测试目的:通过AAA,实现用户级的授权
测试环境:TACACS+ ,1720路由器
测试过程:
实验一:用本地(LOCAL)方法进行验证和授权
配置文件:
version 12.1
!
hostname Router
!
aaa new-model
aaa authentication login myaaa group local !配置授权
aaa authorization exec myauth group local !配置认证
!
username user10 privilege 10 password 0 user10 !给用户分配级别
!
!
privilege exec level 10 ping !给命令分配级别
privilege exec level 10 show frame-relay
privilege exec level 10 traceroute
!
line con 0
transport input none
line aux 0
line vty 0 4
authorization exec myauth !选择TELNET的授权方式
login authentication myaaa !选择TELNET的认证方式
!
no scheduler allocate
end
实验结果:用户user10登录后级别是10,可以执行PING,SHOW FRAME-RELAY,TRACEROUTE命令。更高级别的用户才可执行其它的命令。另外通过仔细配置privilege命令,可以进一步细分命令权限。如:可以SHOW FRAME-RELAY不可以SHOW X25。
aaa的配制命令随IOS版本不同略有差异,在12.0.5以上的版本,用aaa authentication login myaaa group tacacs+ local命令,在12.0.5以下的版本用aaa authentication login myaaa tacacs+ local
可以用PRIVILEGE命令调整命令级别。不过容易出错。在测试过程中,发现如果将一条命令调级,其相应的子命令也自动调整到相映的级别。如:调整show ip route的级别后,show ip ,show的级别也自动调整,很容易出错。另外,可能是IOS BUG的原因,一些PRIVILEGE命令虽然起作用了,但在show run时却没有显示出来。
测试说明,用local的方法,可以实现用户级的命令权限的设定,优点是不用配置复杂的TACACS+服务器,成本低。缺点是需要在每一台设备上单独配置,工作量大,不易集中管理,而且在某些版本的IOS中有BUG,容易出错。
实验二:用TACSCS+进行验证和授权
version 12.1
!
hostname Router
!
aaa new-model
aaa authentication login myaaa group tacacs+
aaa authorization exec myauth group tacacs+
!
!
line con 0
transport input none
line aux 0
line vty 0 4
authorization exec myauth
login authentication myaaa
!
no scheduler allocate
end
实验结果:通过TACACS+可以非常灵活地对AAA进行设定,完成复杂的策略。除了在local实现功能外,还可以快速的对大量用户进行用户级或组一级的设置和管理。提供报表功能,时间策略等。TACACS+设置很容易掌握,WEB控制界面很友好。缺点是需要购买ACS服务器。