详细讲解CISCO ACS AAA认证(B):
Step3>点击Add添加命令集页面下方有两个方框,左边填写命令的前缀,右边填写命令的后缀,命令后缀填写的语法格式是:permit/deny ***,如本例当中只允许使用show version命令
http://3jj.jxxhdn.com/d/file/jswz/yj/200905/af7d82f47c5f26904f9f0689ed430755.jpg
Step4>将命令集运用到用户组或者用户,在用户组属性当中进行设置,如下图,然后点击submit+restart
http://3jj.jxxhdn.com/d/file/jswz/yj/200905/5c116feff740bbdf6f556e47262653c1.jpg
Step6>设备端配置
R1(config)# aaa new-model
R1(config)# aaa authorization commands 1 default group tacacs+ local ‘指定级别1能够使用的EXEC命令
R1(config)# aaa authorization commands 15 default group tacacs+ local ‘指定级别15能够使用的EXEC命令
R1(config)# line vty 0 4
R1(config)# authorization commands 1 default ‘应用到telnet登陆进程
R1(config)# authorization commands 15 default
Step7>测试
http://3jj.jxxhdn.com/d/file/jswz/yj/200905/18663c38fa771c442f514cb262cbb268.jpg
由于根据前面授权设置,在特权15级别下只能使用show version命令,故其它命令均不能使用
另外,我们也可以在用户组属性中设置该组能够使用特权的最高级别,如下图:
http://3jj.jxxhdn.com/d/file/jswz/yj/200905/2c5e85c6b36faddb9ea9a472122a94e7.jpg
3、 ACS审计
Step1>设备端配置
R1(config)# aaa new-model
R1(config)# aaa accounting exec default start-stop group tacacs+
R1(config)# lin vty 0 4
R1(config)# accounting exec default
Step2>点击ACS界面左边的reports and activity按钮,然后选择TACACS+ Accounting可以具体浏览某一天的记录
http://3jj.jxxhdn.com/d/file/jswz/yj/200905/ea50a2df434d426e9acfb1b955693a49.jpg
http://3jj.jxxhdn.com/d/file/jswz/yj/200905/d1d286f6e2b02bf2d925e1057f1a1b7f.jpg
Step3>如果要记录用户所用的命令,设备端配置为:
R1(config)# aaa new-model
R1(config)# aaa accounting commands 0 default start-stop group tacacs+
R1(config)# aaa accounting commands 1 default start-stop group tacacs+
R1(config)# aaa accounting commands 15 default start-stop group tacacs+
R1(config)# line vty 0 4
R1(config)# accounting commands 0 default
R1(config)# accounting commands 1 default
R1(config)# accounting commands 15 default
Step4>然后点击report and activity中的TACACS+ Administration,可以浏览某天某用户的所有命令
http://3jj.jxxhdn.com/d/file/jswz/yj/200905/4d2e470df4b6b587296f8a0ec7a37612.jpg
4、 ppp验证与计时
Step1>验证设备端配置
R1:
R1(config)# aaa authentication ppp jxxh group tacacs+
R1(config)# int s0/0
R1(config-if)# encapsulation ppp
R1(config-if)# ppp authentication pap jxxh
R1(config-if)# ppp pap sent-username r1 password 123
R2:
R2(config)#username r1 password 123
R2(config)# int s1
R2(config-if)# encapsulation ppp
R2(config-if)# ppp authentication pap
R2(config-if)# ppp pap sent-username test password test
在本例PPP验证中,R1采用的是ACS服务器验证,R2依然采用的是本地数据库验证
Step2>计时设备端配置
R1(config)# aaa accounting network jxppp start-stop group tacacs+
R1(config)# int s0/0
R1(config-if)# ppp accounting jxppp
配完后,点击ACS界面左边的reports and activity按钮,然后选择TACACS+ Accounting可以查看ppp连接时间和断开时间
http://3jj.jxxhdn.com/d/file/jswz/yj/200905/799cc720942e422d676c7ee387dd86de.jpg
页:
[1]