ACS5.x的认证、授权、审计

基本配置:

R1:202.100.1.1

R2:202.100.1.2

PC:202.100.1.99

ACS:202.100.1.100

####################################

认证:

Step1:启用AAA、线下保护指定AAAServer

R1(config)#aaa new-model   // 启用AAA

R1(config)#aaa authentication login noacs line
none

R1(config)#line con 0

R1(config-line)#login
authentication noacs

R1(config)#line aux 0

R1(config-line)#login
authentication noacs

R1(config)#line vty 0 5

R1(config-line)#login authentication noacs  // 线下保护

新版IOS的指定server方式

R1(config)#tacacs server ACS5.4

R1(config-server-tacacs)#address
ipv4 202.100.1.100

R1(config-server-tacacs)#key
cisco123

R1(config)#aaa group server tacacs+ 3A    // 创建组

R1(config-sg-tacacs+)#server
name ACS5.4

R1(config-sg-tacacs+)#end

老版IOS的指定server方式

R1(config)#tacacs-server host 202.100.1.100 key cisco123  // 一条命令即可

R1(config)#aaa group server tacacs+ 3A    // 创建组

R1(config-sg-tacacs+)#server 202.100.1.100

Step2:ACS指定AAA Client

Step3:ACS创建用户组与用户

Step4:AAA Client测试和定义认证策略

R1#test aaa group 3A user1 cisco123 new-code

Sending password

User successfully authenticated

R1(config)#aaa authentication login VTY group 3A

R1(config)#line vty 0 5

R1(config-line)#login authentication VTY

####################################

级别授权:

Step1:AAA Server定义Exec授权Profile

Step2:AAA Server 定义授权策略

Step3:AAA Client启用exec授权

R1(config)#aaa authorization exec VTY-Level-5 group 3A

R1(config)#line vty 0 5

R1(config-line)#authorization exec VTY-Level-5

####################################

命令行授权:

  • 命令授权需要先在路由器本地做privilege,不能只在ACS配commandsets(不同于级别授权)可以理解为对于某个特定级别的用户输入的命令来说,首先要路由器开放这些命令,之后才是ACS是否许可执行这些命令的权限。如果路由器都没有开放,ACS单方面许可是无效的
  • config模式命令默认不检查授权。ACS只需要授权一个configure terminal,然后路由器上只要privilege过的config模式下命令,全都可以用;aaa authorization config-commands所有config模式下命令都需要ACS给予授权才可用

Step1:AAA Client开放命令

R1(config)#privilege configure all level 5 router

// 表示在路由器上5级别开放所有router命令,这是必须的

Step2:AAA Client启用config-command授权

R1(config)#aaa authorization config-commands

R1(config)#aaa authorization commands 5 VTY-COM group 3A

R1(config)#line vty 0 5

R1(config-line)#authorization commands 5 VTY-COM

Step3:AAA Server上定义Commands

Step4:AAA Server修改授权策略

####################################

级别审计:

R1(config)#aaa accounting exec VTY-ACC start-stop group 3A

R1(config)#line vty 0 5

R1(config-line)#accounting exec VTY-ACC

####################################

命令行审计:

R1(config)#aaa accounting commands 0 VTY-COM-ACC start-stop group 3A

R1(config)#aaa accounting commands 1 VTY-COM-ACC start-stop group 3A

R1(config)#aaa accounting commands 5 VTY-COM-ACC start-stop group 3A

R1(config)#line vty 0 5

R1(config)#accounting commands 0 VTY-COM-ACC

R1(config)#accounting commands 1 VTY-COM-ACC

R1(config)#accounting commands 5 VTY-COM-ACC

// 对5级做审计,应同时对更低级别都做审计

时间: 2024-09-26 22:22:08

ACS5.x的认证、授权、审计的相关文章

使用Owin中间件搭建OAuth2.0认证授权服务器

前言 这里主要总结下本人最近半个月关于搭建OAuth2.0服务器工作的经验.至于为何需要OAuth2.0.为何是Owin.什么是Owin等问题,不再赘述.我假定读者是使用Asp.Net,并需要搭建OAuth2.0服务器,对于涉及的Asp.Net Identity(Claims Based Authentication).Owin.OAuth2.0等知识点已有基本了解.若不了解,请先参考以下文章: MVC5 - ASP.NET Identity登录原理 - Claims-based认证和OWIN

[认证授权] 3.基于OAuth2的认证(译)

OAuth 2.0 规范定义了一个授权(delegation)协议,对于使用Web的应用程序和API在网络上传递授权决策非常有用.OAuth被用在各钟各样的应用程序中,包括提供用户认证的机制.这导致许多的开发者和API提供者得出一个OAuth本身是一个认证协议的错误结论,并将其错误的使用于此.让我们再次明确的指出: OAuth2.0 不是认证协议. 混乱的根源来自于在认证协议的内部实际上使用了OAuth,开发人员看到OAuth组件并与OAuth流程进行交互,并假设通过简单地使用OAuth,他们就

