Yeslab秦柯CCSP视频笔记Cisco AAA详解.docx

Yeslab秦柯CCSP视频笔记Cisco AAA详解.docx

《Yeslab秦柯CCSP视频笔记Cisco AAA详解.docx》由会员分享，可在线阅读，更多相关《Yeslab秦柯CCSP视频笔记Cisco AAA详解.docx（11页珍藏版）》请在冰豆网上搜索。

Yeslab秦柯CCSP视频笔记CiscoAAA详解

Authentication:

用于验证用户的访问，如loginaccess,pppnetworkaccess等。

Authorization:

在Autentication成功验证后，Authorization用于限制用户可以执行什么操作，可以访问什么服务。

Accouting:

记录Authentication及Authorization的行为。

PartI.安全协议

1>TerminalAccessControllerAccessControlSystemPlus（TACACS+）

Cisco私有的协议。

加密整个发给tacacs+server的消息，用户的keys。

支持模块化AAA，可以将不同的AAA功能分布于不同的AAAServer甚至不同的安全协议，从而可以实现不同的AAAServer/安全协议实现不同的AAA功能。

配置命令：

Router（config）#tacacs-serverhostIP_address[single-connection][port{port_#}][timeout{seconds}][key{encryption_key}]

Router（config）#tacacs-serverkey{encryption_key}注：

（1）single-connection:

为Router与AAAServer的会话始终保留一条TCP链接，而不是默认的每次会话都打开/关闭TCP链接。

（2）配置两个tacacs-serverhost命令可以实现tacacs+的冗余，如果第一个serverfail了，第二个server可以接管相应的服务。

第一个tacacs-serverhost命令指定的server为主，其它为备份。

（3）配置inboundacl时需要permittacacs+的TCPport49。

（4）如果两个tacacs-server使用不同的key,则需要在tacacs-serverhost命令中指定不同的encryption_key,否则可以使用tacacs-serverkey统一定制。

但tacacs-serverhost命令中的key定义优先于tacacs-serverkey命令。

Troubleshooting:

命令：

#showtacacs

#debugtacacs关于TACACS+的操作信息。

#debugtacacsevents比debugtacacs更详细的信息，包括router上运行的TACACS+processes消息。

Router#showtacacs

Tacacs+Server           :

10.0.0.10/49              

Socketopens:

         3             

Socketcloses:

         3             

Socketaborts:

         0             

Socketerrors:

         0           

SocketTimeouts:

         0   

FailedConnectAttempts:

         0        

TotalPacketsSent:

         42        

TotalPacketsRecv:

         41          

ExpectedReplies:

         0  

Nocurrentconnection

2>RemoteAuthenticationDial-InUserService（RADIUS）

RADIUS是一个开放的标准，定义于RFC2865和2865。

RADIUS使用一个共享的密钥，并且只加密用户的keys,而不是TACACS+的整个AAA消息。

用户的keys不会明文在网络上传递。

RADIUS应用范围：

（1）使用multiplevendors设备，并且需要一个单独的安全协议用于AAA。

（2）需要实现资源记录，如跟踪用户登录router多长时间及用户访问网络多长时间。

（3）smartcardauthenticationsystems只支持RADIUS。

（4）在用户初始化访问一个设备时，对他进行preauthentication。

RADIUS的使用限制：

（1）不支持AppleTalk'sRemoteAccessProtocol（ARAP），theNetBIOSFrameControlProtocol（NBFCP），NetWare'sAsynchronousServeicesInterface（NASI）及X.25PAD链接。

（2）RAIUDS不支持模块化AAA操作，即只可以使用RADIUS来完成全部的AAA操作。

（3）只支持one-wayauthentication.不支持two-wayauthentication（如:

两个router之间的PPPCHAPAuthentication）.

（4）RADIUS将Authentication及Authorization功能集成为"Authentication"。

配置命令：

Router（config）#radius-serverhostIP_address[auth-port{port_#}][acct-port{port_#}][timeout{seconds}][retransmit{retries}][key{key_value}][alias{hostname|IP_address}]

Router（config）#radius-servertimeout{seconds}

Router（config）#radius-serverretransmit{retries}

Router（config）#radius-serverkey{key_value}

注：

（1）RADIUSServerdaemon监听Authentication消息默认使用UDP1645.Authorization消息默认使用UDP1646.

（2）配置inboundacl以permitUDP1645/1646。

（3）RFC2026中指出，RADIUS也可能使用UDP1812/1813,一些新的RADIUSServer同时监听UDP1645/1646及UDP1812/1813。

所以配置routerinboundacl以permit相应的端口。

（4）RADIUS默认timeout为5s,retransmit为3.

