关于思科的AAA 认证

Posted 2023-04-12

aaa authentication login test tacace+和aaa authenticatin default group tacace+ 据我理解 第二句中group也是一个method?求解达，如果是一个Method,想知道意思，区别那些

其实我不懂你问的问题 这是是我书上的内容

作用是减轻网络威胁的
AAA(authentication，authorization，accounting)一组有三个服务（认证，授权，统计）组成的可与tacacs或RAFIUS一同使用的用来提供带有用户活动记录的网络连接和保障技术。
authentication（认证）通过登入的用户的用户名和口令确认用户的合法性。
authorization（授权）确认用户在系统中所允许执行的操作。
accounting（统计）集中并发送系统使用状况的信息。 参考技术A 。。。。。。。。。

AAA 命令授权

运行Cisco IOS软件的思科设备提2种授权方式:

1.级别授权 (Enable priviledges)  

2.命令授权   Shell（exec）

 

 

Cisco IOS软件有16个特权级别，即0到15 ，比如说等级1只有一些基本的show命令等，而等级15是全部命令的集合。其他像2~14共13个等级的命令集是要用户自己在认证设备本地定义的。

 

缺省级别：

 

特权级别

说明

0 包括disable, enable, exit, help和logout命令

1 包括router>提示值时的所有用户级命令

15 包括router#提示值时的所有启用级命令

 

 

 

权限等级应用实例

网络管理员角色需求：

 

定义一个只读权限帐号，等级为level5；

定义一个能修改interface的权限帐号，等级为level10.

根据上面阐述，权限等级2~14等级必须在IOS上面配置必要的命令集配置，所以在交换机配置命令集如下：

 

AAA配置：

 

aaa new-model

aaa authentication login default group tacacs+ local none

aaa authorization config-commands //针对(config)#下命令集中授权

aaa authorization exec default group tacacs+ local none

aaa authorization commands 1 default group tacacs+ local none

aaa authorization commands 5 default group tacacs+ local none

aaa authorization commands 10 default group tacacs+ local none

aaa authorization commands 15 default group tacacs+ local none

aaa accounting exec default start-stop group tacacs+

aaa accounting commands 1 default start-stop group tacacs+

aaa accounting commands 5 default start-stop group tacacs+

aaa accounting commands 10 default start-stop group tacacs+

aaa accounting commands 15 default start-stop group tacacs+

 

权限等级命令集配置：

 

privilege exec level 5 show start

privilege exec level 10 configure

privilege exec level 10 write

privilege configure level 10 interface

privilege interface level 10 shutdown

privilege interface level 10 switchport access vlan

tacacs-server host a.b.c.d

tacacs-server key ******