在Catalyst交換機配置TACACS+、RADIUS和 Kerberos

2019-11-05 01:33:27

字體：大中小

來源：轉載

供稿：網友

　　前言
　　Catalyst交換機系列(Catalyst 4000、運行CatcOs)的Catalyst 5000和Catalyst 6000 支持某種認證形式，開始在2.2代碼。增進添加了帶有最新版本。TACACS+ (TCP端口49，不是XTACACS UDP 端口49)，遠程訪問撥入用戶服務(RADIUS)，或者Kerberos服務器用戶設置為驗證、授權和記帳(AAA)是相同象為路由器用戶。本文包含最小的命令的示例必要啟用這些功能。其它選項是可用的在交換機說明文件為版本在考慮中。
　　
　　背景信息
　　由于最新編碼版本支持其它選項，您在交換機將需要確定編碼版本您通過發出show version命令使用。一旦確定了在交換機使用的編碼版本，使用表如下確定什么選項是可用的在您的設備，并且哪些選項您希望配置。
　　
　　一般，總保持在交換機當添加認證和授權時。測試配置在另一個窗口為了避免偶然地鎖定。
　　

　　配置步驟
　　步驟A - TACACS+認證
　　帶有初期的編碼版本，命令不是一樣復雜的象在一些最新版本。其它選項在最新版本可能取得到在您的交換機。
　　
　　確定有后門到交換機假如服務器發生故障通過發出以下命令： set authentication login local enable
　　
　　啟用TACACS+認證通過發出以下命令： set authentication login tacacs enable
　　
　　定義服務器通過發出以下命令： set tacacs server #.#.#.#
　　
　　定義服務器密鑰(這是可選帶有TACACS+，因為引起交換機對服務器數據被加密。假如使用，它必須與服務器一致 )通過發出以下命令：設置tacacs要害 your_key
　　
　　步驟B - RADIUS認證
　　帶有初期的編碼版本，命令不是一樣復雜的象在一些最新版本。其它選項在最新版本可能取得到在您的交換機。
　　
　　確定有后門到交換機假如服務器發生故障通過發出以下命令： set authentication login local enable
　　
　　啟用RADIUS認證通過發出以下命令： set authentication login radius enable
　　
　　定義服務器。在其他 Cisco設備，默認RADIUS端口是 1645/1646 (authentication/accounting)。
　　
　　在Catalyst，默認端口是1812/1813。假如使用CiscoSecure或與其他Cisco設備聯絡的一個服務器，使用的端口是1645/1646。發出以下命令定義服務器： set radius server #.#.#.# auth-port 1645 acct-port 1646 PRimary
　　
　　定義服務器密鑰。
　　
　　因為引起交換機對服務器密碼根據RADIUS 請求注釋（RFC），被加密這是必須的。假如使用，它必須與服務器一致。發出以下命令：設置半徑要害 your_key
　　
　　步驟C - 本地用戶名驗證/授權
　　開始在 CATOS版本7.5.1，本地用戶認證是可能的(例如，您可能使用在 Catalyst用戶名和口令達到驗證/授權存儲，而不是認證通過一個本地密碼)。
　　
　　只有二個權限級別為本地用戶認證，0或者15。級別0是無特權的exec級別。第 15級是特許啟用級別。
　　
　　通過添加在本例中的以下命令，用戶"poweruser"在Telnet在激活模式到達或控制臺對交換機和用戶"nonenable"在Telnet在EXEC模式或控制臺到達到交換機。
　　
　　 set localuser user poweruser passWord powerpass privilege 15
　　set localuser user nonenable password nonenable
　　
　　
　　注重：假如用戶"nonenable" 知道　enable password，該用戶能繼續到激活模式
　　
　　在配置以后，密碼被存儲加了密。
　　
　　本地用戶名認證可以與遠程TACACS+ exec 或者命令記帳或者遠程RADIUS exec 記帳一道使用。它可能與遠程TACACS+ exec或命令授權一道也使用，但不有道理如此執行因為用戶名將需要存儲兩個TACACS+服務器并且本地交換機。
　　
　　步驟D - TACACS+命令授權
　　在我們的示例，我們通知交換機為僅配置命令要求授權使用TACACS+。在TACACS+ 服務器發生故障情形下，認證將是無。這適用于控制臺端口和Telnet會話。發出以下命令：
　　
　　set authorization命令 enable config tacacs none both
　　
　　在本例中，您可能配置TACACS+服務器通過設置以下參數答應：
　　
　　command=set
　　 arguments (permit)=port 2/12
　　set port enable 2/12 命令將被發送到TACACS+服務器為驗證。
　　
　　注重：由于命令授權被啟用，不同于在啟用其中沒有認為命令的路由器，交換機將字面上發送命令啟用到服務器當啟用嘗試。切記也配置服務器答應命令啟用。
　　
　　步驟 E - TACACS+ EXEC授權
