收藏
下载资源

CiscoSecureACSAAA配置附图

上传人:m**** 文档编号:473438956 上传时间:2022-12-02 格式:DOC 页数:15 大小:1.27MB
返回 下载 相关 举报
CiscoSecureACSAAA配置附图_第1页
第1页 / 共15页
CiscoSecureACSAAA配置附图_第2页
第2页 / 共15页
CiscoSecureACSAAA配置附图_第3页
第3页 / 共15页
CiscoSecureACSAAA配置附图_第4页
第4页 / 共15页
CiscoSecureACSAAA配置附图_第5页
第5页 / 共15页
点击查看更多>>
资源描述

《CiscoSecureACSAAA配置附图》由会员分享,可在线阅读,更多相关《CiscoSecureACSAAA配置附图(15页珍藏版)》请在金锄头文库上搜索。

1、wordCiscoSecure ACS 界面预览:1 CiscoSecure ACS 安装略。 如果出现上面的界面如此说明安装成功。2。添加用户: 点击界面左侧user setup按钮,界面如下列图: 图1输入用户aaa-user1,点Add/Edit按钮,界面如下列图:图2Real Name/Description随便输入,输入密码123456,确认输入一次123456。点击Submit提交,出现图1。点击List all User可以查看所有已经配置的用户。图3 点击界面左侧nerwork configuration,出现如下图:图4点击AAA Clients下Add Entry按钮,出现

2、如下图:图5AAA Client Hostname:客户端主机名AAA Client IP Address:客户端IP地址,也就是路由器的IP地址Key:客户机用来加密数据Autenticate Using:认证方法。这里保持默认TACACS+其余选项保持默认。点击Submit+Apply提交并应用按钮,出现如下图:图6明确R1已经添加成功。路由器预配置 R1(config)#aaa new-model R1#test aaa group tacacs+ aaa-user1 123456 legacy Attempting authentication test to server-group

3、 tacacs+ using tacacs+ User was successfully authenticated. 出现以上提示信息,说明用户aaa-user1用密码123456通过服务器认证。一、认证 Authentication1.在VTY 0 线路上使用enable认证 R1(config)#enable password enable-password /设置enable密码enable-password R1(config)#aaa authentication loginv0 enable /建立名为u1的登录认证列表,认证方式是使用enable密码 R1(config)#li

4、ne vty 0 R1(config-line)#login authenticationv0 /在VTY 0线路上使用名为u1的登录认证列表 telnet测试:图7第一次telnet使用的是VTY 0 线路第二次telnet使用VTY 1 线路,我们并未配置VTY 1的登录认证方式,所以无法通过VTY 1登录。但路由器会提示:图82.在VTY 1线路上使用AAA服务器上保存的用户名和密码登录 R1(config)#aaa authentication login v1 group tacacs+ enable /在VTY 1线路上首选TACACES服务器配置的用户名和密码登录,如果TACAC

5、ES服务器无法连接,如此使用enable登录方式。这种登录验证方式命名为v1 R1(config)#line vty 0 R1(config-line)#login authentication v1 /使用v1登录验证方式telnet测试:图9 TACACES服务器正常连接图10 TACACES服务器无法连接二、授权 Authorization 默认情况下,Cisco IOS设备使用三种权限级别: 等级0:包括5个命令:disable、enable、exit、help、logout。 等级1:用户模式,提示符为,它是用户登陆后的默认级别。 等级15:特权模式,提示符为#,它拥有最高的权限。

6、定义三个用户 R1(config)#username user1 privilege 1 password user1 /用户user1,授权级别1R1(config)#username user2 privilege7 password user2 /用户user2,授权级别7R1(config)#username user3 privilege 15 password user3 /用户user3,授权级别15 定义授权方式 R1(config)#aaa authorization exec cisco local /定义名为cisco的exec授权方式为调用本地用户数据库 在线路VTY

7、1上应用授权 R1(config)#line vty 1 R1(config-line)#authorization exec cisco telnet测试:图11 用user1登录,级别为1,默认进去用户模式图12 用user2登录,级别7,默认进去特权模式图13 用user3登录,级别15,默认进入特权模式分组对用户进展授权建立连个组,分别为normal和supper ,分别代表普通用户组和超级用户组1.normal组设置.图14任意选择一个组,点击“Rename Group按钮图15修改组名为normal,点击Submit按钮图16可以看到名称已经改为normal,然后点击“Edit S

8、ettings按钮,按如下设置,其余默认图17图18 任意找一个组然后改名为supper,其余设置与normal设置一样。唯一不同的是图18的配置,应该按如下配置supper图193.新建test1和test2两个用户,分别为normal组和supper组用户。 新建用户的时候注意选择分组:图20test1和test2用户添加完后看起来像这样:图21 R1(config)#aaa new-modelR1(config)#tacacs-server host 192.168.2.10 key client_keyR1#test aaa group tacacs+ test1 test1 lega

9、cy /测试Attempting authentication test to server-group tacacs+ using tacacs+User was successfully authenticated. R1(config)#aaa authentication login default group tacacs+R1(config)#aaa authorization exec default group tacacs+R1(config)#aaa authorization mands 1 default group tacacs+ /对级别1的用户进展授权R1(con

10、fig)#aaa authorization mands 15 default group tacacs+图22可以看到只能执行show ip route和show ip interface brief命令,执行其余命令提示mand authorization failed命令授权失败。用supper组test2用户测试:图23可以看到supper组的用户能够执行所有命令。三、审计Accounting本节配置基于分组对用户授权。在路由器上添加如下配置: R1(config)#aaa accounting exec default start-stop group tacacs+ R1(config)#aaa accounting mands 1 default start-stop group tacacs+ R1(config)#aaa accounting mands 15 default start-stop group tacacs+telnet测试: 用test1和test2账户登录,输入几条命令。观察:图24 /

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 医学/心理学 > 基础医学

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号