测试目的:通过AAA,实现用户级的授权 测试环境:TACACS+ ,1720路由器 测试过程: 实验一:用本地(LOCAL)方法进行验证和授权 配置文件: version 12.1 ! hostname Router ! aaa new-model aaa authentication login myaaa group local !配置授权 aaa authorization exec myauth group local !配置认证 ! username user10 privilege 10 password 0 user10 !给用户分配级别 ! ! privilege exec level 10 ping !给命令分配级别 privilege exec level 10 show frame-relay privilege exec level 10 traceroute ! line con 0 transport input none line aux 0 line vty 0 4 authorization exec myauth !选择TELNET的授权方式 login authentication myaaa !选择TELNET的认证方式 ! no scheduler allocate end 实验结果:用户user10登录后级别是10,可以执行PING,SHOW FRAME-RELAY,TRACEROUTE命令。更高级别的用户才可执行其它的命令。另外通过仔细配置privilege命令,可以进一步细分命令权 限。如:可以SHOW FRAME-RELAY不可以SHOW X25。 aaa的配制命令随IOS版本不同略有差异,在12.0.5以上的版本,用aaa authentication login myaaa group tacacs+ local命令,在12.0.5以下的版本用aaa authentication login myaaa tacacs+ local 可以用PRIVILEGE命令调整命令级别。不过容易出错。在测试过程中,发现如果将一条命令调级,其相应的子命令也自动调整到相映的级别。如:调整 show ip route的级别后,show ip ,show的级别也自动调整,很容易出错。另外,可能是IOS BUG的原因,一些PRIVILEGE命令虽然起作用了,但在show run时却没有显示出来。 测试说明,用local的方法,可以实现用户级的命令权限的设定,优点是不用配置复杂的TACACS+服务器,成本低。缺点是需要在每一台设备上单独配置,工作量大,不易集中管理,而且在某些版本的IOS中有BUG,容易出错。
实验二:用TACSCS+进行验证和授权 version 12.1 ! hostname Router ! aaa new-model aaa authentication login myaaa group tacacs+ aaa authorization exec myauth group tacacs+ ! ! line con 0 transport input none line aux 0 line vty 0 4 authorization exec myauth login authentication myaaa ! no scheduler allocate end 实验结果:通过TACACS+可以非常灵活地对AAA进行设定,完成复杂的策略。除了在local实现功能外,还可以快速的对大量用户进行用户级或组一级 的设置和管理。提供报表功能,时间策略等。TACACS+设置很容易掌握,WEB控制界面很友好。缺点是需要购买ACS服务器。
