GNS3+VMware做AAA授权,审计实验
实验环境,拓扑图见这个认证实验http://3824597.blog.51cto.com/3814597/1172212授权一般是在认证配置好了的前提下在配置的!
ACS上的客服端 服务器配置见认证实验文章!
接下来点击“groupsetup”,将“group1”重命名为“normal”,将“group2”重命名 为“super”。
然后点击“user setup”添加用户 user1 和 user2,其中 user1 属于“normal”组,user2 属于“super”组。
再然后在路由器上配置授权
Router(config)#aaaauthorizationexecdefaultgrouptacacs+local
Router(config)#aaaauthorizationcommands1defaultgrouptacacs+none
!对等级 1 的命令进行授权
Router(config)#aaaauthorizationcommands15defaultgrouptacacs+none
!对等级 15 的命令进行授权
接着在 CiscoSecureACS 的“groupsetup”中按照要求设置组的权限。 点击“groupsetup”,选择“normal”组,点击“EditSettings”
如上图所示,在TACACS+选项组中选择“shell(exec)”,并且将“privilegeLevel”设 置为 15。
如上图所示,在“ShellCommandAuthorizationSet”中设置该组所能执行的命令以及参 数,最后点击“Submit+Restart”。
“super ”组 的权限设置 和“normal ”组基本类 似,唯独不 同的就是“ ShellCommand
AuthorizationSet”部分,下图显示了 normal 组的“ShellCommandAuthorizationSet”设置
OK,一切准备OK,该测试了!
当user1登录时
R1#show interface
FastEhernet0/0 is up, line protocol is up
R1#show ip route
192.168.17.0/24 is directly connected, FastEthe
192.168.16.0/24 is directly connected, FastEthe
R1#show run
command authorization failed
可以看到在group中没有允许的命令就不能用!
然后用user2测试,所有命令都能用,这里俺就不贴图了
然后就是审计实验
Router(config)#aaaaccountingexecdefaultstart-stopgrouptacacs+
//对用户的登陆进行审计
Router(config)#aaaaccountingcommands1defaultstart-stopgrouptacacs+ Router(config)#aaaaccountingcommands15defaultstart-stopgrouptacacs+
//对用户所使用的命令进行审计
完成设置后,在 ACS 的管理页面上点击“Reportandactivity”,可以看到以下界面:
其中“TACACS+Accounting”中记录了用户登陆的记录,“TACACS+Administration”中 记录了用户曾经使用的命令记录,如下图所示:
OK实验完毕
页:
[1]