　　在我們的示例，我們通知交換機為EXEC 會話要求授權使用TACACS+。在TACACS+服務器發生故障情形下，授權將是無。這適用于控制臺端口和Telnet會話。發出以下命令：
　　
　　set authorization exec enable tacacs+ none both
　　
　　除認證請求之外，這導致分開的授權請求對TACACS+服務器從交換機。假如用戶配置文件在 TACACS服務器為shell/exec配置，該用戶能訪問交換機。
　　
　　這防止用戶沒有在服務器配置的 shell/exec服務(例如點到點(PPP)用戶)記錄到交換機。他們將收到讀EXEC模式授權發生故障的消息。除 permitting/denying EXEC模式之外為用戶，用戶可以是牽強的到激活模式當進入由有在服務器時15指定的權限級別(你一定運行 Bug ID CSCdr51314是固定的)的代碼。
　　
　　Bug Toolkit (注冊的用戶) -使用此工具搜索根據軟件版本、功能集和要害字的已知Bug。
　　
　　步驟 F - RADIUS執行授權
　　沒有命令啟用RADIUS執行授權。選擇是設置服務類型(RADIUS屬性6)為Admistrative (即值6) 在RADIUS服務器啟動用戶到激活模式在RADIUS 服務器。假如服務類型為任何東西設置除6 治理之外(例如，1登錄、7 shell或者2構筑的) ，用戶將是在交換機EXEC提示，但不是啟用提示。
　　
　　步驟G - 記帳 - TACACS+或RADIUS
　　啟用TACACS+記帳為：
　　
　　得到交換機提示的用戶，發出以下命令： set accounting exec enable start-stop tacacs+
　　
　　遠程登錄在交換機的外面用戶，發出以下命令： set accounting connect enable start-stop tacacs+
　　
　　重新啟動交換機，發出以下命令： set accounting system enable start-stop tacacs+
　　
　　執行命令的用戶，發出以下命令： set accounting命令 enable all start-stop tacacs+
　　
　　提示到服務器例如，對更新記錄一次每分鐘表示，用戶仍然登錄，發出以下命令： set accounting update periodic 1
　　
　　啟用RADIUS記帳為：
　　
　　得到交換機提示的用戶，發出以下命令： set accounting exec enable start-stop radius
　　
　　遠程登錄在交換機的外面用戶，發出以下命令： set accounting connect enable start-stop radius
　　
　　重新啟動交換機，發出以下命令： set accounting system enable start-stop radius
　　
　　提示到服務器例如，對更新記錄一次每分鐘表示，用戶仍然登錄，發出以下命令： set accounting update periodic 1
　　
　　TACACS+ 免費軟件記錄
　　下面是示例記錄在服務器如何可能出現：
　　
　　Fri Mar 24 13:22:41 2000 10.31.1.151 pinecone telnet85
　　171.68.118.100 stop task_id=5 start_time=953936729 timezone=UTC
　　service=shell disc-cause=2 elapsed_time=236
　　Fri Mar 24 13:22:50 2000 10.31.1.151 pinecone telnet85
　　171.68.118.100 stop task_id=15 start_time=953936975 timezone=UTC
　　service=shell priv-lvl=0 cmd=enable
　　Fri Mar 24 13:22:54 2000 10.31.1.151 pinecone telnet85
　　171.68.118.100 stop task_id=16 start_time=953936979 timezone=UTC
　　service=shell priv-lvl=15 cmd=write terminal
　　Fri Mar 24 13:22:59 2000 10.31.1.151 pinecone telnet85
　　171.68.118.100 stop task_id=17 start_time=953936984 timezone=UTC
　　service=shell priv-lvl=15 cmd=show version
　　Fri Mar 24 13:23:19 2000 10.31.1.151 pinecone telnet85
　　171.68.118.100 update task_id=14 start_time=953936974 timezone=UTC
　　service=shell
　　
　　RADIUS在UNIX記錄輸出
　　下面是示例記錄在服務器如何可能出現：
　　
　　Client-Id = 10.31.1.151
　　 NAS-Port-Type = 0
　　 User-Name = "login"
　　 Acct-Status-Type = Start
　　 Acct-Authentic = RADIUS
　　 User-Service-Type = 7
