TACACS++
aaa new-model
aaa(Authentication, Authorization, Accounting) 기능을 활성화 시킴
aaa authentication login default group tacacs+ local(인증설정)
login 할때 group ==>tacacs+서버 ==>local 순서대로 정의된 사용자 이름과 암호를 사용해서 인증을 하는데
먼저 정의한 인증방법이 동작하지 않는다면 정해진 순서의 인증 방법사용하여라
aaa authorization commands 15 default group tacacs+ none(권한설정)
privilege에 해당하는 명령어를 제한하고 group ==>tacacs+서버 ==>local ==>none(암호없음) 순서대로 정의된 사용자
이름과 암호를 사용해서 인증을 하는데 먼저 정의한 인증방법이 동작하지 않는다면 정해진 순서의 인증 방법사용하여라
aaa accounting exec default start-stop group tacacs+(계정설정)
start-stop은 사용자의 요청의 첫번째를 log에 남기고 만약 그 요청이 성공한것만 다시 log에 남겨서 accounting.
exec는 user-mode에서 사용한 명령어의 계정 정보를 tacacs+서버에 보내라
aaa accounting commands 15 default start-stop group tacacs+
start-stop은 사용자의 요청의 첫번째를 log에 남기고 만약 그 요청이 성공한것만 다시 log에 남겨서 accounting.
command 15는 privilege mode에 사용한 명령어의 계정 정보를 tacacs+서버에 보내라
aaa accounting connection default start-stop group tacacs+
connection는 아웃바운드 연결에 사용한 명령어의 계정 정보를 tacacs+서버에 보내라
aaa accounting system default start-stop group tacacs+
system는 시스템 이벤트에 사용한 명령어의 계정 정보를 tacacs+서버에 보내라
ip tacacs source-interface Loopback255
보안설정으로 source interface를 보이지않은 loopback0로 하여서 routing을 타게하라
!
tacacs-server host xx.xx.xx.xx
tacacs-server 주소는 xx.xx.xx.xx
tacacs-server directed-request
????? 이부분 모르겠어요???
tacacs-server key hmcplus
tacacs-server key값을 hmcplus로
LAB
2008년 2월 28일 목요일
오후 5:39
|
[ISCW] AAA Model 설정하기 [TACACS+] |
| |
>> Dynagen Config file
================
[localhost]
[[2691]]
image = d:\ios\c2691-advsecurityk9-mz.124-6.T.bin
ram = 128
slot1 = NM-4T
disk0 = 64
disk1 = 64
idlepc = 0x607a89e8
[[router C1]]
model = 2691
console = 2001
f0/0 = NIO_gen_eth:\Device\NPF_{9F8CC8FF-FD5F-43A8-9820-8364C2DCC19E} # VMnet1 Connection
f0/1 = BR01 f0/1
[[router BR01]]
model = 2691
console = 2002
f0/0 = NIO_gen_eth:\Device\NPF_{76342E10-BA20-45AE-B3D6-E47341964701} # LAN Bridge
BR01 Router Config
===========
! -- BR01 Router Configuration
!
hostname BR01
!
no logging buffered
!
interface Fastethernet 0/1
ip address 100.10.1.1 255.255.255.0
no shutdown
!
interface Fastethernet 0/0
ip address 100.10.2.1
no shutdown
!
line con 0
logging synchronous
exec-timeout 0
line vty 0 4
no login
!
end
C1 Router Config
===========
! -- C1 Router Configuration
!
hostname C1
!
no logging buffered
!
interface FastEthernet0/0
ip address 100.10.0.1 255.255.255.0
no shutdown
!
interface FastEthernet 0/1
ip address 100.10.1.2 255.255.255.0
no shutdown
!
ip route 0.0.0.0 0.0.0.0 100.10.1.1
!
ip dhcp pool vpn_pool
network 100.10.0.0 /24
default-router 100.10.0.1
dns-server 168.126.63.1
exit
!
ip dhcp excluded-address 100.10.0.1 100.10.0.100
!
line con 0
logging synchronous
exec-timeout 0
line vty 0 4
no login
!
end
>>> AAA Model 인증 설정하기 <<<
>> 라우터 인증...
1. enable Login
Router> enable
Router#
Router(config)#enable secret cisco
Router>enable
Pasword:*******
Router#
2. Local 인증
Router(config)# username admin privilege 15 secret cisco
Router(config)# line console 0
Router(config-line)# login local
>> Console로 접속하면
Username : admin
Password : *****
Router#
3. RADIUS or TACACS+ 를 이용한 중앙인증...
사전 점검사항 : Router와 Cisco ACS Server간 통신 상태를 검사한다.
Cisco ACS Server에는 Client Device를 등록해야 한다.
3-1. 인증서버를 구성한다. (Cisco ACS Server, Windows ActiveDirectory, 등)
3-2. 라우터에 인증구조를 변경한다.
