GNS3+VMware做AAA授权，审计实验

色婆ijqwj

　　实验环境，拓扑图见这个认证实验http://3824597.blog.51cto.com/3814597/1172212
　　授权一般是在认证配置好了的前提下在配置的！
　　ACS上的客服端 服务器配置见认证实验文章！
　　接下来点击“group  setup”，将“group  1”重命名为“normal”，将“group  2”重命名 为“super”。
　　然后点击“user setup”添加用户 user1 和 user2，其中 user1 属于“normal”组，user2 属于“super”组。
　　再然后在路由器上配置授权
　　Router(config)#  aaa  authorization  exec  default  group  tacacs+  local
　　Router(config)#  aaa  authorization  commands  1  default  group  tacacs+  none
　　！对等级 1 的命令进行授权
　　Router(config)#  aaa  authorization  commands  15  default  group  tacacs+  none
　　！对等级 15 的命令进行授权
　　接着在 Cisco  Secure  ACS 的“group  setup”中按照要求设置组的权限。 点击“group  setup”，选择“normal”组，点击“Edit  Settings”

　　如上图所示，在  TACACS  +选项组中选择“shell（exec）”，并且将“privilege  Level”设 置为 15。

　　　　如上图所示，在“Shell  Command  Authorization  Set”中设置该组所能执行的命令以及参 数，最后点击“Submit  +  Restart”。
　　“super ”组 的权限设置 和“normal ”组基本类 似，唯独不 同的就是“ Shell  Command
　　Authorization  Set”部分，下图显示了 normal 组的“Shell  Command  Authorization  Set”设置

　　OK，一切准备OK，该测试了！
　　当user1登录时
　　R1#show interface
　　FastEhernet0/0 is up, line protocol is up
　　R1#show ip route
　　192.168.17.0/24 is directly connected, FastEthe
　　192.168.16.0/24 is directly connected, FastEthe
　　R1#show run
　　command authorization failed
　　可以看到在group中没有允许的命令就不能用！
　　然后用user2测试，所有命令都能用，这里俺就不贴图了
　　然后就是审计实验
　　Router(config)#  aaa  accounting  exec  default  start-stop  group  tacacs+
　　//对用户的登陆进行审计
　　Router(config)#  aaa  accounting  commands  1  default  start-stop  group  tacacs+ Router(config)#  aaa  accounting  commands  15  default  start-stop  group  tacacs+
　　//对用户所使用的命令进行审计
　　完成设置后，在 ACS 的管理页面上点击“Report  and  activity”，可以看到以下界面：

　　其中“TACACS  +  Accounting”中记录了用户登陆的记录，“TACACS  +  Administration”中 记录了用户曾经使用的命令记录，如下图所示：

　　OK实验完毕