AAA功能部署和测试----麒麟开源堡垒机功能篇之二

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了AAA功能部署和测试----麒麟开源堡垒机功能篇之二相关的知识,希望对你有一定的参考价值。

    AAA服务器在网络管理方面主要用于服务器、网络设备的认证,比如我们常用的CISCO ACS系统,通过 AAA服务器可以把登录设备的帐号统一到AAA系统上进行管理!

   另外AAA系统还可以授权记帐,TACACS协议可以限制用户登录设备的级别、可执行的命令,但是RADIUS协议只能限制用户登录的级别,RADIUS协议没有CMD属性,无法限制命令。

   堡垒机一般又叫小4A,是集认证、授权、审计、分析与一体的安全设备,我前期测试过多个厂商的堡垒机部分堡垒机有3A功能,这样的好处是可以把网络设备的帐号集中管理起来。

    麒麟开源堡垒机3A的测试出了一个问题,不支持TACACS,所以无法做命令的限制,不过这一问题可以通过堡垒机的命令列表识现。

    我上线步骤如下:

  1. 建立Radius帐号,Radius帐号为网络设备登录时的认证帐号,在菜单资源管理-资产管理-Radius用户里创建

技术分享

2. 点击创建按钮,可以弹出新建RADIUS帐号的菜单,其中用户名密码等关键部分必须添加

Cisco授权级别,指登录Cisco设备时的enable级别,为015级中的任意一组

神码交换机级别,指登录神码交换机时是否为enable级别,如果勾选了登录神码交换机时直接为enable级别

华为授权级别,针对华为、H3C设备,登录时具有的4级权限

技术分享

3. 创建了Radius帐户后,还需要将这个帐号绑定在相应的网络设备资产上,否则这个RADIUS帐号不可用,这个帐号绑定到哪个资产设备上,就可以使用这个帐号登录到哪个资产设备

在资源管理-资产管理-设备管理菜单,找到相应的网络设备,点用户菜单,弹出用户管理界面

技术分享

进入用户编辑界面后,点击添加新用户按钮,可以弹出新加用户的界面

技术分享

在新建用户的界面勾上RADIUS用户认证的复选,在上方的请选择中即可以下拉出在本文档第一步添加的所有的radius帐号


技术分享

技术分享

选择相应的帐号,选择好登录方式后,点保存修改按钮,即完成绑定,这个RADIUS用户就可以在这台设备上登录了

如果需要导入,则在EXCEL列表里将堡垒机用户这一项设置为是,其它项不需要修改

技术分享

Radius的通讯字符串默认为freesvr,可以登录到后台进行修改,配置文件为:

/opt/freesvr/auth/etc/raddb/clients.conf

技术分享

 

网络设备配置模版:

H3C配置模版(旧机器):

1.建立一个radius scheme,其中brisscheme名称,可以随意定

radius scheme bris

 server-type standard  (标准模式不授权,扩展模式授权)

 primary authentication 118.186.17.101

 accounting optional

 keyauthentication freesvr

 user-name-format without-domain  //堡垒机登录需要配置为user-name-formatwith-domain

#

 

2.建立一个域,其中bris为域名,可以随意写,将上面的bris模版与这个域绑定起来

domain bris

 scheme radius-scheme bris

domain system

 

 

3.设置vty允许telnet登录

user-interface vty 0 4

 authentication-mode scheme

 

4.注意,h3c交换机登录时,必须用[email protected]模式,其中username是在3A系统里建立的用户名,domain为第2步配置的域名,比如,我在3A服务器上建立一个test的用户,则在本例中,使用[email protected]进行登录

 

 

H3C(新机器)

指定用户哪些个域做认证(这部最后配置)

domain default enable radius

 

配置视图

radius scheme h3c

 primary authentication 10.68.1.217

 primary accounting 10.68.1.217

 keyauthentication freesvr

 keyaccounting freesvr

 user-name-format without-domain

 

配置认证域,注意域名要与头一行相同

domain radius

 authentication login radius-scheme h3c local

 access-limit disable

 state active  

 idle-cut disable

 self-service-url disable

 

 

Cisco设备配置模版

 

1.建立一个用户

Username test password test

建立一个本地用户(一定要建立,不然当radius失效时,会无法通过本地认证登陆到设备)

 

2配置3A服务器

aaa new-model

aaa authentication login default groupradius local

aaa authorization exec default group radiuslocal

aaa accounting exec default start-stopgroup radius

ip radius source-interface loopback0

radius-server host 118.186.17.101 auth-port1812 acct-port 1813 key freesvr

 

 

 

华为配置模版

建本地用户(如果用户已经有了可以不建,不然RADIUS挂了本地登录不了)

aaa

 

local-user huawei password cipherhuawei.123

local-user huawei service-type ssh    (这里,如果是telnet)local-user huawei service-type telnet

 

 

 

 

 

建立一个配置模版,需要修改的是radius ip

 

radius-server template cisco

 

radius-server shared-key freesvr

radius-server authentication 199.1.20.41812

radius-server authentication 199.1.20.51812 secondary

radius-server accounting  199.1.20.4 1813

radius-server accounting 199.1.20.5 1813secondary

radius-server retransmit 2

undo radius-server user-namedomain-included

 

 

 

建立一个认证视图

authentication-scheme aaarenzheng

authentication-mode radius local

 

 

建立一个记帐视图

accounting-scheme aaaacounting

accounting-mode radius

accounting start-fail online

 

 

将认证视图绑定在default_admin

domain default_admin

authentication-scheme aaarenzheng

radius-server cisco


以上是关于AAA功能部署和测试----麒麟开源堡垒机功能篇之二的主要内容,如果未能解决你的问题,请参考以下文章

堡垒机-麒麟开源堡垒机 v1.31 版本发布

麒麟开源堡垒机功能版本说明及升级方式说明

堡垒机-麒麟开源堡垒机 V 1.3 正式发布

ftp/sftp不使用webportal直接登录到目标系统设置文档-麒麟开源堡垒机技术文档之一

堡垒机-麒麟开源堡垒机帐号同步模块使用说明和测试手册

开源堡垒机真的完全免费吗?