Lab 19-2: Giới thiệu AAA AAA quản lý hoạt động user qua thiết bị Switch, Router… Nó sử dụng để xác thực, cấp phát quyền, loggig hay accounting Authentication (Xác thực) Để xác định xem user có quền để truy nhập vào thiết bị hay khơng - Ta cấu hình để enable AAA Router hay Switch Router(config)#aaa new-model - Ta cấu hình user nội thiết bị Router(config)#username username password password - Định nghĩa TACACS+ hay RADIUS server : AAA server như:Secure Access Control Server(ACS) Router(config)#tacacs-server host {hostname | ip-address } [key string] Ở key ta cấu hình router phải trùng với key cấu hình server - Định nghĩa phương thức truy nhập vào Router qua cac line (console, vty) Router(config)#aaa authentication login {default | list-name} method1 [method2…] Có phương thức sau Tacacs+: Mỗi TACACS+ server cấu hình Router cố gắng theo trình tự cấu hình Radius: Tương tự tacacs Local: Nó lấy user nội lệnh username Line: Line password sử dụng cho user Nếu ta sử dụng default áp dụng vào tất line, name-list ta phải áp dụng vào line mà ta muốn Áp dụng phương thức vào Line(console vty) lệnh( list-name khai báo trên) Router(config-line)#login authentication {default | list-name} Ta cấu hình bảo vệ enable password privilege Router(config)#aaa authentication enable default method1 [ [method4]] Authorization(Xác định thẩm quyền) Sau xác thực xong khơng phải tất user có quyền mà ta phân cấp quyền cho user theo nhiều cấp khác nhau, cho mode khác Router(config)#aaa authorization {command | configuration | exec | network| reverse-access} {default | list-name} method1 [method2 …] Command : Server trả quyền cho phép user lệnh privilege level Config-command: Server trả quyền cho phép user sử dụng lệnh thiết bị Exec: Nó áp dụng thuộc tính thích hợp với exec terminal session Network: Áp dụng cho kết nối SLIP, PPP, kết nối ARAP Reverse-access: Server trả quyền reverse telnet từ Router Accounting: Để cho phép server thu thập thông tin từ thiết bị Router(config)#aaa accounting {system | exec |command | level} {default | list-name} {start-stop | stop-only | wait-start | none } metod1 [method2 …] System : Cung cấp kiện liên quan đên hệ thống như: reload Netword: cung cấp kiện liên quan đến kết nối : PPP, SLIP, ARAP Exec:Cung cấp thông tin exec user địa ip user, thời gian session Start-stop cung cấp kiện từ lúc bắt đầu đến lúc kết thúc Stop-only: Cung cấp kiện kết thúc kiện Wait-start: Các yêu cầu user chưa đựơc khởi tạo accounting record ack Cấu hình cho Server(ACS) theo sơ đồ sau: Trước hết ta tạo aaa client: Khởi đơng AAA server: từ sổ ta kích vào Network configuration cho ta cửa sổ sau: aaa client hostname: ta gỏ host name router aaa client address: ta gõ địa add router: Về khóa, ta nhập khóa trùng với key router lệnh tacacs-server Authentication using: chọn tacacs+(cisco ios) sử dung tacacs Nếu ta muốn dùng Radius, ta chọn vào Radius: Tiếp theo ta cấu hình cho user: Trước hết ta kích vào user setup: Rồi bước làm trình tự sau: Định nghĩa số session mà user log vào - Định nghĩa thời gian mà user bị disable hay enable Xác định max pivilege cho user sử dụng authorization Xác định password cho user Xác định password cho user Cấu hình cho router: authentication Router ! hostname Router ! aaa new-model “enable aaa” ! aaa authentication login default group tacacs+ local “ cấu hình authentication cho line” aaa authentication enable default group tacacs+ enable “Cấu hình enable cho privilege” aaa session-id common enable password cisco ! username cuong password cisco memory-size iomem 10 ip subnet-zero ! no ip domain lookup ! interface Ethernet0/0 ip address 192.168.2.1 255.255.255.0 full-duplex ! ip classless ip http server ! tacacs-server host 192.168.2.2 key cuong ! end Authorization local Router! hostname Router ! aaa new-model ! aaa authentication login default group tacacs+ local aaa authentication enable default group tacacs+ enable aaa authorization exec default local “Cho phép user thực session” aaa authorization commands default local aaa authorization commands default local aaa authorization commands 15 default local “yêu cầu user authorization level 0,7.,15” aaa session-id common enable password cisco ! username cuong password cisco username c1 privilege password cisco username c2 privilege password cisco username c3 privilege 15 password cisco ! no ip domain lookup ! interface Ethernet0/0 ip address 192.168.2.1 255.255.255.0 full-duplex ! ip classless ip http server tacacs-server host 192.168.2.2 tacacs-server key cuong ! privilege configure level snmp-server “Các lệnh cho phép user Privilege level 7” privilege configure level snmp-server enable privilege configure level snmp-server host privilege configure level interface privilege configure level line privilege configure level host privilege exec level ping privilege exec level config terminal privilege exec level config