Аутентификация, авторизация и учет, также известные как AAA, необходимы для управления безопасностью входа на маршрутизаторы и коммутаторы. Многие люди, которые реализуют AAA, могут не в полной мере понимать команды, которые они используют в конфигурации маршрутизатора. Вместо этого они часто копируют конфигурации AAA с другого рабочего устройства без особых раздумий. Однако важно понять цель этих команд и рассмотреть вопрос о Том, является ли ааа необходимым и как его эффективно осуществлять. В этой статье мы рассмотрим некоторые лучшие практики для настройки AAA.

Если вы работаете в среде, которая использует AAA, то, скорее всего, на ваших устройствах установлен сервер TACACS+ или ACS. AAA работает вместе с TACACS+ для обеспечения безопасности входа. Он определяет, кто может войти в систему (аутентификация), какие действия они уполномочены выполнять (авторизация), и отслеживает используемые команды (учет).

Недавно я сотрудничал с Cisco в создании лучших практик настройки AAA на маршрутизаторе. Вот что мы придумали:

Ааа новая модель

Aaa аутентификация логина по умолчанию группа tacacs+ local

Aaa аутентификация включает групповое включение tacacs+ по умолчанию

Команды конфигурации авторизации aaa

Aaa авторизация exec по умолчанию группа tacacs+ local if-authenticated

Команды авторизации aaa по умолчанию 1 группа tacacs+ if-authenticated

Команды авторизации aaa по умолчанию 15 групп tacacs+ local if-authenticated

Aaa accounting exec default start-stop group tacacs+

Aaa бухгалтерские команды 1 по умолчанию start-stop group tacacs+

Aaa бухгалтерские команды 15 по умолчанию start-stop group tacacs+

Некоторые конфигурации маршрутизатора могут показаться более пугающими, чем другие, и AAA определенно одна из них. Но don' т беспокойство, we' разрушу его, и ты и ты#39; вот увидите это#39; это не так сложно, как кажется.

Так что let's посмотрите на каждую строку по очереди...

Ааа новая модель

Эта линия просто позволяет AAA на маршрутизаторе.

Aaa аутентификация логина по умолчанию группа tacacs+ local

Здесь, мы 're говоря, что для аутентификации входа, мы должны использовать группу по умолчанию, которая называется tacacs+. Если tacacs+ не удается, то мы '. Используйте учетную запись локального пользователя, настроенную на маршрутизаторе. (то и другое)#39;s почему это ' важно, чтобы на маршрутизаторе был настроен локальный пользователь.

Aaa аутентификация включает групповое включение tacacs+ по умолчанию

Для включения режима аутентификации, we' повторно использовать группу по умолчанию tacacs+ (обратите внимание, что we&.#39; здесь не используется локальное ключевое слово. Это объясняется тем, что локально определенный пользователь будет указывать требуемый уровень авторизации. Например, уровень 15 получает режим включения.

Команды конфигурации авторизации aaa

Эта строка говорит нам, что мы хотим проверить с TACACS+, чтобы разрешить переход в режим config.

Aaa авторизация exec по умолчанию группа tacacs+ local if-authenticated

Обратите внимание на "if-authenticated" Ключевое слово в конце этой строки. Это означает, что если мы аутентифицированы, то сразу же попадем в режим exec (enable).

Команды авторизации aaa по умолчанию 1 группа tacacs+ if-authenticated

В качестве передовой практики Cisco рекомендует настроить авторизацию для каждого уровня доступа пользователя к сетевым устройствам. В этой команде мы разрешаем пользователям уровня 1, что эквивалентно невключенному режиму. Должен быть настроен запасной метод, например локальный пользователь. Это также требует использования tacacs+.

Команды авторизации aaa по умолчанию 15 групп tacacs+ local if-authenticated

Здесь мы разрешаем пользователям уровня 15 против tacacs+. Если tacacs+ не доступен, то используется учетная запись локального пользователя. В случае аутентификации пользователь будет немедленно переведен в режим exec/enable.

Aaa accounting exec default start-stop group tacacs+

Включение отчетности ааа для каждого уровня команд обеспечивает ответственность за использование привилегированных команд на маршрутизаторе. Льготные уровни варьируются от 1 до 15, причем 15 из них являются самыми высокими. Некоторые организации, возможно, пожелают внедрить дополнительные уровни команд, где уровень 1 может быть для справочной службы и уровень 15 для сетевых администраторов.

Aaa бухгалтерские команды 1 по умолчанию start-stop group tacacs+

Это факультативная команда с точки зрения наилучшей практики, но она обеспечивает подотчетность или отслеживание деятельности пользователей, даже если они вошли в систему только (не в режиме exec/enable).

Aaa бухгалтерские команды 15 по умолчанию start-stop group tacacs+

Эта команда обеспечивает учет администраторов или пользователей с привилегиями уровня 15.

... И что ', вот оно! - вот видишь? Как только вы пройдете через каждую линию, it' не так уж и сложно. Самой большой проблемой является понимание сложной командной структуры Cisco.

Я надеюсь, что этот срыв помог прояснить кое-что.

До следующего раза-урод!