Материал подготовлено по документам Cisco Systems
Контроль
доступа к маршрутизатору или другому оборудования Cisco
под управлением
IOS, а так же ресурсам сети осуществляется
с помощью службы ААА (Authentication,
Authorization, and Accounting ) -
аутентификация (идентификация пользователей), авторизация (контроль прав
доступа), учет (сбор и обработка информации для биллинга, аудита и
отчетов о работе пользователя).
Когда эта
служба запущена, появляется возможность отслеживать деятельность
пользователя и контролировать его права доступа к сетевым ресурсам. Вся
информация о деятельности пользователя
допущенного к ресурсам, полученная с помощью службы AAA, может
быть послана на RADIUS или TACACS+
сервера в форме учетных сообщений . Хотя в Cisco
IOS есть возможность организовать и простой
контроль доступа на основе аутентификации локально заведенных
пользователей, но этот вариант не предоставляет того же уровня
контроля доступа как служба AAA. Служба AAA работает следующим образом. Сначала создаются специальные списки методов(method lists) как для аутентификации, так и для авторизации, а потом эти списки привязываются к конкретным сервисам (например IP, IPX, or VPDN) или интерфейсам. Как это делается мы рассмотрим ниже. А пока еще немного теории ... Список method lists представляет из себя используемый метод , т.е. позволяет назначать один или более протоколов для контроля доступа на случай если первый сервер (RADIUS или TACACS+) не будет способен идентифицировать пользователя. Методы перебираются по списку поочередно пока не будет успешно или не успешно проведена идентификация . Однако следующий метод списка будет использоваться лишь в том случае, если не успешно использование предыдущего метода (например если сервер не отвечает). Если же в ответе о предоставлении доступа от сервера получен отказ, то процесс перебора методов останавливается и следующий метод в списке method lists не используется . Поясним на синтаксисе команды AAA (пример одного из вариантов): aaa (authentication/authorization) <тип> <имя списка> group метод1 { метод2 метод 3 } если в качестве имени списка используется слово default, то это означает что этот список методов применим ко всем интерфейсам устройства. Ниже приведены типы аутентификации:
и типы авторизации:
Ну а теперь перейдем к практике. Для настройки AAA на оборудовании необходимо выполнить следующие команды по порядку:
Примеры конфигурирования (по пунктам выше приведенных шагов): Доступ к устройству Выполняем п.1
Выполняем п.2
или если необходимо использовать RADIUS : Router(config)#radius-server host <IP address of the AAA server> <key> Кроме указанного ключа команды <key> можно ввести другие например для определения порта, время ожидания отклика и т.д., но здесь мы все принимаем по умолчанию. (За дополнительной информацией по опциям команд можно обратиться к Ключ можно указать и отдельной строкой в режиме глобальной конфигурации( например tacacs-server key <ключ>), однако ключ указанный в одной строке с хостом ( tacacs-server host <IP address of the AAA server> <key> )доминирует над указанным ключом в отдельной строке (как и остальные параметры). Далее надо определить
будем ли мы работать с группой серверов или с одним сервером в
данном методе. Задание групп AAA серверов
полезно в тех случаях, когда пользователи поделены на группы и
каждая из них работает со своей группой AAA
серверов. Например, пользователи устанавливающие соединение по
коммутируемыми каналам аутентифицируются с помощью одного сервера, а
сетевые администраторы с помощью другого.
Router(config-sg-{radius |
tacacs+})#server
<IP address of the AAA server 1> Выполняем п.3
где list-name
- именованный список для привязки к интерфейсам, Ниже приведена таблица с методами и их пояснением:
Например: aaa authentication login default group radius local - означает, что все пользователи которые хотят зайти на маршрутизатор, должны аутентифицироваться используя Radius (первый метод), а если он например не доступен (получена ошибка), то локально на маршрутизаторе (второй метод). Выполняем п.4 Если требуется применить аутентификацию (метод) к конкретному интерфейсу, то вместо default в aaa authentification login надо указать имя списка, с помощью которого затем эти методы применить к конкретному интерфейсу. Например:
или Аутентификация на консольном порту происходит только по паролю указанному в конфигурации консоли ( line con 0).
Выполняем п.5 При необходимости
сконфигурировать авторизацию. Например, чтобы сервер доступа
мог обработать входящие соединения PPP по
dialup, необходимо на нем прописать: Router(config)#aaa
authentication ppp default group radius local -
для первоначальной аутентификации пользователя, а уж
затем его авторизации с помощью команды : или если надо прописать авторизацию для конкретного интерфейса, то вместо default надо указать имя списка, с помощью которого затем эти методы применить к конкретному интерфейсу. Например: Router(config)#aaa authorization network
ISDN_USER group radius local Выполняем п.6 При необходимости
сконфигурировать учет. Учет настраивается и работает по тем же правилам что и аутентификация и авторизация (через список методов). Router(config)#aaa accounting network default start-stop group radius local Если необходимо чтобы информация посылалась после того как клиентская сессия закончилась, то необходимо указать ключевое слово stop: Router(config)#aaa accounting network default stop group radius local Однако, если PPP сессия по каким то причинам не установилась, то никаких записей об аутентификации на сервер не отсылается . Это можно исправить введя команду : Router(config)#aaa accounting send stop-record authentication failure На конец, чтобы включить учет всех используемых ресурсов необходимо ввести команду : Router(config)#aaa accounting resource start-stop Для более подробной информации можно обратиться к документации Cisco :
|