config end Kiểm tra telnet vào từ host cho ta kết sau: Ở ta thấy user trả level ta sử dụng lệnh show privilege để kiểm tra Ta thấy user có số lệnh mà ta cấu hình router Introduction This document explains how to configure Authentication, Authorization, and Accounting (AAA) on a Cisco router using Radius or TACACS+ protocols The goal of this document is not to cover all AAA features, but to explain the main commands and provide some examples and guidelines Note: Please read the section on General AAA Configuration before proceeding with the Cisco IOS? configuration Failure to so may result in misconfiguration and subsequent lockout Before You Begin Conventions For more information on document conventions, see the Cisco Technical Tips Conventions Prerequisites To get an overview of AAA, and for complete details about AAA commands and options, please refer to the IOS 12.2 Security Configuration Guide:Authentication, Authorization, and Accounting Components Used The information in this document is based on Cisco IOS software release 12.1 main line The information presented in this document was created from devices in a specific lab environment All of the devices used in this document started with a cleared (default) configuration If you are working in a live network, ensure that you understand the potential impact of any command before using it Network Diagram General AAA Configuration Enabling AAA To enable AAA, you need to configure the aaa new-model command in global configuration Note: Until this command is enabled, all other AAA commands are hidden Warning: The aaa new-model command immediately applies local authentication to all lines and interfaces (except console line line 0) If a telnet session is opened to the router after enabling this command (or if a connection times out and has to reconnect), then the user has to be authenticated using the the local database of the router To avoid being locked out of the router, we recommend that you define a username and password on the access server before starting the AAA configuration Do this a follows: Router(config)# username xxx password yyy Tip: Save your configuration prior to configuring your AAA commands Only after you have completed all your AAA configuration (and are satisfied that it works correctly) should you save the configuration again This allows you to recover from unforeseen lockouts (prior to saving the configuration) by reloading the router Specifying the External AAA Server In global configuration, define the security protocol used with AAA (Radius, TACACS+) If you not want to use either of these two protocols, you can use the local database on the router If you are using TACACS+, use the tacacs-server host command If you are using Radius, use the radius-server host command AAA Server Configuration On the AAA server, configure the following parameters: • The name of the access server • The IP address the access server uses to communicate with the AAA server • Note: If both devices are on the same Ethernet network then, by default, the access server uses the IP address defined on the Ethernet interface when sending out the AAA packet This issue is important when the router has multiple interfaces (and hence multiple addresses) The exact same key configured in the access server • Note: The key is case-sensitive The protocol used by the access server (TACACS+ or Radius) Refer to your AAA server documentation for the exact procedure used to configure the above parameters If the AAA server is not correctly configured, then AAA requests from the NAS will be ignored by the AAA server and the connection may fail The AAA server has to be IP reachable from the access server (conduct a ping test to verify connectivity) Configuring Authentication Authentication verifies users before they are allowed access to the network and network services (which are verified with authorization) To configure AAA authentication : First define a named list of authentication methods (in global configuration mode) Apply that list to one or more interfaces (in interface configuration mode) The only exception is the default method list (which is named "default") The default method list is automatically applied to all interfaces except those that have a named method list explicitly defined A defined method list overrides the default method list The authentication examples below use Radius, login and Point-to-Point Protocol (PPP) authentication (the most commonly-used) to explain concepts such as methods, and named lists In all the examples, TACACS+ can be substituted for Radius or local authentication The Cisco IOS software uses the first method listed to authenticate users If that method fails to respond (indicated by an ERROR), the Cisco IOS software selects the next authentication method listed in the method list This