统一认证授权及单点登录的技术选择

主要认证授权技术 LtpaToken全称:IBM Lightweight Third-Party Authentication.是一个羽量的token生成规则,作用有点像OAUTH2.0的第四种规则Client Credentials,即直接产生Access Token一个非常灵活的认证规则,轻量级用户单点登录,适用于简单实现几个类,实现统一算法的URL登陆跳转. OAUTH2.0OAUTH2.0协议在第三方调用开发上比较简单,比较轻量级,各个语言的支持非常丰富,认证类型有4种,可以比较灵活的选

angularjs+webapi2 跨域Basic 认证授权(一)

如今的app,利用各种前端框架结合html5的混合开发模式已然盛极一时.其中ionic+angularjs更是如日中天.这种模式利用angularjs $http 请求数据api 以达到前后端分离深得人心.说到webapi 跨域和认证授权始终是不得不提的.这种现成的例子有很多,但我发现的要么是过于复杂,不利于第一次有效理解整个过程:要么就是侧重点比较单一,不好囊括:要么就是其中有些坑没有踩到,换个环境就一头雾水. 所以,我打算以最简单的实现方式最大限度地寻找其中的一些坑和注意点. 1.来看看我们

OAuth 2.0 认证授权

其实之前自己做的微信服务号的绑定登录也就是个OAuth认证授权 简单看下第三方使用OAuth做认证授权的过程:(取自网络,带图的大家应该都喜欢~) 第一步:用户登录第三方网站,例如使用qq登录. 第二步:点击登录后,会跳到qq平台提示输入用户名和密码. 第三步:如果用户名和密码正确,会提示是否接受授权,如果授权成功,第三方网站就能访问你的资源了,qq头像.用户名等 认证和授权过程(包括三方) 1.服务提供方,用户使用服务提供方来存储受保护的资源,如照片,视频,联系人列表. 2.用户,存放在服务提

在AngularJS应用中实现认证授权

在AngularJS应用中实现认证授权 在每一个严肃的应用中,认证和授权都是非常重要的一个部分.单页应用也不例外.应用并不会将所有的数据和功能都 暴露给所有的用户.用户需要通过认证和授权来查看应用的某个特定部分,或者在应用中进行特定的行为.为了在应用中对用户进行识别,我们需要让用户进行登录. 在用户管理方面,传统的服务器端应用和单页应用的实现方式有所不同,单页应用能够和服务器通信的方式只有AJAX.对于登录和退出来说也是如此. 负责识别用户的服务器端需要暴露出一个认证断电.单页应用将会把用户输入

k8s认证授权详解

理解认证授权 1.1 为什么要认证 想理解认证,我们得从认证解决什么问题.防止什么问题的发生入手. 防止什么问题呢?是防止有人入侵你的集群,root你的机器后让我们集群依然安全吗?不是吧,root都到手了,那就为所欲为,防不胜防了. 其实网络安全本身就是为了解决在某些假设成立的条件下如何防范的问题.比如一个非常重要的假设就是两个节点或者ip之间的通讯网络是不可信任的,可能会被第三方窃取,也可能会被第三方篡改.就像我们上学时候给心仪的女孩传纸条,传送的过程可能会被别的同学偷看,甚至内容可能会从我喜

跟我学Shiro实践-简单的认证授权

本文是基于张开涛老师的跟我学Shiro系列的个人实践.几个月前过了一遍张开涛的跟我学Shiro系列,因为没有实践,基本上又全部还给开涛老师了.趁着假期,这次准备将开涛老师的讲解实践一遍.当然本人的实践不会与开涛的实例完全相同,不然就没必要在写一遍了. 本文只会对相关必要的Shiro概念说明下,建议有时间可以阅读下开涛的Shiro系列:http://jinnianshilongnian.iteye.com/blog/2018398 Shiro的架构和简单的认证授权 1.1 Shiro架构和组件介绍

[认证授权] 2.OAuth2授权(续) & JWT(JSON Web Token)

1 RFC6749还有哪些可以完善的? 1.1 撤销Token 在上篇[认证授权] 1.OAuth2授权中介绍到了OAuth2可以帮我们解决第三方Client访问受保护资源的问题,但是只提供了如何获得access_token,并未说明怎么来撤销一个access_token.关于这部分OAuth2单独定义了一个RFC7009 - OAuth 2.0 Token Revocation来解决撤销Token问题. 1.2 Token对Client的不透明问题 OAuth2提供的“access_token

Spring Cloud 微服务中搭建 OAuth2.0 认证授权服务

在使用 Spring Cloud 体系来构建微服务的过程中,用户请求是通过网关(ZUUL 或 Spring APIGateway)以 HTTP 协议来传输信息,API 网关将自己注册为 Eureka 服务治理下的应用,同时也从 Eureka 服务中获取所有其他微服务的实例信息.搭建 OAuth2 认证授权服务,并不是给每个微服务调用,而是通过 API 网关进行统一调用来对网关后的微服务做前置过滤,所有的请求都必须先通过 API 网关,API 网关在进行路由转发之前对该请求进行前置校验,实现对微服