AAA-本地认证篇51CTO博客 - 众发娱乐

AAA-本地认证篇51CTO博客

2019年02月23日11时29分02秒 | 作者: 曜灿 | 标签: 装备,运用,路由器 | 浏览: 556

今日在这儿所说到的AAA,不是指的美国的"AAA"电池,也不是指的什么“AAA”景色名胜,而这儿指的是计算机安全范畴的协议。AAA指:鉴权,授权,计费(Authentication, Authorization, Accounting),PS:可能在每个当地的翻译纷歧样,可是就是指的同一个技能。 更多关于"AAA"名词,请看http://zh.wikipedia.org/wiki/AAA 怎样在网络中,运用AAA协议来进步网路的安全性,今日就谈谈“认证“的效果。当有位大虾,企图经过console线缆来登录路由器或许交换机,咱们怎样确保该用户登录的是安全的,它是合法的办理员,而不是***者,有的人说,只需求设置Console接口登录暗码,以及特权形式暗码。假如这位大虾,要经过网络拜访,如(SSH,Telnet),还需求设置长途登录的暗码。这样一来,这位大虾本地,和长途办理和调试网络设备,需求回忆多个暗码。而且你这个暗码纷歧定是安全的。 那为什么要运用AAA,而不是只装备一个暗码解决问题了。运用AAA的优点是什么? 1,装备简略,办理便利 2,安全性高,用户名和暗码等,能够经过加密之后在网络中传输,避免嗅探和诈骗 3,用户回忆少,操作灵敏,AAA能够与其他的技能归纳运用,如PPP认证由AAA完结等 而装备暗码,仅仅一个单一的安全性。 怎样在Cisco设备上来装备AAA的认证? 试验设备: cisco 3640路由器1台,PC一台,Console线缆一根,穿插线一根 试验拓扑: 试验进程: 第一步:经过console线缆,运用超级终端或许SecureCRT登录路由器,完结根本装备,一起将穿插线连接到路由器E1/0,t在PC的接口上装备IP为192.168.10.1,掩码255.255.255.0 Router>enable
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#no ip domain-lookup
Router(config)#line console 0
Router(config-line)#no exec-t
Router(config-line)#logg syn
3640(config)#
host R3640
R3640(config)#int e1/0
R3640(config-if)#ip add 192.168.10.3 255.255.255.0
R3640(config-if)#no sh
R3640(config-if)#end
*Mar  1 00:02:02.499: %SYS-5-CONFIG_I: Configured from console by console
R3640#ping 192.168
*Mar  1 00:02:03.659: %LINK-3-UPDOWN: Interface Ethernet1/0, changed state to up
*Mar  1 00:02:04.659: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0, changed state to up
R3640#ping 192.168.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 12/32/44 ms 第二步:启用AAA,并装备登录验证为local R3640#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R3640(config)#aaa ?   
  new-model  Enable NEW access control commands and functions.(Disables OLD
             commands.)
R3640(config)#aaa new-model 大局启用AAA功用
R3640(config)#aaa authentication login ? 当用户登录时启用AAA认证功用,而且界说认证时调用的姓名是默许的”default”,仍是自己随意界说1个
  WORD     Named authentication list.
  default  The default authentication list.
R3640(config)#aaa authentication login default ? 指定用哪种认证办法
  enable       Use enable password for authentication. 运用特权暗码
  group        Use Server-group 运用Radius或许Tacacs+协议
  krb5         Use Kerberos 5 authentication. 运用Kerberos
  krb5-telnet  Allow logins only if already authenticated via Kerberos V
                 Telnet.
  line         Use line password for authentication. 运用线路认证办法
  local        Use local username authentication.  运用本地认证办法,需装备用户名和暗码
  local-case   Use case-sensitive local username authentication.