process continues until there is successful communication with a listed authentication method, or all methods defined in the method list are exhausted It is important to note that the Cisco IOS software attempts authentication with the next listed authentication method only when there is no response from the previous method If authentication fails at any point in this cycle, meaning that the AAA server or local username database responds by denying the user access (indicated by a FAIL), the authentication process stops and no other authentication methods are attempted To allow a user authentication, you must configure the username and the password on the AAA server Login Authentication You can use the aaa authentication login command to authenticate users who want exec access into the access server (tty, vty, console and aux) Example 1: Exec Access using Radius then Local Router(config)# aaa authentication login default group radius local In the command above: • the named list is the default one (default) • there are two authentication methods (group radius and local) All users are authenticated using the Radius server (the first method) If the Radius server doesn't respond, then the router's local database is used (the second method) For local authentication, define the username name and password: Router(config)# username xxx password yyy Because we are using the list default in the aaa authentication login command, login authentication is automatically applied for all login connections (such as tty, vty, console and aux) Note: The server (Radius or TACACS+) will not reply to an aaa authentication request sent by the access server if there is no IP connectivity, if the access server is not correctly defined on the AAA server or the AAA server is not correctly defined on the access server Note: Using the example above, if we not include the local keyword, we have: Router(config)# aaa authentication login default group radius Note: If the AAA server does not reply to the authentication request, the authentication will fail (since the router does not have an alternate method to try) Note: The group keyword provides a way to group existing server hosts The feature allows the user to select a subset of the configured server hosts and use them for a particular service For more information on this advanced feature, refer to the document AAA Server-Group Example 2: Console Access Using Line Password Let's expand the configuration from Example so that console login is only authenticated by the password set on line The list CONSOLE is defined and then applied to line We configure: Router(config)# aaa authentication login CONSOLE line In the command above: • the named list is CONSOLE • there is only one authentication method (line) Once a named list (in this example, CONSOLE) is created, it must be applied to a line or interface for it to come into effect This is done using the login authentication list_name command: Router(config)# line Router(config-line)# exec-timeout 0 Router(config-line)# password cisco Router(config-line)# login authentication CONSOLE The CONSOLE list overrides the default method list default on line You need to enter the password "cisco" (configured on line 0) to get console access The default list is still used on tty, vty and aux Note: To have console access authenticated by a local username and password, use: Router(config)# aaa authentication login CONSOLE local Note: In this case, a username and password have to be configured in the local database of the router The list must also be applied to the line or interface Note: To have no authentication, use Router(config)# aaa authentication login CONSOLE none Note: In this case, there is no authentication to get to the console access The list must also be applied to the line or interface Example 3: Enable Mode Access Using External AAA Server You can issue authentication to get to enable mode (privilege 15) We configure : Router(config)# aaa authentication enable default group radius enable Only the password will be requested, the username is $enab15$ Hence the username $enab15$ must be defined on the AAA server If the Radius server doesn't reply, the enable password configured locally on the router will have to be entered PPP Authentication The aaa authentication ppp command is used to authenticate a PPP connection It's typically used to authenticate ISDN or analog remote users who want to access the Internet or a central office through an access server Example 1: Single PPP Authentication Method for All Users The access server has an ISDN interface which is configured to accept PPP dialin clients We use a dialer rotary-group but the configuration can be done on the main interface or dialer profile interface We configure Router(config)# aaa authentication ppp default group radius local This command