浅谈 —— AAA认证(认证+授权)详解+配置

已于 2022-08-29 11:11:45 修改
阅读量7.7k 收藏 30
点赞数 1
分类专栏: 思科网络技术 文章标签: 网络 AAA 网络安全
于 2022-08-29 11:10:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62311779/article/details/126577210
版权

目录

一、AAA认证简介:

二、认证流程:

三、相关配置配置: 

 (1)认证:

(2)授权:

一、AAA认证简介:

AAA是认证(Authentication)、授权(Authorization)和计费(Accounting)的简称,是网络安全中进行访问控制的一种安全管理机制,提供认证、授权和计费三种安全服务,数据中心被大量应用

AAA提供的安全服务具体是指:

  • 认证(Authentication):是对用户的身份进行验证,判断其是否为合法用户。
  • 授权(Authorization):是对通过认证的用户,授权其可以使用哪些服务。
  • 审计(Accounting):是记录用户使用网络服务的资源情况,这些信息将作为计费的依据。

 ——————————————————————————————————————————————————————————

二、认证流程:

数据中心常用(用于控制工程师权限,员工权限等.....) 

—————————————————————————————————————————————————————————— 

三、相关配置配置: 

 (1)认证:

  • ①第一步:开启AAA认证
r2(config)#aaa new-model
  • ②第二步:配置线下保护(console接口不参与AAA认证 , 防止某天AAA认证服务器出现故障时,不能通过调试线缆操作服务器)(!!!)
r2(config)#aaa authentication login no-rz line none
——对登录的流量做一个名称为no-rz(不认证)的策略:如果原来这个console接口配置了一个password认证,
还是采用原来的password认证,如果没有配置的话,我后面就对这个console接口不认证了

也可以给console接口配置一个简单的密码:

r2(config)#line console 0
r2(config-line)#password 123456
r2(config-line)#login authentication no-rz //调用策略no-rz
r2(config-line)#exit

  • ③第三步:对R1设备telnet我R2的时候提供AAA认证
r2(config)#user aaa password bbb // 创建本地用户名和密码数据库

r2(config)# tacacs-server host 192.168.100.100 key kkk
r2(config)# radius-server host 192.168.100.100 key kkk 
//声明TACACS服务器或者radius服务器在哪,与这个AAA认证服务器传输数据的时候加密的密钥是KKK

r2(config)#aaa authentication login telnet-rz group tacacs+  local
(//认证的时候先进行AAA server 认证,如果AAA server认证失败或者AAA server不存在的话,进行本地认证。)
(r2(config)#aaa authentication login telnet-rz local group tacacs+) 
//先采用本地数据库对login(登录)行为进行认证,如果本地数据库没有配置则采用身后的AAA认证服务器里面的用户名和密码对客户进行认证,认证策略名称为telnet-rz

r2(config)#line vty 0 8  //在VTY线程里调用认证策略
r2(config-line)#login authentication telnet-rz
r2(config-line)#exit

———————————————————————————————————————————————————————— 

(2)授权:

  • ④第四步:对R1设备telnet我R2的时候提供AAA  用户级别授权
  •  用户级别一共有0——15,共16个级别,15级权限最高,0和1级都有其特定的命令,2-14级没有,15级有些命令是属于1和0级的,2-14级命令库是空的,但是由于2-14级别比0和1级要高,所以权力使用0和1级的,但是0和1级的命令所有权是属于本身的。例如,我给我儿子买了玩具,这个玩具的所有权是属于我儿子的,但是我有权力使用这些玩具。
show privilege ——查看用户级别
r2(config)#username aaa privilege 5  //在本地定义这个用户级别为5

r2(config)#aaa authorization exec telnet-author group tacacs+ local
exec:登录后直接进入到特权模式
r2(config)#aaa authorization exec telnet-author local group tacacs+ 
//先采用本地授权,如果我和服务器失去联系,再采用身后的AAA服务器为客户进行授权

r2(config)#line vty 0 8  //在telnet里面调用授权策略
r2(config-line)#authorization exec telnet-author
r2(config-line)#exit
  • ⑤第五步:AAA本地命令授权
r2(config)#privilege exec level 5 config t 
config t //是在EXEC特权模式下输入的,把这个命令剪切到5级命令库里面去

r2(config)#privilege configure level 5 int
interface是在configuration 全局模式下输入的,把此命令剪切到5级里面去

r2(config)#privilege interface level 5 ip address
r2(config)#privilege interface level 5 no shut   

r2(config)#privilege configure all level 5 router
把router后面的所有配置命令都剪切到5级命令库里面;router配置命令在configuration模式下输入的