Troubleshooting:

showradiusstatistics

debugradius[brief]

加上brief参数功能类似于debugtacacs命令，不加则类似于debugtacacsevent命令。

Router#showradiusstatistics

                         Auth.     Acct.      Both          

MaximuminQlength:

       NA        NA         1        

MaximumwaitQlength:

       NA        NA         1        

MaximumdoneQlength:

       NA        NA         1        

Totalresponsesseen:

        5         0         5      

Packetswithresponses:

        5         0         5   

Packetswithoutresponses:

        0         0         0  

Averageresponsedelay（ms）:

     1880         0      1880  

Maximumresponsedelay（ms）:

     6540         0      6540   

NumberofRadiustimeouts:

        0         0         0        

DuplicateIDdetects:

        0         0         0

3>Kerberos

其中TACACS+及RADIUS全面支持AAA。

Kerberos只支持Authentication。

Item

TACACS+

RADIUS

Comparison

Connection

TCP

UDP

UDPhaslessoverhead;however,withTCP,TACACS+morequicklycandetectafailedserverandswitchovertoabackup.TCPcandothisbyhavingtherouterlookforanRST（closedconnection）messageorbyusingTCPkeepalives.

Encryption

Payload

Passwords

TACACS+ismoresecurebecauseitencryptstheentirepayload,whichincludesalluserandAAAmessageinformation;RADIUSencryptsonlypasswords,soeverythingelse,includingusernamesandotheraccountinformation,issentincleartext.

Authenticationandauthorization

Separate

Combined

RADIUScombinesauthenticationandauthorizationfunctions,whichmeansthatyoumustusethesameserverorgroupforthesefunctions.TACACS+separatesthem,givingyoumorecontrolovertheserverthathandlesthesefunctions.

WANprotocols

PPP,ARAP,NetBIOS,NASI,andX.25PAD

PPPandSLIP

TACACS+isbettersuitedforremote-accesssituationsthatinvolvemultipledialupprotocols,whereasRADIUSsupportsonlyPPPandSLIP.

Routercommandauthorization

Yes

No

TACACS+enablesyoutocontrolwhatcommandsanauthenticatedusercanexecuteonarouter;RADIUSdoesnot.

Accounting

Basic

Advanced

TheonebigadvantagethatRADIUShasoverTACACS+isitsrobustaccounting,whichiswhymanyISPsuseittomonitorPPPconnections.

PartII.ServerGroupings

默认使用tacacs-serverhost或radius-serverhost命令配置的AAAServer都是按命令出现的顺序分为主/备服务器，可以使用aaagroupserverradius/tacacs+命令覆盖实现部分配置的host做为验证server。

同时可以实现不同的aaagroup实现不同的AAA功能，如group1实现Authentication，group2实现Authorization等。

配置命令：

Router（config）#aaagroupserverradius|tacacs+{group_name}

Router（config-sg）#server{IP_address|hostname}[auth-port{port_#}][acct-port{port_#}]

注：

（1）不能在aaagroupserver中混合使用多种安全协议。

PartIII.Authentication

router支持authentication以下两种基本的访问模式。

1>Charactermode：

用户通过console,auxiliary,TTY,orVTY线路获得到router的user或privilegedEXEC访问。

2>Packetmode：

用户通过使用PPP,SLIP,ARAP,NASI,NetBIOS,orX.25PAD等远程访问协议建立一个data-linklayer链接。

Methodlists:

指定一系列的认证方式。

如grouptacacs+,groupradius,local,none等。

每个authentication命令最多只能同时使用4种认证methods。

认证的结果：

Success:

此method可达，且用户通过验证。

Fail:

此mothod可达，但用户验证失败。

Error:

有两种情况

（1）此mothod中指定的aaaservergroup中的一个AAAServer不可达，第二个AAAServer被尝试。

（2）此mothod指定的方式不存在，或AAAgroup中的所有的servers都不可达。

注：

1>如果router试图访问的所有mothods结果都是unsuccessful,则routeracl会自动deny以后的authenticationrequest。

2>如果指定的mothod是local，且没有与用户提供的用户名相匹配的username,则验证结果为Error。

AuthticationCommandSyntax:

aaaauthticationlogin{认证列表名称}{验证方法}

{认证列表名称}

default:

默认的authentication认证方式。

name:

指定特定的认证方式列表，实现更具体的认证。

{验证方法}

enable使用enable帐号密码验证

group:

使用ServerGroup验证

krb5:

使用kerberosV验证

krb5-telnet:

使用kerberosV验证telnet

line:

使用线路密码验证

local:

使用本地帐号密码验证

local-case:

使用本地帐号密码验证（区分大小写）

none:

不进行验证

aaaauthenticationenabledefault{验证方法}

{验证方法}

enable

group

line

none

aaaauthenticationppp{认证列表名称}{验证方法}

{认证列表名称}

default:

默认的authentication认证方式。

name:

指定特定的认证方式列表，实现更具体的认证。

{验证方法}

group

if-needed:

如果用户已经通过tty线路身份验证，则在此不验证用户身份，直接通过

krb5

local-case

local

none

AuthticationConfiguration:

Router（config）#aaanew-model

Router（config）#aaaauthenticationlogin{default|list_name}method1[method2...]

Router（config）#aaaauthenticationenabledefaultmethod1[method2...]

Router（config）#line[aux|console|tty|vty]start_line_#[end_line_#]

Router（config-line）#loginauthentication{default|list_name}

Router（config-line）#timeoutloginresponse{seconds}

MethodKeyword

Description

enable

Thepasswordintheenablesecretorenablepasswordcommandsisusedtoperformtheauthentication.

line

Thelinepasswordcommand,onthelinethattheuseristryingtoaccess,isusedtoperformauthentication.

local

Theusernamecommandsareusedtoperformauthentication.

local-case

Theusernamecommandsareusedtoperformauthentication.However,theusernamethattheuserentersistreatedascasesensitive.

none

Noauthenticationisperformed.

groupradius

AllconfiguredRADIUSserverscanbeusedtoperformauthentication.

grouptacacs+

AllconfiguredTACACS+serverscanbeusedtoperformauthentication.

groupgroup_name

Onlyserversinthespecifiedaaagroupservercommandareusedtoperformauthentication.

注：

1>aaaauthenticationlogin:

UserEXECAuthentication

2>aaaauthenticationenable:

PrivilegedEXECAuthentication

3>timeout值为ciscorouter等待多长时间将此认证method认为是error。

默认timeout为30s，取值范围1~300s。

4>上图列出的methods，aaaauthenticationenable不支持local和local-case。

UsernameandPasswordPrompts:

默认用户登录时，cisco会给出这样的提示符：

Username:

Password:

可以使用以下命令修改这些默认的提示：

Router（config）#aaaauthenticationusername-prompt{prompt_string}Router（config）#aaaauthenticationpassword-prompt{prompt_string}

注：

TACACS+/RADIUSServer也支持修改默认的提示符，如果同时配置aaaauthenticationusername-prompt/password-prompt命令和TACACS+/RADIUSServer配置，则cisco优先使用TACACS+/RADIUSServer配置的prompt。

LoginBanners：

可以使用aaa来代替默认用banner命令配置的登录提示消息：

Router（config）#aaaauthenticationbanner{stop_charactermessagestop_character}注：

最多支持2996个字符。

也可以修改用户在输入无效的用户名/密码时的提示：

Router（config）#aaaauthenticationfail-message{stop_charactermessagestop_character}

注：

最多支持2996个字符。

LoginAttempts:

默认ciscorouter允许用户尝试3次登录，最后disconnect用户的链接。

可以使用以下命令修改允许尝试的次数：

Router（config）#aaaauthenticationattemptslogin{#_of_attempts}注：

1>可配置的次数为1~25。

2>推荐将网络外接设备的loginattempts次数修改为1，这样可以减少对密码暴力破解的机会。

AuthenticationTroubleshooting：

Router#debugaaaauthentication

PartIV.Authorization

AuthorizationCommandSyntax:

aaaauthorization{授权类型}{授权列表名称}{授权方法}

{授权类型}

auth-proxy:

当用户成功通过authentication后，此method允许用户通过router/firewall建立到链接的其它网络的多个链接，具体的的链接数在AAAServer端配置实现。

commands:

限制用户可以在router上执行的命令。

config-commands:

限制用户可以在router上执行的配置命令。

exec:

限制用户到router的EXEC访问。

其主要用于dialup环境，用户使用PPP的PAP/CHAP认证方式，在通过认证后通过router访问网络，此处可以限制其在通过认证后，只能实现网络访问，而不能EXEC到router。

network:

当用户通过authentication并获得一个EXEC，其就可以在一个dailup接口上建立一个PPP/SLIP连接。

此method用于限制此种行为。

reverse-access:

在通过authent