authenticates all PPP users using Radius If the Radius server doesn't reply, the local database is used Example 2: PPP Authentication using a Specific List To use a named list rather than the default list, configure the following commands: Router(config)# aaa authentication ppp ISDN_USER group radius Router(config)# int dialer Router(config-if)# ppp authentication chap ISDN_USER In this example, the list is ISDN_USER and the method is Radius Example : PPP Launched from within Character Mode Session The access-server has an internal modem card (Mica, Microcom or Next Port) Let's assume that both aaa authentication login and aaa authentication ppp commands are configured If a modem user first accesses the router using a character mode exec session (for example, using Terminal Window after Dial), the user is authenticated on a tty line To launch into a packet mode session, users must typeppp default or ppp Since PPP authentication is explicitly configured (with aaa authentication ppp), the user is authenticated at the PPP level again To avoid this second authentication, we can use the if-needed keyword Router(config)# aaa authentication login default group radius local Router(config)# aaa authentication ppp default group radius local if-needed Note: If the client starts a PPP session directly, PPP authentication is directly performed since there is no login access to the access server For more information on AAA authentication, refer to the documents IOS 12.2 Security Configuration Guide: Configuring Authentication and Cisco AAA Implementation Case Study Configuring Authorization Authorization is the process by which you can control what a user can and cannot AAA authorization has the same rules as authentication: First define a named list of authorization methods Then apply that list to one or more interfaces (except for the default method list) The first listed method is used If it fails to respond, the second one is used, and so on Method lists are specific to the authorization type requested This document focusses on the Exec and Network authorization types For more information on the other types of authorization, please refer to the Cisco IOS Security Configuration Guide, Release 12.2 Exec Authorization The aaa authorization exec command determines if the user is allowed to run an EXEC shell This facility might return user profile information such as autocommand information, idle timeout, session timeout, access-list and privilege and other peruser factors Exec authorization is only carried out over vty and tty lines The following example uses Radius Example 1: Same Exec Authentication Methods for All Users Once authenticated with: Router(config)# aaa authentication login default group radius local All users who want to log in to the access server have to be authorized using Radius (first method) or local database (second method) We configure: Router(config)# aaa authorization exec default group radius local Note: On the AAA server, Service-Type=1 (login) must be selected Note: With this example, if the local keyword is not included and the AAA server does not respond, then authorization will never be possible and the connection will fail Note: In Examples and below, we don't need to add any command on the router but only configure the profile on the access server Example 2: Assigning Exec Privilege Levels from the AAA Server Based on Example 1, if a user who logs into the access server is to be allowed to enter enable mode directly, configure the following Cisco AV-pair on the AAA server: shell:priv-lvl=15 This means that the user will go directly to the enable mode Note: If the first method fails to respond, then the local database is used However, the user will not go directly to the enable mode, but will have to enter the enable command and supply the enable password Example : Assigning Idle-Timeout from the AAA Server To configure an idle timeout (so that the session is disconnected in case of no traffic after the idle timeout) use the the IETF Radius attribute 28: Idle-Timeout under the user's profile Network Authorization The aaa authorization network command runs authorization for all network-related service requests such as PPP, SLIP and ARAP This section focusses on PPP, which is most commonly used The AAA server checks if a PPP session by the client is allowed Moreover, PPP options can be requested by the client: callback, compression, IP address, and so on These options have to be configured on the user profile on the AAA server Moreover, for a specific client, the AAA profile can contain idle-timeout, access-list and other per-user attributes which will be downloaded by the Cisco IOS software and applied for this client The following example show authorization using Radius: Example 1: Same Network Authorization Methods for All Users Hình 