详细:

1、(33条消息) 配置AAA认证和授权_青红造了个大白之成长记-CSDN博客_aaa new-model

 2、(33条消息) 网络设备 密码、用户级别 AAA授权 的管理_centos的博客-CSDN博客

孤城286
关注
  • 1
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
AAA服务器配置详解
12-04
AAA服务器的详细配置过程:认证 认证:①radius认证: 使用udp 1645(认证授权)、1646(审计)端口 udp 1812(认证授权)、1813(审计)端口 Radius支持和PPPoe拨入 ②tacacs+/tacacs认证:是cisco专有,使用tcp 49 端口
华为认证网络工程师学习笔记:AAA原理与配置
最新发布
yuyeconglong的博客
03-06 663
AAA原理与配置
蓝信AAA认证系统用户手册
08-18
蓝信 AAA 安全认证版包括认证授权及计帐服务,基于业界标准认证协议 RADIUS协议,并支持802.1X认证
思科的AAA认证配置超详细
06-05
思科的AAA认证配置详解
H3C交换机AAA认证配置案例
03-01
H3C S5500-SI Telnet用户通过Tacacs进行AAA认证的典型配置
华为AAA配置实验
2301_78115896的博客
06-16 2699
授权所要保障的是用户行为是合法的,也就是说用户的行为是在被允许范围内的行为;在配置AAA本地认证之前,可以先使用命令display aaa configuration 来确认设备上是否有足够的资源。在AAA方案中,我们需要配置认证方案和援权方案,本实验要求两者都使用本地方案。配置完成后,我们可以使用命令display authentication-scheme来查看配置中的AAA认证方案。在使用AAA本地认证的环境中,我们需要在基于域的配置中设置AAA方案和本地用户。(2)查看系统中的认证方案。
配置AAA认证授权
热门推荐
青红造了个大白之成长记
04-02 1万+
一、 目的 1、掌握AAA认证的工作原理。 2、掌握使用Cisco Secure ACS服务器实现AAA认证授权的方法。 二、网络拓扑 三、认证部分实验要求 配置和测试本地和基于认证服务器的AAA认证。 1、在R1上创建本地帐号,配置本地AAA认证登录console和VTY。 2、配置和测试本地和基于认证服务器的AAA认证。 1、在R1上创建本地帐号(用户名:A...
AAA的原理与配置
lwljh134的博客
05-29 963
访问控制是用来控制哪些用户可以访问网络以及可以访问的网络资源。AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,提供了在网络接入服务器NAS(Network Access Server)设备上配置访问控制的管理框架。AAA定义认证:确认访问网络的用户的身份,判断访问者是否为合法的网络用户。授权:对不同用户赋予不同的权限,限制用户可以使用的服务。
Cisco/Ruijie/H3C/华为 AAA认证配置( Tacacs+、Radius)
wailaizhu的博客
07-12 1万+
Cisco 配置步骤 Cisco Tacacs+测试 1、配置Tacacs+服务和认证授权方式 (config)#aaa new-model (config)#aaa authentication login tac-h0101group tacacs+ //认证 (config)#aaa authorization exec tac-h0101 group tacacs+ //授权 (config)#tacacs-server host 10.3.3.3 key Aa...
AAA认证是什么?一文带你科普AAA认证及协议
最铁头的网工博客
05-19 1万+
1、AAA认证是什么? AAA指的是Authentication、Authorization、Accounting,意思是认证授权、计费,是网络安全的一种管理机制。 • 认证是确认访问网络的远程用户的身份,判断访问者是否为合法的网络用户。 • 授权是对不同用户赋予不同的权限,限制用户可以使用的服务。例如,管理员授权办公用户才能对服务器中的文件进行访问和打印操作,而其它临时访客不具备此权限。 • 计费是记录用户使用网络服务过程中的所有操作,包括使用的服务类型、起始时间、数据流量等,用于收集和记录用户
AAA认证实验
03-09
R1/SW1是三层交换机;配置vlan 10和vlan 100,分别作为内网用户vlan和服务器vlan;实现vlan间通信(所有vlan网关的IP地址最后一位都是254)。(配置vlan 1为网络设备管理vlan,网段IP为192.168.50.x/24;R1/SW1的管理IP就是vlan 1的网关IP)(2)R2/SW2是二层交换机,管理IP为192.168.50.2/24
基于移动IPv6环境的AAA快速认证机制设计
07-05
文章提出将AAA应用于移动IPv6中的必要性,介绍了一般AAA认证的过程,讨论了AAA域内快速认证过程,在此基础上提出AAA域间快速认证思想,并做出用于计算认证消耗的模型图,对3种认证过程的消耗进行计算,比较计算结果,证明提出的AAA域间快速认证比一般AAA认证效率高。
