4.1 用户登录集中鉴权
提问 使用集中的鉴权方式对用户登录设备进行控制
回答
Router1#configure terminal
Enter configuration commands,one per line.End with CNTL/Z.
Router1(config)#aaa new-model
Router1(config)#aaa authentication login default group tacacs+
Router1(config)#aaa authentication enable default group tacacs+
Router1(config)#tacacs-server host 172.25.1.1
Router1(config)#tacacs-server key COOKBOOK
Router1(config)#end
Router1#
注释 部署集中化鉴权就不需要在每台设备上配置用户名密码了,改密码也变得简单了
4.2 限制特定命令的执行权限
提问 对设备可执行命令权限进行基于用户的授权
回答
Router1#configure terminal
Enter configuration commands,one per line.End with CNTL/Z.
Router1(config)#aaa new-model
Router1(config)#aaa authorization exec default group tacacs+
Router1(config)#aaa authorization commands 15 default group tacacs+
Router1(config)#tacacs-server host 172.25.1.1
Router1(config)#tacacs-server key neoshi
Router1(config)#end
Router1#
注释 无
4.3 TACACS+服务器无法访问
提问 防止出现TACACS+服务器故障导致所有用户都不能登录
回答
Router1#configure terminal
Enter configuration commands,one per line.End with CNTL/Z.
Router1(config)#aaa new-model
Router1(config)#aaa authentication login default group tacacs+ enable
Router1(config)#aaa authentication enable default group tacacs+ enable
Router1(config)#aaa authorization commands 15 default group tacacs+ if-authenticated
Router1(config)#tacacs-server host 172.25.1.1
Router1(config)#tacacs-server key COOKBOOK
Router1(config)#end
Router1#
注释 在认证服务器出现故障的情况下使用enable密码作为备份,同时建议使用if-authenticated参数在你配置授权的时候
4.4 在特定端口禁用TACACS+鉴权
提问 为了方便禁止在控制口使用TACACS+鉴权
回答
Router1#configure terminal
Enter configuration commands,one per line.End with CNTL/Z.
Router1(config)#aaa new-model
Router1(config)#aaa authentication login default group tacacs+ local
Router1(config)#aaa authentication login NEOSHI line
Router1(config)#line con 0
Router1(config-line)#login authentication NEOSHI
Router1(config-line)#end
Router1#
注释
4.5 记录用户行为
提问 记录用户输入的配置命令和时间
回答
Router1#configure terminal
Enter configuration commands,one per line.End with CNTL/Z.
Router1(config)#aaa new-model
Router1(config)#aaa accounting commands 1 default stop-only group tacacs+
Router1(config)#aaa accounting commands 15 default stop-only group tacacs+
Router1(config)#end
Router1#
注释 下面是一条日志记录,很详尽吧
Fri Jan 3 11:08:47 2006 toronto ijbrown tty66 172.25.1.1 stop task_id=512
start_time=1041610127 timezone=EST service=shell priv-lvl=15 cmd=configure
4.6 记录系统事件
提问 记录系统事件
回答
Router1#configure terminal
Enter configuration commands,one per line.End with CNTL/Z.
Router1(config)#aaa new-model
Router1(config)#aaa accounting exec default start-stop group tacacs+
Router1(config)#aaa accounting exec connection default start-stop group tacacs+
Router1(config)#aaa accounting system default stop-only group tacacs+
Router1(config)#end
Router1#
注释 除了可以记录用户输入命令以外还提供了exec(用户开始和中止exec回话的事件记录),connection(用户发起外部连接的时间,地址,数据包 多少等信息记录比如telnet ssh等)和system(系统重启,禁用AAA等系统信息)等三种系统事件的记录
4.7 设置TACACS+消息的源地址
提问 发送TACACS+消息时只使用特定的源地址
回答
Router1#configure terminal
Enter configuration commands,one per line.End with CNTL/Z.
Router1(config)#ip tacacs source-interface Loopback0
Router1(config)#end
Router1#
注释 所有本设备的记录都来自于同一地址方便对日志进行汇总和统计
<!--[if !supportLists]-->4.8. <!--[endif]-->TACACS+服务器配置文件样本
注释 可以使用思科免费的TACACS+服务器也可以使用商业的服务器,配置方式略
- 北京机房搬迁改造公司,系统集成有哪些公司?-2019-11-04
- 如何打造一个安全的网络环境?政府要做到这四点-2019-11-04
- 北京办公室网络布线,综合布线施工价格-2019-11-04
- 深信服产品专业上网行为管理,安全设备有保障-2019-11-04
- 两年内网络安全市场规模将达千亿级别?来看看详细分析-2019-11-04
- 北京炫亿时代专业机房设备除尘,机房网络改造-2019-11-04
- 企业如何保障移动办公的安全性?移动办公存在的七大安-2019-11-01
- 北京深信服AC-1000-A400产品租赁购买,专业IT上网行为管理-2019-11-01
- 互联网企业软件开发如何才能没有漏洞?专业工程师给出-2019-11-01
- 如何避免APP的“越权”行为?要靠制定相关法律法规-2019-11-01
企业通讯
