原创力文档- 1、本文档被系统程序自动判定探测到侵权嫌疑,本站暂时做下架处理。
- 2、如果您确认为侵权,可联系本站左侧在线QQ客服请求删除。我们会保证在24小时内做出处理,应急电话:400-050-0827。
- 3、此文档由网友上传,因疑似侵权的原因,本站不提供该文档下载,只提供部分内容试读。如果您是出版社/作者,看到后可认领文档,您也可以联系本站进行批量认领。
查看更多
《51CTO下载-网络工程师实验大全》.pdf
AAA 实验
【实验拓扑】
【配置AAA 服务器】
加管理员帐号,点“Administration Control ”按钮,在添加管理员帐号
配置cisco secure acs HTML interface,点interface configuration 。在选择所需的服务,对这次
实验,选shell (exec )即可。
Network configuration ,添加对应的AAA client ,设置其IP 地址及Key 。如下图:
配置用户信息,点“User Setup ”,设置用户密码,选中shell (exec ),设置Privilege Level
【路由器上的配置】
1、 enable AAA :
Router(config)#aaa new-model
2、Configuring TACACS+ and RADIUS clients:
对TACACS +:
Router(config)#tacacs-server host ip-address
Router(config)#tacacs-server key word
对RADIUS:
Router(config)#radius-server host ip-address
Router(config)#radius-server key word
3、Configuring AAA authentication:
Router(config)#aaa authentication type {default|list-name} method1 […[method4]]
type 分为:login、enable、ppp、local-override、arap、nasi、password-prompt 和
username-prompt,其中常用的为前面四个。
login:为想进入到EXEC 命令行模式的用户认证。
enable:决定用户是否可以访问特权级命令级。
ppp:在运行PPP 的串行口上指定认证。
local-override:用于某些特殊用户(如系统管理员)快速登录,先使用本地数据库,
如果失败再使用后面的认证方式。
List type 分两种,一种是 default ,一种是命名 list 。用来指代后面的认证方式列表
method1 […[method4]]
不同的 type 对应不同的 Method,后面的认证方式只有当前面的认证方式返回了一个
出错信息时使用(最多四种Method ),而不是在前面的认证失败时使用。一般分为以下几种:
enable 使用enable 口令进行认证
krb5 使用Kerberos 5 进行认证
line 使用线路口进行认证
local 使用本地用户数据库进行认证
none 不认证
group radius 使用RADIUS 进行认证
group tacacs+ 使用TACACS +进行认证
krb5-telnet 当用Telnet 连接路由器时,使用Kerberos 5 Telnet 认证协议
if-neede 如果用户已在TTY 上进行了认证,就不再进行认证(用于enable type )
4、Configuring AAA authorization:
Router(config)#aaa authorization type {default|list-name} method1 […[method2]]
type 分为:
network 所有网络服务,包括SLIP、PPP 和ARAP
Exec EXEC 进程
commands level 所指定级别(0 到15)的所有EXEC 命令
config-commands 配置命令
reverse-access 用于反向Telnet
Method 分为:
if-authenticated 如果用户已经通过认证,则允许该用户使用所要求的功能
local 使用本地用户数据库进行授权
none 不进行授权
group radius 使用RADIUS 进行授权
文档评论(0)