быть открыто и закрыто для каждого сеанса.
port number	(опционально) определяет номер порта сервера защиты. По умолчанию - порт 49. Можно изменять номера в диапазоне от 1 до 65535.
timeout ss	(опционально) определяет предельное время в секундах. Можно изменить глобальное значение предельного времени (установленное с помощью команды tacacs-server timeout) для данного сервера.
key string	(опционально) определяет ключ шифрования (этот ключ должен соответствовать ключу сервера TACACS+). Можно изменить ключ, заданный командой глобальной конфигурации tacacs-server key, для данного сервера.

 

tacacs-server key key

 

key key

определяет ключ шифрования (этот ключ должен соответствовать ключу сервера TACACS+). Задается для всех серверов TACACS+, определенных на данном маршрутизаторе глобально.

 

aaa authentication login default group tacacs+