CISCO路由器AAA介绍及相关路由配置

zhangsanfeng88

建议将本地认证作为最后一种方法。　　定义认证方法列表
　　1规定服务（PPP,ARAP,NASI）或登录认证
　　2标识一个列表名称或采用缺省
　　3规定认证方法，并规定其中一种不可用时，路由器如何反应
　　4将其应用到一下链路或接口之一
　　链路－－tty,vty,console,aux和async链路，或者供登入的控制台端口已经供ARA的异步链路
　　接口－－同步，异步以及为PPP.SLIP.NASI或ARAP而配置的虚拟接口
　　5在全局配置模式下使用aaa authentication命令，以启用AAA认证过程。
　　1 aaa authentication login命令
　　config t
　　aaa authentication login default enable
　　aaa authentication login console-in local
　　aaa authentication login tty-in line
　　console-in和 tty-in是管理员创建的简单的方法列表名称。
　　aaa authentication login {default | list-name} method1 [method2~~~]
　　default   用户登入时，使用此变量后面列出的认证方法，作为缺省的方法列表
　　list-name   当用户登录时，用来命名认证方法列表的字符串
　　method:
　　(enable) 使用enable口令来认证
　　(krb5)    用kerberos 5来认证
　　(krb5-telnet)   当借助telnet连接路由器时，使用kerberos 5 telnet认证协议
　　(line) 用链路口令来认证
　　(local)   用本地用户名数据库来认证
　　(none)    不用认证
　　(group- radius)   使用包含所有RADIUS服务器的一个列表来认证
　　(group tacacs+)   使用包含所有TACACS+服务器的一个列表来认证
　　(group group-name) 用RADIUS或TACACS+服务器的一个子集来认证 这些服务器定义在aaa group