在一些大型企业中,管理员希望通过TACACS+或RADIUS服务器对各种网络设备的管理接入进行AAA认证,以实现对管理员帐号的集中管理。A10的AX系列负载均衡交换机支持这两种常见的认证方式。
由于TACACS+是Cisco的一个私有协议,因此,如果希望实现对管理员命令行操作的授权访问,需要在TACACS+上进行进一步的配置。因此,本文除了介绍如何在AX上配置实现TACACS+的AAA认证,还将介绍如何在Cisco的ACS服务器上配置实现AX的授权访问。
1. AX的AAA基本功能介绍
通常情况下,我们所说的AAA是三个英文单词的缩写,分别是:认证(Authentication)、授权(Authorization)和审计(Accounting)。下面将分别进行介绍:
1.1 认证(Authentication)
在默认情况下,当管理账户需要登陆到AX设备时,AX设备根据用户输入的用户名和密码检查本地的管理员数据库。如果输入的用户名和密码在本地数据库中,则登陆成功,否则,登陆用户被拒绝访问。
我们可以为AX设备配置一个外部的TACACS+服务器,用于管理账户的认证。在这种情况下,AX仍然会优先检查本地数据库,以进行认证。
- 如果AX设备的本地管理员数据库有这个用户名和密码,则用户通过认证,获得访问系统的权限。
- 如果AX设备的本地管理员数据库有这个用户名,但密码错误,则AX设备会拒绝该访问。
- 如果AX设备的本地管理员数据库没有这个用户名,并且配置了TACACS+服务器,则AX采用这些服务器上的数据库进行认证。
1.2 授权(Authorization)
在AX上配置TACACS+授权时,可以授权管理帐号执行以下几个级别的CLI命令。
- 15(admin):允许执行所有级别的CLI命令。
- 14(config):可以执行除了修改管理员账号的其他CLI命令。
- 1(Privileged EXEC):可以执行特权模式或用户模式下的所有命令。
- 0(User EXEC):可以执行用户模式下的所有命令。
注:配置为2-13等同于1这个级别。
1.3 审计(Accounting)
你可以为AX设备配置外部TACACS+服务器实现审计功能。通过审计功能,你可以追踪管理帐号登陆以后的所有活动。你可以配置以下审计内容:
- Login/Logoff 活动
- 命令
你可以配置以下几个级别的审计,来追踪管理员执行命令的情况:
- 15(admin):审计所有级别的CLI命令的执行情况。
- 14(config):审计除了修改管理员账号的其他CLI命令。
- 1(Privileged EXEC):审计特权模式或用户模式下的所有命令。
- 0(User EXEC):审计用户模式下的所有命令。
2. 为AX配置TACACS+的AAA认证
为AX配置TACACS+的AAA的方式很简单,只需要几条命令即可实现。基本上,配置命令可以简单的分为几个部分:
1) 在AX上配置TACACS+服务器信息。通常情况下,建议配置第二台TACACS+作为备份服务器。
- tacacs-server host 192.168.103.101 secret tacacs_secret //设定TACACS+服务器,及共享密钥
- authentication type local tacplus //设定认证服务器类型
2) 配置是否需要进行授权控制。
- authorization commands 15 method tacplus //设定授权的命令行等级
3) 配置审计方式和内容。
- accounting exec start-stop tacplus //设定审计管理帐号login/logoff行为
- accounting commands 15 stop-only tacplus //设定对命令行的审计等级
3. Cisco ACS服务器上的配置方式
由于TACACS+是Cisco的私有协议,因此,在默认配置方式下,如果在AX上配置了授权(Authorization)控制,需要在TACACS+上进行一些额外的配置,以实现对AX的授权控制。否则,AX上可能会出现类似以下的告警日志:
- Nov 30 2011 17:43:53 Error [SYSTEM]:tacplus_read_response: authorization failed with TACACS+ server 192.168.103.101
以下以Cisco ACS 4.2为例,说明TACACS+的配置方式:
1) 在“Shared Profile Components”下,设置“Shell Command Authorization Set”。
在“Unmatched Commands”中,如果默认拒绝执行所有命令,你需要将允许执行的命令添加至列表中,并选择“Permit Unmatched Args”。
2) 在“Network Configuration”中,将AX添加为“AAA Clients”。
如上图所示,你需要指定AX的管理地址及共享密钥。添加后,选择“Submit+Apply”,以使配置生效。
3) 在“Group Setup”中,选择相应的组并按照下图对组设置进行编辑。
4) 将管理帐号与组进行关联。
至此,完成ACS上的TACACS+配置。
E.S.
本文转自 virtualadc 51CTO博客,原文链接:http://blog.51cto.com/virtualadc/730075
