Phương pháp xác thực được sử dụng trong suốt tiến trình login là gì? Câu hỏi đó được giải quyết trong câu lệnh sau:
aaa authentication login {default | list-name} method1 [method2] [method3..]
Từ khóa default cho biết router không sử dụng bất kì listname nào trên interface. Nếu có một listname đã được xác định, thì login theo điều khiển trong listname đó.
Ví dụ câu lệnh sau:
aaa authentication ppp myaaa argument1 argument2 argument3 Xác định cách thức list myaaa được chấp nhận. Một interface xác định là sử dụng cách xác thực myaa.
Các tham số method 123 có thể là:
[enable|line|local|none|tacacs+|radius|guest]
Mỗi một tham số xác định một cách xác thực riêng như sau:
line: tham số này sử dụng password trong từng line (console, vty..) để xác thực vào interface. Câu lệnh này được sử dụng trong câu lệnh login.
enable: tham số này sử dụng enable password để xác thực trên interface. Việc xác thực được thực hiện bằng việc so sánh password người dùng nhập vào với password trong câu lệnh enable password hay enable secret của router.
local: tham số sử dụng username/password trên router để xác thực.
none: không thực hiện quá trình xác thực.
tacacs+: tham số này xác định sử dụng TACACS server để xác thực.
radius: tham số này xác định sử dụng RADIUS server để xác thực.
Sau khi cấu hình authentication, ta có thể chỉ rõ interface hoặc line sẽ
được xác thực.
Router(config)#line con 0/vty
Router(config-line)#login authentication {default | list-name} VD:
Router(config)#aaa authentication login myaaa tacacs+ radius local Router(config)#line vty 0 4
Router(config-line)#login authentication myaaa
Câu lệnh đầu tiên xác định một listname tên là myaaa sử
dụng TACACS+ sau đó là RADIUS và cuối cùng là username/password lưu cục bộ local trong router để xác thực.
Câu lệnh thứ 3 xác định line vty từ 0 đến 4 xác thực sử dụng trong list myaaa.
Router(config)#aaa authentication login default tacacs+
Chú ý rằng nếu một người muốn truy cập vào port console, họ có thể xác thực chỉ bằng TACACS+ bởi vì là mặc định (default) không có câu lệnh xác thực login nào cụ thể trên port console.
Ở ví dụ trên ta thấy thứ tự xác thực là điều rất quan trọng:
Nếu user thất bại trong việc xác thực với TACACS+, thì user đó sẽ bị từ chối truy cập. Nếu router thất bại trong việc truy cập với TACACS+, thì router sẽ cố gằng thử tiếp xúc với RADIUS server. Vấn đề chính ở đây là phương pháp thứ hai chỉ được sử dụng nếu phương pháp thứ nhất không phù hợp trên router.
Nếu TACACS+ là tùy chọn duy nhất để xác thực thì khi dịch vụ
TACACS+ bị down, không ai có thể login vào hệ thống. Nếu các phương thức xác thực là TACACS+ và local thì username/password lưu cục bộ trên router có thể thay thế để sử dụng nhằm tránh trường hợp không thể login vào router.
Thứ tự phương pháp lựa chọn để login vào là rất quan trọng. Thông thường thì local nên được dùng làm phương pháp cuối cùng để cho phép truy cập vào router ít nhất cũng là bằng một cặp
username/password cục bộ trên router.