19: Cấu hình cho nhóm Admin Cấu hình cho nhóm Guest : Ta làm tương tự: Hình 20: Cấu hình cho nhóm Guest Bước 3: Cấu hình router center(config)#aaa new-model center(config)#tacacs-server host 10.145.30.33 center(config)#tacacs-server key 1234 center(config)#aaa authentication login default group tacacs+ center(config)#aaa authorization exec default group tacacs+ center(config)#aaa authorization commands 15 default group tacacs+ Bước 4: Kiểm tra hoạt động Trên PC, ta mở command line telnet vào địa 10.145.30.234 router: Tài khoản Admin cho ta kết quả: Như ta thấy hình bên kết lệnh erase startupconfig authorization failed Hình 21: Login tài khoản nhóm Admin Tài khoản Guest: Hình 22: Login tài khoản Guest Hình cho ta thấy tài khoản Guest sử dụng lệnh cấu hình AAA Configuration Posted on July 15, 2013by hnaeht Enable AAA router Để enable AAA router, ta sử dụng câu lệnh: Router(config)#aaa new-model Một AAA cho phép router phải đến địa source AAA server Với TACACS server, câu lệnh là: Router(config)#tacacs-server host host-ip-address [singleconnection] [port] [timeout] Router(config)#tacacs-server key serverkey Tham số host-ip-address xác định địa TACACS server Tham số single-connectioncho biết router trì kết nối (tcp) suốt phiên làm việc router AAA server Tham số port: số port server, mặc định 49 cho Tacacs+ Tham số timeout: thời gian đợi TACACS+ server trả lời Tham số serverkey: Một password chung dùng access router AAA server để bảo mật thông tin Câu lệnh cho phép thiết lập password router sau: Router(config)#tacacs-server key cisco Password chọn phải giống password cấu AAA server Password phân biệt kí tự hoa, kí tự thường Q trình cho phép AAA RADIUS server tương tự TACACS, chủ yếu gồm câu lệnh sau: Router(config)#aaa new-model Router(config)#radius-server host host-ip-address [acct-port] [authen-port] [timeout] Router(config)#radius-server key serverkey Các tham số có ý nghĩa giống tham số TACACS+ server, ra: Authen-port: UDP port cho RADIUS Authentication server Acct-port: UDP port cho RADIUS Accounting server AAA Authentication Sau enable AAA router, ta xác định cách thức dùng để xác thực Xác thực phương pháp hay cách thức mà user nhận dạng trước user phép truy cập vào network sử dụng network services Q trình xác thực gồm bước nhập username/password login, trình challenge response, message thông báo, phương thức mã hóa Trong q trình cấu hình chứng thực AAA ta định nghĩa list phương pháp chứng thực sau apply vào interface List phương pháp (Method List) chứng thực định nghĩa loại chứng thực ta thực trình tự thực Method list phải apply vào interface hay line mode… trước thực thi Chỉ có ngoại lệ default method list Nó đặt tên “default” Default method list apply vào tất interface chưa có method list apply vào Nếu ta định nghĩa lên Method List override default method list Vấn đề nhà quản trị phải có cách thức truy cập vào router AAA server bị down Nếu khơng cung cấp cách truy cập dự phòng dẫn đến kết nối với router ta khơng thể truy cập vào cổng console Do ta phải ln cẩn thận để cung cấp cách thức cấu hình truy cập cục cho cài đặt AAA Câu lệnh tổng quát cho xác thực là: aaa authentication service-type {default | listname} method1 [method2] [method3] Trong đó: service-type cách truy cập login, enable, PPP, ARAP, NASI Tham số từ khóa default tên danh sách Tên danh sách từ ngoại trừ từ default, dùng tên danh sách phương pháp xác thực Tham số method1, method2, method3… dùng để xác định thứ tự xác thực Ta tham khảo phương pháp xác thực phần sau  aaa authentication login: cho phép xác thực login vào hệ thống phương pháp  aaa authentication enable: có cho phép vào chế độ thực thi exec privilege không?      aaa authentication attempts: đặt số lần tối đa xác thực aaa authentication banner: đặt thông báo xác thực aaa authentication ppp: xác thực người dùng đến từ kết nối PPP sử dụng phương pháp aaa authentication arap: xác thực cho AppleTalk Remote Access Network aaa authentication nasi: xác thực người dùng đến từ NASI (Network Asynchronous Services Interface) sử dụng phương pháp AAA Authentication Login Phương pháp xác thực sử dụng suốt tiến trình login gì? Câu hỏi giải câu lệnh sau: aaa authentication login {default | list-name} method1 [method2] [method3 ] Từ khóa default cho biết router khơng sử dụng listname interface Nếu có listname xác định, login theo điều khiển listname Ví dụ câu lệnh sau: aaa authentication ppp myaaa argument1 argument2 argument3 Xác định cách thức list myaaa chấp nhận Một interface xác định sử dụng cách xác thực myaa Các tham số method 123 là: [enable|line|local|none|tacacs+|radius|guest] Mỗi tham số xác định cách xác thực riêng sau:       line: tham số sử dụng password line (console, vty ) để xác thực vào interface Câu lệnh sử dụng câu lệnh login enable: tham số sử dụng enable password để xác thực interface Việc xác thực thực việc so sánh password