  none         NO authentication. 不做认证
装备当用户登录设备时,运用aaa本地登录认证办法,认证调用的姓名为default,认证办法为local R3640(config)#aaa authentication login default local 装备本地登录时,运用的用户名和暗码。暗码我装备的为经过MD5加密的secret暗码。安全性高,在show running-config显现的是密文的。不主张装备明文的用户名和暗码如(R3640(config)#username admin password admin) 暗码主张装备杂乱一点,要有大小写,特别字符,和数字,长度大于8位以上。如:P@ssw0rd
R3640(config)#username nousername secret nopassword
第三步:启用认证调试,调查debug 现象 R3640#debug aaa authentication
AAA Authentication debugging is on
R3640#
第四步:如图1所示,在PC上运用telnet,长途登录路由器 第五步:如图2所示,输入方才再装备,登录的用户名nousername 和暗码nopassword。输入的暗码是不会显现的,否则怎样叫暗码了,登录成功之后,在当时路由器的用户形式。阐明咱们现已完结了aaa的认证功用,并没有装备VTY的暗码,而是运用aaa完结的认证 第六步:如图3所示,输入enable,测验进入特权形式,路由器提示如下认证过错。为什么了? 第七步:当输入enable,测验登录时,检查路由器的上的debug现象 R3640#
*Mar  1 00:38:49.347: AAA: parse name=tty130 idb type=-1 tty=-1
*Mar  1 00:38:49.347: AAA: name=tty130 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=130 channel=0
*Mar  1 00:38:49.347: AAA/MEMORY: create_user (0x637810BC) user=nousername(登录的用户名和暗码) ruser=NULL ds0=0 port=tty130 rem_addr=192.168.10.1(PC IP地址) authen_type=ASCII service=ENABLE priv=15 initial_task_id=0, vrf= (id=0)
*Mar  1 00:38:49.351: AAA/AUTHEN/START (509980843): port=tty130 list= action=LOGIN service=ENABLE  输入enable                                                  
(没有enable暗码)
*Mar  1 00:38:49.351: AAA/AUTHEN/START (509980843): non-console enable - default to enable password
*Mar  1 00:38:49.351: AAA/AUTHEN/START (509980843): Method=ENABLE
R3640#
*Mar  1 00:38:49.351: AAA/AUTHEN(509980843): cant find any passwords 没有发现enable 暗码
*Mar  1 00:38:49.351: AAA/AUTHEN(509980843): Status=ERROR (认证状况发作过错)
*Mar  1 00:38:49.351: AAA/AUTHEN/START (509980843): no methods left to try
*Mar  1 00:38:49.351: AAA/AUTHEN(509980843): Status=ERROR
*Mar  1 00:38:49.351: AAA/AUTHEN/START (509980843): failed to authenticate 认证失利,原因是没有装备enable暗码
*Mar  1 00:38:49.355: AAA/MEMORY: free_user (0x637810BC) user=nousername ruser=NULL port=tty130 rem_addr=192.168.10.1 authen_type=ASCII service=ENABLE priv=15 vrf= (id=0)
R3640#
第七步:假如要想长途登录能进入到特权形式,完结装备,还需求在路由器上装备enable 暗码。假如期望让某个大虾,只活动用户形式下,那暂时能够不配,可是没有enable那不是不科学的,不敢确保,永久也不需求长途调试路由器,假如需求调试,那必定就需求enable暗码才能够进入,如图4所示, 第八步:如图5所示,输入刚装备的enable secret暗码,能够登录到特权形式。 考虑上图中为什么呈现以下过错提示: R3640>enable
Password:
% Access denied
R3640>enable
Password:
% Password:  timeout expired!
% Error in authentication.