! 라우터 인증방법 변경
Router(config)#aaa new-model
! TACACS+ Client 설정하기
Router(config)#tacacs-server host 100.10.2.200 single-connection
Router(config)#tacacs-server key cisco
! Authentication 방법설정
Router(config)#aaa authentication login default group tacacs+ local
! Authorization 방법설정
Router(config)#aaa authorization exec default group tacacs+ local
Router(config)#aaa authorization commands 15 default group tacacs+ local
! Accounting 방법설정
Router(config)#aaa accounting exec default start-stop group tacacs+
Router(config)#aaa accounting command 15 default start-stop group tacacs+
3-3. 인증 적용
! Telnet or SSH 접속인증
Router(config)#line vty 0 4
Router(config-line)#login authentication default
! Console 접속인증
Router(config)#line console 0
Router(config-line)#login authentication default
>> AAA Config (Copy & Paste 용)
aaa new-model
!
tacacs-server host 100.10.2.200 single-connection
tacacs-server key cisco
!
aaa authentication login default group tacacs+ local
!
aaa authorization exec default group tacacs+ local
aaa authorization commands 15 default group tacacs+ local
!
aaa accounting exec default start-stop group tacacs+
aaa accounting command 15 default start-stop group tacacs+
!
line vty 0 4
login authentication default
>> debug를 통한 AAA 상태 확인하기
BR00#debug aaa authentication
AAA Authentication debugging is on
!
BR00#debug aaa authorization
AAA Authorization debugging is on
!
BR00#debug aaa accounting
AAA Accounting debugging is on
BR00#
Oct 24 12:50:09.206: AAA/AUTHOR: console user is permitted
Oct 24 12:50:31.362: AAA/BIND(00000003): Bind i/f
Oct 24 12:50:31.366: AAA/ACCT/EVENT/(00000003): CALL START
Oct 24 12:50:31.370: Getting session id for NET(00000003) : db=64886BBC
Oct 24 12:50:31.370: AAA/ACCT(00000000): add node, session 1
Oct 24 12:50:31.374: AAA/ACCT/NET(00000003): add, count 1
Oct 24 12:50:31.374: Getting session id for NONE(00000003) : db=64886BBC
Oct 24 12:50:31.378: AAA/AUTHEN/LOGIN (00000003): Pick method list 'default'
BR00#
Oct 24 12:50:37.394: AAA/AUTHOR (0x3): Pick method list 'default'
Oct 24 12:50:37.430: AAA/AUTHOR/EXEC(00000003): processing AV cmd=
Oct 24 12:50:37.430: AAA/AUTHOR/EXEC(00000003): processing AV priv-lvl=15
Oct 24 12:50:37.434: AAA/AUTHOR/EXEC(00000003): Authorization successful
Oct 24 12:50:37.438: AAA/ACCT/EXEC(00000003): Pick method list 'default'
Oct 24 12:50:37.438: AAA/ACCT/SETMLIST(00000003): Handle 0, mlist 64934CA8, Name default
Oct 24 12:50:37.442: Getting session id for EXEC(00000003) : db=64886BBC
Oct 24 12:50:37.442: AAA/ACCT(00000003): add common node to avl failed
Oct 24 12:50:37.446: AAA/ACCT/EXEC(00000003): add, count 2
BR00#
Oct 24 12:50:37.446: AAA/ACCT/EVENT/(00000003): EXEC UP
Oct 24 12:50:37.454: AAA/ACCT/EXEC(00000003): Queueing record is START
Oct 24 12:50:37.462: AAA/ACCT(00000003): Accouting method=tacacs+ (TACACS+)
Oct 24 12:50:37.614: AAA/ACCT/EXEC(00000003): START protocol reply PASS
Oct 24 12:50:37.618: AAA/ACCT(00000003): Send START accounting notification to EM successfully
BR00#
BR00#
Oct 24 12:52:22.422: AAA: parse name=tty66 idb type=-1 tty=-1
Oct 24 12:52:22.422: AAA: name=tty66 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=66 channel=0
Oct 24 12:52:22.426: AAA/MEMORY: create_user (0x6435D348) user='admin' ruser='BR00' ds0=0 port='tty66' rem_addr='100.10.1.2' authen_type=ASCII service=NONE priv=15 initial_task_id='0', vrf= (id=0)
Oct 24 12:52:22.430: tty66 AAA/AUTHOR/CMD(1313229115): Port='tty66' list='' service=CMD
Oct 24 12:52:22.430: AAA/AUTHOR/CMD: tty66(1313229115) user='admin'
Oct 24 12:52:22.434: tty66 AAA/AUTHOR/CMD(1313229115): send AV service=shell
Oct 24 12:52:22.434: tty66 AAA/AUTHOR/CMD(1313229115): send AV cmd=configure
Oct 24 12:52:22.438: tty66 AAA/AUTHOR/CMD(1313229115): send AV cmd-arg=terminal
Oct 24 12:52:22.442: tty66 AAA/AUTHOR/CMD(1313229115): send AV cmd-arg=<cr>
Oct 24 12:52:22.442: tty66 AAA/AUTHOR/CMD(1313229115): found list "default"
Oct 24 12:52:22.450: tty66 AAA/AUTHOR/CMD(1313229115): Method=tacacs+ (tacacs+)
Oct 24 12:52:22.454: AAA/AUTHOR/TAC+: (1313229115): user=admin
Oct 24 12:52:22.454: AAA/AUTHOR/TAC+: (1313229115): send AV service=shell
Oct 24 12:52:22.458: AAA/AUTHOR/TAC+: (1313229115): send AV cmd=configure
Oct 24 12:52:22.458: AAA/AUTHOR/TAC+: (1313229115): send AV cmd-arg=terminal
Oct 24 12:52:22.458: AAA/AUTHOR/TAC+: (1313229115): send AV cmd-arg=<cr>
Oct 24 12:52:22.662: TAC+: (1313229115): received author response status = PASS_ADD
Oct 24 12:52:22.666: AAA/AUTHOR (1313229115): Post authorization status = PASS_ADD
Microsoft Office OneNote 2007을 사용하여 작성했습니다.
모든 노트 및 정보를 한 곳에서 볼 수 있습니다.