người dùng nhập vào với password câu lệnh enable password hay enable secret router local: tham số sử dụng username/password router để xác thực none: không thực trình xác thực tacacs+: tham số xác định sử dụng TACACS server để xác thực radius: tham số xác định sử dụng RADIUS server để xác thực Sau cấu hình authentication, ta rõ interface line xác thực Router(config)#line 0/vty Router(config-line)#login authentication {default | list-name} VD: Router(config)#aaa authentication login myaaa tacacs+ radius local Router(config)#line vty Router(config-line)#login authentication myaaa Câu lệnh xác định listname tên myaaa sử dụng TACACS+ sau RADIUS cuối username/password lưu cục local router để xác thực Câu lệnh thứ xác định line vty từ đến xác thực sử dụng list myaaa Router(config)#aaa authentication login default tacacs+ Chú ý người muốn truy cập vào port console, họ xác thực TACACS+ mặc định (default) khơng có câu lệnh xác thực login cụ thể port console Ở ví dụ ta thấy thứ tự xác thực điều quan trọng: Nếu user thất bại việc xác thực với TACACS+, user bị từ chối truy cập Nếu router thất bại việc truy cập với TACACS+, router cố gằng thử tiếp xúc với RADIUS server Vấn đề phương pháp thứ hai sử dụng phương pháp thứ không phù hợp router Nếu TACACS+ tùy chọn để xác thực dịch vụ TACACS+ bị down, khơng login vào hệ thống Nếu phương thức xác thực TACACS+ local username/password lưu cục router thay để sử dụng nhằm tránh trường hợp login vào router Thứ tự phương pháp lựa chọn để login vào quan trọng Thông thường local nên dùng làm phương pháp cuối phép truy cập vào router cặp username/password cục router AAA Authentication Enable Câu hỏi đặt là: “Phương thức sử dụng user truy cập vào privileged mode router?”  Nếu khơng có AAA thiết lập, user phải có enable password Nếu AAA dùng khơng thiết lập chế độ mặc định người dùng cần enable password để truy cập vào chế độ privileged mode Cấu trúc AAA tương tự câu lệnh login authentication:  aaa authentication enable {default | listname} method1 [method2] [method3] Trong tham số có ý nghĩa tương tự câu lệnh aaa authentication login Các phương pháp dùng cho câu lệnh là:      Ví enable: tham số xác định sử dụng câu lệnh enable password để xác thực interface Việc xác thực thực việc so sánh password người dùng nhập vào với password câu lệnh enable password hay enable secret router line: tham số xác định sử dụng password để xác thực vào interface Câu lệnh sử dụng câu lệnh login password line (console, vty,…) none: tham số xác định không cần sử dụng phương pháp xác thực tacacs+: tham số xác định sử dụng TACACS server để xác thực radius: tham số xác định sử dụng RADIUS server để xác thực dụ: Router(config)#aaa authentication enable myaaa tacacs+ enable Câu lệnh xác định việc truy cập trở lại vào chế độ privilege mode Trong đó, TACACS+ kiểm tra đầu tiên, TACACS+ trả lỗi (error) trạng thái khơng phù hợp (unavailable) lúc kiểm tra enable password Khi nhiều phương pháp thiết lập cho AAA, phương pháp thứ hai dùng phương pháp trước trả lỗi (error) khơng phù hợp (unavailable) Nếu trả thơng điệp “thất bại” (fail) router khơng thử xác thực thêm phương pháp listname AAA Authentication PPP Câu lệnh aaa authentication ppp sử dụng kết hợp với lệnh ppp authenticationtrong việc cấu hình line để mô tả phương thức sử dụng user sử dụng PPP muốn truy cập vào router Cú pháp câu lệnh sau: aaa authentication ppp {default | list-name} method1 [method2] [method3] Các phương pháp dùng câu lệnh này: local: tham số xác thực việc sử dụng cặp username/password router  none: tham số xác định không sử dụng phương pháp xác thực  tacacs+: tham số xác định sử dụng TACACS server để xác thực  radius: tham số xác định sử dụng RADIUS server để xác thực  krb5: tham số dùng Kerberos phù hợp cho thao tác (operation) PPP liên lạc với Kerberos server thiết lập Xác thực login sử dụng Kerberos làm việc với giao thức PPP PAP  if-needed: tham số ngừng xác thực user xác thực trước line tty Ví dụ: Router(config)#aaa authentication ppp myaaa tacacs+ local Router(config)#line 12 Router(config-line)#ppp authentication myaaa  Router(config)#aaa authentication ppp radius-ppp if-needed group radius Router(config)#interface serial Router(config-if)#ppp authentication radius-ppp Cùng dạng cú pháp sử dụng thông qua nhiều câu lệnh AAA Với câu lệnh ppp thiết lập, câu lệnh interface ppp authentication option(s) với option(s) tùy chọn pap, chap, pap chap, chap pap, mschap Thêm vào đó, phương pháp AAA sử dụng Ở ví dụ TACACS+ kiểm tra trước tiên, sau username/password cục máy sử dụng TACACS+ không phù hợp hay trả lỗi (error) AAA Authentication ARAP Câu lệnh aaa authentication arap sử dụng kết hợp với lệnh arap authentication việc cấu hình line Nó mơ tả cách thức mà ARAP user thử truy cập vào router Cú pháp câu lệnh sau: aaa authentication arap {default | list-name} method1 [method2] [method3] Các