输入enable暗码,进入特权形式时,authentication debug 音讯 *Mar  1 00:51:26.719: AAA/MEMORY: free_user (0x63D5B984) user=NULL ruser=NULL port=tty130 rem_addr=192.168.10.1 authen_type=ASCII service=ENABLE priv=15 vrf= (id=0)
R3640#
*Mar  1 00:51:30.667: AAA: parse name=tty130 idb type=-1 tty=-1
*Mar  1 00:51:30.667: AAA: name=tty130 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=130 channel=0
*Mar  1 00:51:30.667: AAA/MEMORY: create_user (0x63D5B984) user=nousername ruser=NULL ds0=0 port=tty130 rem_addr=192.168.10.1 authen_type=ASCII service=ENABLE priv=15 initial_task_id=0, vrf= (id=0)
*Mar  1 00:51:30.667: AAA/AUTHEN/START (2028066283): port=tty130 list= action=LOGIN service=ENABLE
*Mar  1 00:51:30.671: AAA/AUTHEN/START (2028066283): non-console enable - default to enable password
*Mar  1 00:51:30.671: AAA/AUTHEN/START (2028066283): Method=ENABLE
R3640#
*Mar  1 00:51:30.671: AAA/AUTHEN(2028066283): Status=GETPASS  认证经过
R3640#
*Mar  1 00:51:37.599: AAA/AUTHEN/CONT (2028066283): continue_login (user=(undef))
*Mar  1 00:51:37.599: AAA/AUTHEN(2028066283): Status=GETPASS
*Mar  1 00:51:37.599: AAA/AUTHEN/CONT (2028066283): Method=ENABLE
*Mar  1 00:51:37.623: AAA/AUTHEN(2028066283): Status=PASS
*Mar  1 00:51:37.623: AAA/MEMORY: free_user (0x63D5B984) user=NULL ruser=NULL port=tty130 rem_addr=192.168.10.1 authen_type=ASCII service=ENABLE priv=15 vrf= (id=0)
R3640#
第九步:方才咱们验证的是长途登录,再来验证一下,本地登录认证这种办法,从console接口能否登陆,如图6所示:提示需求,用户名和暗码 第十步:输入正确的用户名和暗码 *Mar  1 00:51:26.719: AAA/MEMORY: free_user (0x63D5B984) user=NULL ruser=NULL port=tty130 rem_addr=192.168.10.1 authen_type=ASCII service=ENABLE priv=15 vrf= (id=0)
R3640#
*Mar  1 00:51:30.667: AAA: parse name=tty130 idb type=-1 tty=-1
*Mar  1 00:51:30.667: AAA: name=tty130 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=130 channel=0
*Mar  1 00:51:30.667: AAA/MEMORY: create_user (0x63D5B984) user=nousername ruser=NULL ds0=0 port=tty130 rem_addr=192.168.10.1 authen_type=ASCII service=ENABLE priv=15 initial_task_id=0, vrf= (id=0)
*Mar  1 00:51:30.667: AAA/AUTHEN/START (2028066283): port=tty130 list= action=LOGIN service=ENABLE
*Mar  1 00:51:30.671: AAA/AUTHEN/START (2028066283): non-console enable - default to enable password
*Mar  1 00:51:30.671: AAA/AUTHEN/START (2028066283): Method=ENABLE
R3640#
*Mar  1 00:51:30.671: AAA/AUTHEN(2028066283): Status=GETPASS
R3640#
*Mar  1 00:51:37.599: AAA/AUTHEN/CONT (2028066283): continue_login (user=(undef))
*Mar  1 00:51:37.599: AAA/AUTHEN(2028066283): Status=GETPASS
*Mar  1 00:51:37.599: AAA/AUTHEN/CONT (2028066283): Method=ENABLE
*Mar  1 00:51:37.623: AAA/AUTHEN(2028066283): Status=PASS
*Mar  1 00:51:37.623: AAA/MEMORY: free_user (0x63D5B984) user=NULL ruser=NULL port=tty130 rem_addr=192.168.10.1 authen_type=ASCII service=ENABLE priv=15 vrf= (id=0)
进入特权形式之后,用户的等级是在15,考虑,在用户形式等级是多少?经过什么指令能够检查到你当时所在的形式,是那个等级?
总结: 本地登录认证装备有两种办法: 第一种:如图7所示 第二种:如图8所示 第二种装备办法,认证调用的姓名是自界说的,那就需求在console和VTY接口下,调用才能够。第一种装备在指令上会少一些,假如装备登录认证姓名为默许“default”,是不需求在VTY和Console,再次调用一下,由于在履行认证就会去查询本地称号default,假如装备认证是姓名为自界说的,如”hackerjx“,就必须到VTY和Console履行调用才能够认证经过。否则这个装备,当从console登录根本就没有对console做安全认证。 可是这两装备AAA本地的认证办法,没有必要一起在一台设备上装备,我们能够依据自己的状况来装备。
版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表众发娱乐立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章