在一些大型企業(yè)中,管理員希望通過TACACS+或RADIUS服務(wù)器對各種網(wǎng)絡(luò)設(shè)備的管理接入進(jìn)行AAA認(rèn)證,以實現(xiàn)對管理員帳號的集中管理。A10的AX系列負(fù)載均衡交換機支持這兩種常見的認(rèn)證方式。
由于TACACS+是Cisco的一個私有協(xié)議,因此,如果希望實現(xiàn)對管理員命令行操作的授權(quán)訪問,需要在TACACS+上進(jìn)行進(jìn)一步的配置。因此,本文除了介紹如何在AX上配置實現(xiàn)TACACS+的AAA認(rèn)證,還將介紹如何在Cisco的ACS服務(wù)器上配置實現(xiàn)AX的授權(quán)訪問。
1. AX的AAA基本功能介紹
通常情況下,我們所說的AAA是三個英文單詞的縮寫,分別是:認(rèn)證(Authentication)、授權(quán)(Authorization)和審計(Accounting)。下面將分別進(jìn)行介紹:
1.1 認(rèn)證(Authentication)
在默認(rèn)情況下,當(dāng)管理賬戶需要登陸到AX設(shè)備時,AX設(shè)備根據(jù)用戶輸入的用戶名和密碼檢查本地的管理員數(shù)據(jù)庫。如果輸入的用戶名和密碼在本地數(shù)據(jù)庫中,則登陸成功,否則,登陸用戶被拒絕訪問。
我們可以為AX設(shè)備配置一個外部的TACACS+服務(wù)器,用于管理賬戶的認(rèn)證。在這種情況下,AX仍然會優(yōu)先檢查本地數(shù)據(jù)庫,以進(jìn)行認(rèn)證。
如果AX設(shè)備的本地管理員數(shù)據(jù)庫有這個用戶名和密碼,則用戶通過認(rèn)證,獲得訪問系統(tǒng)的權(quán)限。
如果AX設(shè)備的本地管理員數(shù)據(jù)庫有這個用戶名,但密碼錯誤,則AX設(shè)備會拒絕該訪問。
如果AX設(shè)備的本地管理員數(shù)據(jù)庫沒有這個用戶名,并且配置了TACACS+服務(wù)器,則AX采用這些服務(wù)器上的數(shù)據(jù)庫進(jìn)行認(rèn)證。
1.2 授權(quán)(Authorization)
在AX上配置TACACS+授權(quán)時,可以授權(quán)管理帳號執(zhí)行以下幾個級別的CLI命令。
15(admin):允許執(zhí)行所有級別的CLI命令。
14(config):可以執(zhí)行除了修改管理員賬號的其他CLI命令。
1(Privileged EXEC):可以執(zhí)行特權(quán)模式或用戶模式下的所有命令。
0(User EXEC):可以執(zhí)行用戶模式下的所有命令。
注:配置為2-13等同于1這個級別。
1.3 審計(Accounting)
你可以為AX設(shè)備配置外部TACACS+服務(wù)器實現(xiàn)審計功能。通過審計功能,你可以追蹤管理帳號登陸以后的所有活動。你可以配置以下審計內(nèi)容:
Login/Logoff 活動
命令
你可以配置以下幾個級別的審計,來追蹤管理員執(zhí)行命令的情況:
15(admin):審計所有級別的CLI命令的執(zhí)行情況。
14(config):審計除了修改管理員賬號的其他CLI命令。
1(Privileged EXEC):審計特權(quán)模式或用戶模式下的所有命令。
0(User EXEC):審計用戶模式下的所有命令。
2. 為AX配置TACACS+的AAA認(rèn)證
為AX配置TACACS+的AAA的方式很簡單,只需要幾條命令即可實現(xiàn)。基本上,配置命令可以簡單的分為幾個部分:
1) 在AX上配置TACACS+服務(wù)器信息。通常情況下,建議配置第二臺TACACS+作為備份服務(wù)器。
tacacs-server host 192.168.103.101 secret tacacs_secret //設(shè)定TACACS+服務(wù)器,及共享密鑰
authentication type local tacplus //設(shè)定認(rèn)證服務(wù)器類型
2) 配置是否需要進(jìn)行授權(quán)控制。
authorization commands 15 method tacplus //設(shè)定授權(quán)的命令行等級
3) 配置審計方式和內(nèi)容。
accounting exec start-stop tacplus //設(shè)定審計管理帳號login/logoff行為
accounting commands 15 stop-only tacplus //設(shè)定對命令行的審計等級
3. Cisco ACS服務(wù)器上的配置方式
由于TACACS+是Cisco的私有協(xié)議,因此,在默認(rèn)配置方式下,如果在AX上配置了授權(quán)(Authorization)控制,需要在TACACS+上進(jìn)行一些額外的配置,以實現(xiàn)對AX的授權(quán)控制。否則,AX上可能會出現(xiàn)類似以下的告警日志:
Nov 30 2011 17:43:53 Error [SYSTEM]:tacplus_read_response: authorization failed with TACACS+ server 192.168.103.101
以下以Cisco ACS 4.2為例,說明TACACS+的配置方式:
1) 在“Shared Profile Components”下,設(shè)置“Shell Command Authorization Set”。
在“Unmatched Commands”中,如果默認(rèn)拒絕執(zhí)行所有命令,你需要將允許執(zhí)行的命令添加至列表中,并選擇“Permit Unmatched Args”。
2) 在“Network Configuration”中,將AX添加為“AAA Clients”。
如上圖所示,你需要指定AX的管理地址及共享密鑰。添加后,選擇“Submit+Apply”,以使配置生效。
3) 在“Group Setup”中,選擇相應(yīng)的組并按照下圖對組設(shè)置進(jìn)行編輯。
4) 將管理帳號與組進(jìn)行關(guān)聯(lián)。
至此,完成ACS上的TACACS+配置。
京公網(wǎng)安備 11010502049343號