　　 Acct-session-Id = "0000002b"
　　 Acct-Delay-Time = 0
　　 Client-Id = 10.31.1.151
　　 NAS-Port-Type = 0
　　 User-Name = "login"
　　 Calling-Station-Id = "171.68.118.100"
　　 Acct-Status-Type = Start
　　 User-Service-Type = Login-User
　　 Acct-Session-Id = "0000002c"
　　 Login-Service = Telnet
　　 Login-Host = 171.68.118.100
　　 Acct-Delay-Time = 0
　　 Client-Id = 10.31.1.151
　　 NAS-Port-Type = 0
　　 User-Name = "login"
　　 Calling-Station-Id = "171.68.118.100"
　　 Acct-Status-Type = Stop
　　 User-Service-Type = Login-User
　　 Acct-Session-Id = "0000002c"
　　 Login-Service = Telnet
　　 Login-Host = 171.68.118.100
　　 Acct-Session-Time = 9
　　 Acct-Delay-Time = 0
　　 Client-Id = 10.31.1.151
　　 NAS-Port-Type = 0
　　 User-Name = "login"
　　 Acct-Status-Type = Stop
　　 Acct-Authentic = RADIUS
　　 User-Service-Type = 7
　　 Acct-Session-Id = "0000002b"
　　 Received unknown attribute 49
　　 Acct-Session-Time = 30
　　 Acct-Delay-Time = 0
　　
　　步驟 H - TACACS+ Enable認證
　　遵從指令如下：
　　
　　切記有后門假如服務器發生故障通過發出以下命令： set authentication enable local enable
　　
　　通知交換機發送可用請求到服務器通過發出以下命令： set authentication enable tacacs enable
　　
　　添加如下命令將導致發送用戶名 $enab15$的交換機到RADIUS服務器。不是所有的 RADIUS 服務器支持這種用戶名。請參閱步驟E 上面關于將啟動個人用戶到激活模式的另一個選擇(例如，設置服務類型 (RADIUS屬性6 -對治理))。
　　
　　確定有后門假如服務器發生故障通過發出以下命令： set authentication enable local enable
　　
　　通知交換機發送可用請求到服務器假如您的RADIUS服務器通過發出以下命令支持 $enab15$ 用戶名： set authentication enable radius enable
　　
　　第 I步- RADIUS激活認證
　　添加如下命令將導致發送用戶名$enab15$ 的交換機到RADIUS服務器。不是所有的RADIUS 服務器支持這種用戶名。請參閱步驟E 上面關于將啟動個人用戶到激活模式的另一個選擇(例如，設置服務類型(RADIUS屬性6 -對治理))。
　　
　　確定有后門假如服務器發生故障通過發出以下命令： set authentication enable local enable
　　
　　通知交換機發送可用請求到服務器假如您的RADIUS服務器通過發出以下命令支持 $enab15$ 用戶名： set authentication enable radius enable
　　
　　步驟J - TACACS+啟用授權
　　當用戶設法啟用，添加如下命令將導致發送啟用的交換機到服務器。服務器需要有答應的使能命令。在以下示例，我們有一個故障切換到無在服務器發生故障的事件：
　　
　　set author enable enable tacacs+ none both
　　
　　步驟 K - Kerberos認證
　　更多信息關于安裝Kerberos到交換機在以下文件可以查找：
　　
　　控制和監控對交換機的訪問使用驗證、授權和記帳
　　
　　密碼恢復
　　欲知關于密碼恢復程序的更多信息，參見以下文件：
　　
　　密碼恢復程序
　　
　　此頁是Cisco產品密碼恢復程序索引。
　　
　　ip permit命令為附加安全性
　　對于附加安全性，Catalyst可以配置通過ip permit命令控制 Telnet訪問：
　　
　　set ip permit enable telnet
　　
　　設置ip permit 范圍掩碼主機
　　
　　這答應僅范圍或主機指定對Telnet到交換機。
　　
　　調試在 Catalyst
　　在啟用調試之前在Catalyst，檢查服務器日志故障的原因。這是輕易和較不破裂的到交換機。在初期的交換機版本，調試在工程模式執行。訪問工程模式執行 debug命令不是必要的在最新編碼版本：
　　
　　設置跟蹤tacacs半徑Kerberos 4
　　
　　注重：　集跟蹤 tacacs半徑Kerberos 0 命令返回Catalyst到沒有跟蹤模式。

上一篇：2004年萬兆以太網交換機市場調查

下一篇：循序漸進運營商的VoIP向軟交換過渡