Процесс авторизации определяет полномочия пользователя. Когда пользователь пытается выполнить какую-либо команду, сервер удаленного доступа посылает запрос на разрешение выполнения этой команды серверу защиты TACACS+ или RADIUS.
На сервере TACACS+ процесс авторизации и аудита разделен, и может настраиваться для символьного и пакетного режима. На сервере RADIUS эти процессы объединены.
Для настройки авторизации используется команда глобального режима конфигурации aaa authorization.
Для активизации действий авторизации после ввода команд, необходимо перезагрузить маршрутизатор.
aaa authorization { network | exec | commands level | reverse-access } { default | list-name} method 1 [method 2] [method 3] [method 4]
network | Авторизация для сетевых служб PPP, SLIP, ARAP. |
exec | Авторизация для всех команд исполнительного режима (EXEC). |
commands level | Определяет уровень привилегий исполнительного режима (EXEC) маршрутизатора, для которого применяется авторизация. |
reverse-access | Выполнение авторизации для соединений обратного доступа, например обратного доступа Telnet. |
Методы
if-authenticated | Разрешено использование запрошенной команды, если пользователь аутентифицирован |
local | Используется локальная база данных |
none | Отказ от авторизации |
group radius | Используется сервер RADIUS |
group tacacs+ | Используется сервер TACACS+ |
krb5-instance | Использование экземпляра, определяемого командой таблицы экземпляров Kerberos |
Пример настройки авторизации.
Надо настроить авторизацию ААА с использованием серверов защиты TACACS+ и RADIUS на подключение к маршрутизатору R1.
user12345 пароль pass12345.
admin1 пароль adminpass.
Установить авторизацию на доступ к системе команд маршрутизатора и на все запросы, связанные с сетевыми сервисами.
В списке методов авторизации проверять сначала RADIUS, а затем TACACS+.
Настройка аудита ААА
Для настройки параметров аудита используется команда режима глобальной конфигурации aaa accounting.
Указываем направление аудита: system, network, exec, connection, commands.
После выбора направления аудита определяется режим и методы.
aaa accounting { system | network | exec | connection | commands } { default | list-name} { start-stop | wait-start | stop-only | none } [ broadcast ] group { tacacs+ | radius }
Направление аудита
system | Аудит системных событий, например - перезагрузки |
network | Аудит запроса сетевых служб PPP, SLIP, ARAP. |
exec | Аудит запроса команд исполнительного режима (EXEC). |
connection | Аудит всех исходящих соединений типа Telnet или rlogin |
commands level | Определяет уровень привилегий исполнительного режима (EXEC) маршрутизатора, для которого применяется авторизация. |
Режимы аудита
start-stop | Отправляются уведомления о начале и окончании аудита. Запись начала аудита посылается в фоновом режиме. Запрошенный пользователем процесс начинается, даже если уведомление о начале аудита не будет получено сервером. |
wait-start | Отправляются уведомления о начале и окончании аудита с ожиданием подтверждения получения уведомления о начале аудита. |
stop-only | Отправляются уведомления об окончании аудита после завершения запрошенного пользователем процесса. |
none | Отменяет аудит для данной линии или интерфейсу. |