aaa new-model
!---激活AAA访问控制
aaa authentication login default tacacs+ local
①用户登录时默认起用Tacacs+(这个是默认的名字,可以通过命令更改这个默认列表名)做AAA认证,不成功就用本地数据库(username);
②当vty上设了pssword时,只有在local后面加上line才起作用,这时登录界面还是以username开头,这时用户名和密码都是在vty设的password密码,如pass zy;登录时,username:zy / pssword:zy,这样进入用户exec,然后通过在router上设置的enable进入特权exec;
③如果在列表最后加none,那么就不需要认证直接进入用户exec界面,然后再根据enable密码进入特权exec;
aaa authentication login vty local
!---列表名为vty,调用才能生效,如logging authen vty,加了前面那句后,这句加上就没什么意义了
aaa authentication enable default group tacacs+ enable
!---enable密码的授权交给tacacs+,如果失败,用本地enable密码进行验证
aaa authentication ppp default tacacs+
!---在运行PPP的串行线上采用Tacacs+做认证
aaa authorization exec default if-authenticated group tacacs+ local
!---如果认证通过,AAA授权exec(这里其实跟linux中的shell差不多),根据版本不同,命令的写法可能也不同。
aaa authorization network tacacs+
!---由TACACS+服务器授权与网络相关的服务请求。
aaa accounting exec default start-stop group tacacs+
!---为EXEC会话运行记帐.进程开始和结束时发通告给TACACS+服务器。
aaa accounting network start-stop tacacs+
!---为与网络相关的服务需求运行记帐包括SLIP,PPP,PPP NCPs,ARAP等。在进程开始和结束时发通告给TACACS+服务器。
aaa accounting commands 15 default stop-only group tacacs+
!---用AAA来记录权限为15的命令
tacacs-server host 10.111.4.2
!---指定Tacacs服务器地址
tacacs-server key tac
!---在Tacacs+服务器和访问服务器设定共享的关键字,访问服务器和Tacacs+服务器使用这个关键字去加密口令和响应信息。这里使用tac作为关键字。
注意:以上如果用了自定义的列表名,那么必须在相应的接口上激活认证,才能生效!
以上只是介绍了router下AAA的配置,在ACS上也需要做相应的操作,才能达到预期的效果!
没有评论:
发表评论