AAA实验的一点笔记
2009-07-08 01:44
155 查看
AAA的实验注意点:
(1) 系统必须安装java虚拟机,否则在Cisco Secure ACS软件中有的网页打不开.
(2) 在SF的实验室环境下,PC机的默认IP是 : 192.168.1.10 255.255.255.0
为PC机添加一个辅助IP : 172.16.10.10 255.255.255.0
辅助IP当成AAA服务器的IP,AAA服务器不需要网关.
这样PC机就有2个IP地址,默认IP地址能telnet到机架上,而辅助IP可以用来做AAA实验.
(3) Client(路由器)上配置: int e0
ip add 172.16.10.1 255.255.255.0
no shut
tacacs-server host 172.16.10.10 (指向服务器IP)
tacacs-server key spoto
开启AAA认证 : aaa new-model
配置 : aaa authentication login default group tacacs+ local none
aaa authentication enable default group tacacs+ enable
//如果没有设置密码认证,AAA服务器默认用系统认证口令,若也没设置系统口令,则 telnet 172.16.10.1 后,不管输入权限是15或者权限是0的用户名和密码 ,进到用 户模式后都进不去特权模式.故此密码认证最好需要设置.
aaa accounting exec default start-stop group tacacs+
aaa authentication login no_pass none
enable secret 5 $1$LGe2$aEHxrUgHa5K/ovvBV1dHl0
(4) 创建列表 : aaa authenticaiton login no_pass(自己输入的字符串) none
应用 : li co 0
login authe no_pass
这样从console口登录就不需要密码认证.
(5) Cisco Secure ACS配置中的注意点:
<1> 进入 Interface Configuration 配置添加TACACS+的高级属性.
<2> 进入 User Setup 配置添加用户并设置权限.
<3> 进入 Group Setup 查看用户分组情况.
<4> 进入 Netword Configuration 查看AAA客服端和AAA服务器的配置情况.
(6) 测试: 在PC机上-->cmd-->telnet 172.16.10.1(路由器)
username:abc(权限设置为15) 或者 xyz(权限设置为0)
password:ccna ccna
r1>en r1>en
password:ccna password:
r1# % Error in authentication.
r1>
分析:权限为0的用户无法登录到路由器的特权模式下.
(7) 在Cisco Secure ACS上点击Reports and Activity 查看TACACS+ Accounting 信息.
注:必须有 r1(config)#aaa accounting exec default start-stop group tacacs+
才会有统计信息.
小结:刚开始做的时候把client端的IP设置成192.168.1.111 即和终端2511的IP是一样的,导致登陆2511 后提示 : password required,but not set -.-! 后来头点重新恢复了2511 的配置 总算可以 登进去了,看来以后不能乱设置Ip了.本文出自 “漫漫认证路 滴滴心血筑” 博客,请务必保留此出处http://matthewfjnd.blog.51cto.com/379064/175085
(1) 系统必须安装java虚拟机,否则在Cisco Secure ACS软件中有的网页打不开.
(2) 在SF的实验室环境下,PC机的默认IP是 : 192.168.1.10 255.255.255.0
为PC机添加一个辅助IP : 172.16.10.10 255.255.255.0
辅助IP当成AAA服务器的IP,AAA服务器不需要网关.
这样PC机就有2个IP地址,默认IP地址能telnet到机架上,而辅助IP可以用来做AAA实验.
(3) Client(路由器)上配置: int e0
ip add 172.16.10.1 255.255.255.0
no shut
tacacs-server host 172.16.10.10 (指向服务器IP)
tacacs-server key spoto
开启AAA认证 : aaa new-model
配置 : aaa authentication login default group tacacs+ local none
aaa authentication enable default group tacacs+ enable
//如果没有设置密码认证,AAA服务器默认用系统认证口令,若也没设置系统口令,则 telnet 172.16.10.1 后,不管输入权限是15或者权限是0的用户名和密码 ,进到用 户模式后都进不去特权模式.故此密码认证最好需要设置.
aaa accounting exec default start-stop group tacacs+
aaa authentication login no_pass none
enable secret 5 $1$LGe2$aEHxrUgHa5K/ovvBV1dHl0
(4) 创建列表 : aaa authenticaiton login no_pass(自己输入的字符串) none
应用 : li co 0
login authe no_pass
这样从console口登录就不需要密码认证.
(5) Cisco Secure ACS配置中的注意点:
<1> 进入 Interface Configuration 配置添加TACACS+的高级属性.
<2> 进入 User Setup 配置添加用户并设置权限.
<3> 进入 Group Setup 查看用户分组情况.
<4> 进入 Netword Configuration 查看AAA客服端和AAA服务器的配置情况.
(6) 测试: 在PC机上-->cmd-->telnet 172.16.10.1(路由器)
username:abc(权限设置为15) 或者 xyz(权限设置为0)
password:ccna ccna
r1>en r1>en
password:ccna password:
r1# % Error in authentication.
r1>
分析:权限为0的用户无法登录到路由器的特权模式下.
(7) 在Cisco Secure ACS上点击Reports and Activity 查看TACACS+ Accounting 信息.
注:必须有 r1(config)#aaa accounting exec default start-stop group tacacs+
才会有统计信息.
小结:刚开始做的时候把client端的IP设置成192.168.1.111 即和终端2511的IP是一样的,导致登陆2511 后提示 : password required,but not set -.-! 后来头点重新恢复了2511 的配置 总算可以 登进去了,看来以后不能乱设置Ip了.本文出自 “漫漫认证路 滴滴心血筑” 博客,请务必保留此出处http://matthewfjnd.blog.51cto.com/379064/175085
相关文章推荐
- linux设备驱动-按键中断实验笔记
- Chisel实验笔记(四)
- 《xss跨站脚本剖析与防御》实验笔记
- 学习Java一点小笔记
- [机器学习] 实验笔记 - 表情识别(emotion recognition)
- ubuntu下使用mysql的一点笔记
- 【垃圾菜鸟笔记】html5 video标签的一点练习
- 基于数学建模的数学实验学习笔记一 MATLAB软件基础
- linux Web服务器--Boa实验笔记
- 王爽汇编语言第六章学习笔记和实验五答案
- 几点笔记+一点感悟
- STM8学习笔记三----按键实验
- OSPF实验笔记(五)
- 一点Oracle笔记
- 第四章 控制执行流程的一些笔记以及关于char的一点东西
- CCNA笔记之第十七节:RIP协议(大实验1)
- 【cocos2d-x 5】macBook安装系统和配置cocos2d-x-3.4的一点笔记
- 第一次学习笔记,Makefile和uboot的一点东西
- cortex_m3_stm32嵌入式学习笔记(四):外部中断实验
- 每天学习一点flash(33) as 3.0 游戏设计笔记(2)