phương pháp dùng câu lệnh này:  line: tham số xác định sử dụng password để xác thực vào interface Câu lệnh sử dụng câu lệnh login password line (console, vty,…)  local: tham số xác định xác thực việc sử dụng cặp username/password router  tacacs+: tham số xác định sử dụng TACACS server để xác thực  guest: tham số cho phép login vào username guest Tùy chọn phù hợp với ARAP  auth-guest: tham số cho phép khách login vào user login vào chế độ EXEC router khởi tạo tiến trình ARAP Chú ý mặc định khách viếng thăm login thông qua ARAP ta khởi tạo AAA Câu lệnh aaa authentication arap với hai từ khóa guest auth-guest cần thiết để khách truy cập sử dụng AAA Ví dụ: Router(config)#aaa authentication arap myaaa tacacs+ local Router(config)#line 12 Router(config-line)#arap authentication myaaa Ở ví dụ trên, câu lệnh xác định dùng xác thực TACACS+ trước tiên, sau dùng username/password cục router TACACS+ trả lỗi (error) không phù hợp (unavailable) Từ line đến line 12 sử dụng xác thực listname vừa tạo AAA Authentication ANSI Câu lệnh aaa authentication ansi sử dụng kết hợp với lệnh ansi authentication việc cấu hình line để mơ tả phương thức sử dùng NASI user muốn truy cập vào router Cú pháp câu lệnh sau: aaa authentication nasi {default | list-name} method1 [method2] [method3] [method4] Các phương pháp dùng câu lệnh này:  local: tham số xác định xác thực việc sử dụng cặp username/password router  enable: tham số xác định sử dụng câu lệnh enable password để xác thực interface Việc xác thực thực việc so sánh password người dùng nhập vào với password câu lệnh enable password hay enable secret router line: tham số xác định sử dụng password để xác thực vào interface Câu lệnh sử dụng câu lệnh login password line (console, vty,…)  none: tham số xác định không sử dụng phương pháp xác thực  tacacs+: tham số xác định sử dụng TACACS server để xác thực Khi AAA cho phép, tất line port router sử dụng AAA, thếdefault group nên cấu hình cho truy cập mà router nhìn thấy Router(config)#aaa authentication ansi myaaa tacacs+ local Router(config)#line 12 Router(config-line)#ansi authentication myaaa  Với phương pháp truy cập khác, user sử dụng NASI bị yêu cầu xác thực TACACS+ trước tiên sau sử dụng username/password cục TACACS+ bị lỗi hay khơng thích hợp Authorization – Cấp quyền Một user xác thực, ta cần giới hạn quyền mà họ phép sử dụng Điều thực thông qua câu lệnh aaa authorization Những giới hạn áp đặt vào hoạt động hay dịch vụ yêu cầu router Với việc cấp quyền, AAA thiết lập sub-administrator phép truy cập vào chế độ configuration mode, sử dụng tập nhỏ lệnh phép nên việc cấu hình router bị hạn chế Cú pháp dùng để cấp quyền đơn giản, xác định hoạt động hay dịch vụ (network, exec, command level, config-command, reverseaccess) sử dụng cho user Dạng tổng quát câu lệnh cấp thẩm quyền là: aaa authorization service-type {default | listname} method1 [method2] [method3] Câu lệnh có ý nghĩa sau: aaa authorization do-what? check-how? do-what? là:  network: tham số (dùng phương pháp check-how) để cấp quyền thiết lập yêu cầu dịch vụ có liên quan đến mạng SLIP, PPP  exec: tham số (dùng phương pháp check-how) để cấp quyền user phép khởi tạo chạy chế độ EXEC shell Nếu TACACS+ RADIUS sử dụng, sở liệu trả thông tin với câu lệnh tự động cho người dùng  command level: tham số (dùng phương pháp check-how) để cấp quyền cho lệnh mức phân quyền xác định trước Mức phân quyền (privilege) có giá trị từ đến 15  reverse-access: tham số (dùng phương pháp checkhow) để cấp quyền cho phép thực thi reverse telnet check-how? phương pháp dùng để thực thi, xác thực tiến hành đâu Tham số check-how? là:  tacacs+: với tham số này, thẩm quyền TACACS+ tiến hành trước cặp giá trị thuộc tính AV (attribute-value) đến user riêng biệt Khi user muốn làm do-what? sở liệu TACACS kiểm tra  radius: với tham số này, thẩm quyền RADIUS thực việc gắn thuộc tính cho username RADIUS server Mỗi username với thuộc tính lưu trữ bên RADIUS database  if-authenticated: với tham số này, user xác thực rồi, họ phép thiết lập chức Chú ý không kiểm tra thẩm quyền mà cần user có sở liệu phù hợp  none: với tham số này, router khơng đòi hỏi thơng tin thẩm quyền cho do-what? Thẩm quyền không thiết lập câu truy vấn gởi đến sở liệu  local: với tham số này, router access server kiểm tra username/password cấu hình chế độ configure mode lưu cục router  krb5-instance: với tham số này, router truy vấn đến Kerberos server để yêu cầu cấp thẩm quyền Thẩm quyền lưu Kerberos server Nhìn chung, thẩm quyền cài đặt theo nhiều cách Vấn đề tìm kiếm xem thử database hay tài nguyên có cặp AV hay thuộc tính để cung cấp cho router câu trả lời có u cầu cấp thẩm quyền Ví dụ: Router(config)#aaa Router(config)#aaa Router(config)#aaa Router(config)#aaa Router(config)#aaa new-model authentication login myaaa tacacs+ local authorization exec tacacs+ local authorization command tacacs+ local