AAA服务器在网络管理方面主要用于服务器、网络设备的认证,比如我们常用的CISCO ACS系统,通过 AAA服务器可以把登录设备的帐号统一到AAA系统上进行管理!
另外AAA系统还可以授权记帐,TACACS协议可以限制用户登录设备的级别、可执行的命令,但是RADIUS协议只能限制用户登录的级别,RADIUS协议没有CMD属性,无法限制命令。
堡垒机一般又叫小4A,是集认证、授权、审计、分析与一体的安全设备,我前期测试过多个厂商的堡垒机部分堡垒机有3A功能,这样的好处是可以把网络设备的帐号集中管理起来。
麒麟开源堡垒机3A的测试出了一个问题,不支持TACACS,所以无法做命令的限制,不过这一问题可以通过堡垒机的命令列表识现。
我上线步骤如下:
- 建立Radius帐号,Radius帐号为网络设备登录时的认证帐号,在菜单资源管理-资产管理-Radius用户里创建
2. 点击创建按钮,可以弹出新建RADIUS帐号的菜单,其中用户名密码等关键部分必须添加
Cisco授权级别,指登录Cisco设备时的enable级别,为0到15级中的任意一组
神码交换机级别,指登录神码交换机时是否为enable级别,如果勾选了登录神码交换机时直接为enable级别
华为授权级别,针对华为、H3C设备,登录时具有的4级权限
3. 创建了Radius帐户后,还需要将这个帐号绑定在相应的网络设备资产上,否则这个RADIUS帐号不可用,这个帐号绑定到哪个资产设备上,就可以使用这个帐号登录到哪个资产设备
在资源管理-资产管理-设备管理菜单,找到相应的网络设备,点用户菜单,弹出用户管理界面
进入用户编辑界面后,点击添加新用户按钮,可以弹出新加用户的界面
在新建用户的界面勾上RADIUS用户认证的复选,在上方的请选择中即可以下拉出在本文档第一步添加的所有的radius帐号
选择相应的帐号,选择好登录方式后,点保存修改按钮,即完成绑定,这个RADIUS用户就可以在这台设备上登录了
如果需要导入,则在EXCEL列表里将堡垒机用户这一项设置为是,其它项不需要修改
Radius的通讯字符串默认为freesvr,可以登录到后台进行修改,配置文件为:
/opt/freesvr/auth/etc/raddb/clients.conf
网络设备配置模版:
H3C配置模版(旧机器):
1.建立一个radius scheme,其中bris为scheme名称,可以随意定
radius scheme bris
server-type standard (标准模式不授权,扩展模式授权)
primary authentication 118.186.17.101
accounting optional
keyauthentication freesvr
user-name-format without-domain //堡垒机登录需要配置为user-name-formatwith-domain
#
2.建立一个域,其中bris为域名,可以随意写,将上面的bris模版与这个域绑定起来
domain bris
scheme radius-scheme bris
domain system
3.设置vty允许telnet登录
user-interface vty 0 4
authentication-mode scheme
4.注意,h3c交换机登录时,必须用[email protected]模式,其中username是在3A系统里建立的用户名,domain为第2步配置的域名,比如,我在3A服务器上建立一个test的用户,则在本例中,使用[email protected]进行登录
H3C(新机器)
指定用户哪些个域做认证(这部最后配置)
domain default enable radius
配置视图
radius scheme h3c
primary authentication 10.68.1.217
primary accounting 10.68.1.217
keyauthentication freesvr
keyaccounting freesvr
user-name-format without-domain
配置认证域,注意域名要与头一行相同
domain radius
authentication login radius-scheme h3c local
access-limit disable
state active
idle-cut disable
self-service-url disable
Cisco设备配置模版
1.建立一个用户
Username test password test
建立一个本地用户(一定要建立,不然当radius失效时,会无法通过本地认证登陆到设备)
2配置3A服务器
aaa new-model
aaa authentication login default groupradius local
aaa authorization exec default group radiuslocal
aaa accounting exec default start-stopgroup radius
ip radius source-interface loopback0
radius-server host 118.186.17.101 auth-port1812 acct-port 1813 key freesvr
华为配置模版
建本地用户(如果用户已经有了可以不建,不然RADIUS挂了本地登录不了)
aaa
local-user huawei password cipherhuawei.123
local-user huawei service-type ssh (这里,如果是telnet)local-user huawei service-type telnet
建立一个配置模版,需要修改的是radius ip:
radius-server template cisco
radius-server shared-key freesvr
radius-server authentication 199.1.20.41812
radius-server authentication 199.1.20.51812 secondary
radius-server accounting 199.1.20.4 1813
radius-server accounting 199.1.20.5 1813secondary
radius-server retransmit 2
undo radius-server user-namedomain-included
建立一个认证视图
authentication-scheme aaarenzheng
authentication-mode radius local
建立一个记帐视图
accounting-scheme aaaacounting
accounting-mode radius
accounting start-fail online
将认证视图绑定在default_admin域
domain default_admin
authentication-scheme aaarenzheng
radius-server cisco