(20条消息) Authentication Proxy原理

 

Authentication Proxy原理

  • 当一个用户发起HTTP访问穿过ROUTER,the authentication proxy is triggered(在接口截获用户通过ROUTER的http包进行认证)
  • auth proxy先检查现存的entry有没有此用户的entry
  • 没有,就根据其http request包,发回一个http repond包,但显示的是一个认证网页(ip httpserver提供)
  • 用户在认证网页输入的username/passwd被proxy到aaa server
  • 用户属于用户名密码正确,一个entry被建立,以后用户再访问就不必重复认证了
  • 如果radius server返回认证失败,则该连接被中断
  • 要求认证用户不一定直连到起用ipauth-proxy的接口。可以是远程用户,只要他HTTP包通过ROUTER,就会被截获并强行认证

 


 

    authen-proxy配置 (用于ROUTER,PPP口)
aaa new-model

radius-server host 192.168.126.14
radius-server key cisco

aaa authorizationauth-proxy default groupradius
ip auth-proxy name pxy httplist 10 auth-cache-time3       
access-list 10 permit any
!
interface Serial2/0:23
 
ip address 16.0.0.2 255.0.0.0
 encapsulationppp
 
ip auth-proxy pxy
interface Serial2/0:23
 
ip access-group 105 in
!
access-list 105 deny 
  tcp anyany             
access-list 105 deny   udp anyany
access-list 105 permit ip any any

接口先deny,否则认证没什么意义
为避免这种”不认证反而直接穿过去”的问题,在接口设置过滤 
起用HTTP访问ROUTER
ip http server  
     
ip http authentication aaa

直接HTTP访问ROUTER,要完全deny
ip http access-class 15
access-list 15 denyany 
          


        ip auth-proxy name ...http  [list ...] 可以限定具体用户认证
list ..可以针对具体网段的用户进行认证
permit的需要认证
deny的不需要认证,反而可以直接穿过去


 
    ip auth-proxy新feature,支持telnet,ftp
ip auth-proxy name ... {ftp | http| telnet} [list...]

 
  option
ip auth-proxy auth-cache-timemin 
      用户的条目存活时间是,  缺省60min
ip auth-proxy auth-proxy-banner 
    设置auth-proxy的banner, 缺省是disable
ip auth-proxy {inactivity-timer ... | absolute-timer...} 
   

      verifty
show ip auth-proxy

 


---------------------
作者:willy8686
来源:CSDN
原文:https://blog.csdn.net/jasenwan88/article/details/7728668
版权声明:本文为上一个作者原创文章,转载请附上博文链接请询问willy8686!

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值