jradius+freeRadius 搭建AAA认证服务
01-22
因为freeradius是c写的,而需求是需要java搭建radius服务器,jradius正好是java写的,在freeradius3.0以下把jradius的模块映射出去,这样就可以用java代码来操作java端的服务器。 本资源好几个人搭建1个周,过程很艰难,全网就两篇文章可参考,其他都是雷同;当前资源包含 freeradius服务端,jradius服务端,一份详细的安装文档,各种安装过程中遇到的问题都会说到,当前项目已经是项目当中使用的,放心下载。
华为-配置AAA登录认证及权限分配.txt
05-08
华为-配置AAA登录认证及权限分配
华为AAA配置命令
01-03
华为AAA认证命令,包含解析开始就看到了乌克兰等考完了开始了情况
[eNSP]→远程管理、aaa认证(3a认证
GodFlaming的博客
06-24 8717
eNSP中通过telnet的手段,设置aaa认证,实现真是主机对topo中路由器进行管理
华为eNSP配置aaa认证
嘻嘻哥哥~的博客
02-19 5884
aaa认证 配置 [R1]int GigabitEthernet 0/0/0 #进入接口 [R1-GigabitEthernet0/0/0]ip address 192.168.10.2 255.255.255.0 #在接口里面配置IP地址 [R1-GigabitEthernet0/0/0]undo shutdown #开启接口 [R1]aaa #开启aaa认证 [R1-aaa]local-user dcc password
TelnetAAA认证-华为设备ensp-网络互联
m0_73637881的博客
05-15 335
在我们学习的过程中,会遇到很多不明白的东西,比如我学这个,很多网络协议我都不了解,那我就把那些暂时放下,因为随着学习的进程那些不明白会慢慢的了解,不要被那些东西束缚住了前进的步伐。Telnet 是基于 TCP 协议的应用,采用明文传输,存在很大的安全隐患,已经慢慢不被接受。我的网络互联课老师说的一句话,“把不明白的,暂时都 ‘透明’ 掉”,感觉特别在理。如果只是管理员使用自己单独的用户名和密码登录设备,则需要AAA认证。有讲,不做赘述,不了解的朋友可以去看上一篇。HXS 为用户名,abc123为密码。
华为aaa认证配置命令
05-31
华为设备上启用 AAA 认证功能需要进行如下配置: 1. 配置 AAA ``` [huawei] aaa [huawei-aaa] ``` 2. 配置本地用户 ``` [huawei-aaa] local-user username password irreversible-cipher password ``` 其中,`username` 为用户名,`password` 为密码明文。`irreversible-cipher` 表示密码使用不可逆加密方式存储。 3. 配置用户权限 ``` [huawei-aaa] local-user username service-type telnet level 15 ``` 其中,`service-type` 为用户使用的服务类型,`level` 为用户权限等级。 4. 配置 AAA 认证方案 ``` [huawei-aaa] authentication-scheme scheme-name [huawei-aaa-authen-scheme-scheme-name] authentication-mode aaa local ``` 其中,`scheme-name` 为认证方案名称,`authentication-mode` 表示认证方式。这里使用的是 AAA 和本地认证方式。 5. 配置 AAA 授权方案 ``` [huawei-aaa] authorization-scheme scheme-name [huawei-aaa-autho-scheme-scheme-name] authorization-mode aaa ``` 其中,`scheme-name` 为授权方案名称,`authorization-mode` 表示授权方式。 6. 配置 AAA 认证域 ``` [huawei-aaa] domain domain-name [huawei-aaa-domain-domain-name] authentication-scheme scheme-name [huawei-aaa-domain-domain-name] accounting-scheme scheme-name [huawei-aaa-domain-domain-name] authorization-scheme scheme-name ``` 其中,`domain-name` 为认证域名称,`authentication-scheme`、`accounting-scheme` 和 `authorization-scheme` 分别为认证、计费和授权方案名称。 以上是华为设备启用 AAA 认证功能的基本配置命令。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值