authorization command 15 tacacs+ local Trong ví dụ trên, AAA enable với câu lệnh aaa new-model, phương thức xác thực xác định với tên “myaaa” Dòng thứ xác định user login vào truy cập trực tiếp vào EXEC mode TACACS+ xét xem thử user có phép thiết lập chức hay khơng? Hai dòng cuối tương tự Nếu user login vào kiểm tra TACACS database xem xét mức phân quyền user Các mức phân quyền có router từ – 15 Accounting AAA accounting cung cấp thơng tin liên quan đến hoạt động user ghi vào database Đây khái niệm hữu dụng với dịch vụ Internet Ngày phổ biến ISP thiết lập cho khách hàng thời gian truy cập không hạn chế Tuy nhiên, điều không làm hạn chế khả nhà quản trị giám sát mức phân quyền khơng cấp phát trước tính an tồn cho tài ngun hệ thống Thêm vào đó, accounting giám sát việc sử dụng tài nguyên để cấp phát cho hệ thống tốt Accounting thường sử dụng cho việc tính cước lưu thông tin hoạt động khách hàng Cú pháp tổng quát câu lệnh aaa accounting là: aaa accounting event-type {default | list-name} {start–stop | wait-start | stop-only | none} method1 [method2] Câu lệnh có dạng: aaa accounting what-to-track how-to-track where-to-sendinformation Tham số what-to-track sau:  network: với tham số này, accounting ghi lại thông tin PPP, SLIP, ARAP session Thông tin accounting cung cấp thời gian truy cập sử dụng tài nguyên mạng tính theo gói hay theo byte  connection: với tham số này, connection accounting log lại thông tin kết nối bên tạo từ router hay RAS (Remote Access Service), gồm phiên Telnet hay rlogin Vấn đề từ bên ngồi; cho phép theo dõi kết nối tạo từ RAS nơi tạo kết nối  exec: với tham số này, EXEC accounting log thông tin cho biết user tạo EXEC terminal session router Thông tin gồm địa IP, số điện thoại (nếu user gọi vào), thời gian ngày truy cập Thơng tin có ích việc theo dõi truy cập đến RAS mà không xác thực command: với tham số này, command accounting log thông tin câu lệnh thực thi router Accounting chứa danh sách lệnh thực thi suốt EXEC session, với thời gian thực thi  system: với tham số này, system accounting log thông tin hệ thống thay đổi cấu hình hay reload lại hệ thống Như ta thấy, lượng thông tin giám sát có giá trị Điều quan trọng nhà quản trị phải biết theo dõi thông tin có ích, khơng nên bám sát thơng tin khơng cần thiết điều tạo lượng overhead lớn tài nguyên mạng  Tham số how-to-track gồm:  start-stop: tùy chọn gởi accounting record tiến trình khởi tạo Điều gởi tiến trình tảng yêu cầu người dùng khởi tạo mà khơng có độ trễ Khi tiến trình user hồn tất, thời gian kết thúc thơng tin gửi đến AAA database Tùy chọn cần thiết có yêu cầu cho biết thời gian mà user dùng thời gian lại mà user phép sử dụng  stop-only: tùy chọn gửi thông tin tập hợp lại dựa tham số what-to-track tiến trình user kết thúc Tùy chọn sử dụng thông tin what-to-track cần thiết  wait-start: tùy chọn không cho phép tiến trình người dùng khởi tạo trước ACK nhận từ accounting database RAS Tham số thường quan trọng kiện giám sát bị kết nối với accounting database Phần cuối thông tin cần thiết cho RAS hay router nơi mà thơng tin giám sát gởi đến Tham số where-to-send-information là:  tacacs+: thông tin gửi đến TACACS+ server  radius: thông tin gửi đến RADIUS server database Việc cài đặt khơng hỗ trợ đặc tính Ví dụ: Router(config)#aaa accounting command 15 start-stop tacacs+ Router(config)#aaa accounting connection start-stop tacacs+ Router(config)#aaa accounting system wait-start tacacs+ Ở dòng đầu tiên, accounting kích hoạt cho phép sử dụng tất câu lệnh với user có mức phân quyền 15 Dòng thứ hai log sở liệu kết nối user bắt đầu hay kết thúc Dòng cuối cho thấy kiện hệ thống thay đổi cấu hình hay reload lại giám sát thời gian bắt đầu kết thúc Tham số wait-start đảm bảo hệ thống báo nhận ACK kiện khởi tạo Vấn đề kiện thao tác reload lại router, cần ý kiện log xác nhận ACK trước router reload lại Nếu thông điệp bị truyền, kiện ghi lại Vấn đề accounting accounting record gửi đến TACACS+ server RADIUS server Thêm vào đó, record giám sát nên ghi lại vào router với câu lệnh AAA accounting Accounting có tác dụng mạnh để quản lý tài nguyên mạng; nhiên, dao hai lưỡi Càng thống kê nhiều, nhiều tài nguyên sử dụng Tham sốstop-only nên sử dụng thời gian kết thúc không cần thiết ... center(config) #aaa new-model center(config)#tacacs-server host 10.145.30.33 center(config)#tacacs-server key 1234 center(config) #aaa authentication login default group tacacs+ center(config) #aaa. .. TACACS+ server R 1(config) #tacacs-server key 1234 //key nhập R 1(config) #aaa authentication login TACACS group tacacs+ R 1(config) #aaa authentication login LOCAL local R 1(config) #line vty R 1(config) #login... R 1(config) #login authentication TACACS R 1(config) #line vty 14 R 1(config) #login authentication TACACS R 1(config) #line vty 15 20 R 1(config) #login authentication LOCAL R 1(config) #aaa authorization exec default