ccnas_v11_ch03
TRANSCRIPT
Authentication, Authorization y Accounting
© 2012 Cisco and/or its affiliates. All rights reserved. 1
Accounting
• Métodos:
– Solo contraseñas
– Base de datos local
– Autenticación Local AAA (AAA autónomo)
– AAA Basado en servidor
© 2012 Cisco and/or its affiliates. All rights reserved. 2
Internet
User Access Verification
Password: cisco
Password: cisco1
Password: cisco12
% Bad passwords
© 2012 Cisco and/or its affiliates. All rights reserved. 3
R1(config)# line vty 0 4
R1(config-line)# password cisco
R1(config-line)# login
• El acceso al modo Usuario o al modo Privilegiado es limitado y no son escalables.
Internet
Welcome to SPAN Engineering
User Access VerificationUsername adminPassword: cisco
User Access Verification
Username: Admin
Password: cisco1
% Login invalid
Username: Admin
Password: cisco12
% Login invalid
© 2012 Cisco and/or its affiliates. All rights reserved. 4
• Proporciona mayor seguridad que una simple contraseña.
• Es una solución de seguridad rentable y fácil de implementar.
R1(config)# username Admin secret Str0ng5rPa55w0rd
R1(config)# line vty 0 4
R1(config-line)# login local
• El problema es que esta base de datos local tiene que serreplicada en varios dispositivos…
© 2012 Cisco and/or its affiliates. All rights reserved. 5
• AAA es un marco arquitectónico para configurar:
¿A quien se le permite el acceso?
© 2012 Cisco and/or its affiliates. All rights reserved. 6
¿Qué se le permite hacer?
¿Qué hizo?
Authentication¿Quién eres?
Authorization¿Cuánto puede gastar?
© 2012 Cisco and/or its affiliates. All rights reserved. 7
Accounting¿En qué es lo que lo gastastés?
• Los Routers Cisco pueden implementar AAA utilizando:
Base de datos local username / password
Cisco Secure Access Control Server (ACS)
© 2012 Cisco and/or its affiliates. All rights reserved. 8
• Es el método predeterminado de autenticación:
– Los tipos de autenticación a realizar.
– La secuencia en la que se llevará.
• Debe ser aplicado a una interfaz específica antes de cualquiera de los métodos de autenticación definidos sea realizado.
© 2012 Cisco and/or its affiliates. All rights reserved. 9
• El cliente establece una conexión con el router.
• El router solicita las credenciales de AAA username/password.
• El router autentica el username/password usando la base dedatos local, luego el usuario es autorizado a acceder a la redbasado en la información contenida en la base de datos local.
© 2012 Cisco and/or its affiliates. All rights reserved. 10
1
23
RouterAAA
Cliente Remoto
• Implementando el Cisco Access Control Server (ACS) es masescalable porque el acceso a todos los dispositivos de lainfraestructura son validados por un Servidor Central.
– Se puede configurar la Tolerancia a Fallas, ya que se pueden configurarmúltiples ACS.
– Es una solución Empresarial.
• El servidor puede ser:
© 2012 Cisco and/or its affiliates. All rights reserved. 11
– Cisco Secure ACS para Windows Server:
• Los servicios de AAA en el router contacta a un ACS para la autenticación delusuario y del administrador.
– Cisco Secure ACS Solution Engine:
• Los servicios de AAA en el router o NAS (Network Access Server) contactan a unCisco Secure ACS Solution Engine externo para la autenticación del usuario y deladministrador.
1. El cliente establece una conexión con el router.
2. El router AAA solicita al usuario un nombre de usuario y contraseña.
3. El router autentica el nombre de usuario y la contraseña utilizando un servidor AAA a distancia.
4. El usuario está autorizado a acceder a la red basada en la información en el servidor AAA remoto.
© 2012 Cisco and/or its affiliates. All rights reserved. 12
1
24
Router AAA
Cliente RemotoCisco Secure ACS Server
3
• Proporciona el método de control de acceso remoto.
– Como la autorización de una sola vez o una autorización para cada servicio,lista de cuentas por usuario y perfil, admite grupos de usuarios, …
• Una vez que un usuario se ha autenticado, los servicios deautorización determinan:
– Recursos que el usuario puede tener acceso.
– Operaciones que el usuario está autorizado a realizar.
© 2012 Cisco and/or its affiliates. All rights reserved. 13
• Por ejemplo, el "Usuario" estudiante "puede acceder a serverxyz host medianteTelnet solamente.“
• Al igual que con la autenticación, la autorización AAA seconfigura mediante la definición de una lista de métodos deautorización “nombrada“ y aplicando luego esa lista a diversasinterfaces.
1.El usuario autenticado y una sesión se ha establecido con el
Cisco Secure ACS Server
1
2
3
Router AAA
Cliente Remoto
© 2012 Cisco and/or its affiliates. All rights reserved. 14
1.El usuario autenticado y una sesión se ha establecido con el
servidor AAA.
2.Cuando el usuario intenta introducir comandos del modo EXEC
privilegiado, el router solicita la autorización a un servidor AAA
para verificar que el usuario tiene el derecho de usarlo.
3.El servidor AAA devuelve un respuesta "PASS / FAIL”.
• Proporciona el método para la recogida y el envío de informaciónde seguridad del servidor.
• Se utiliza para el detalle, auditoría y presentación de informes,tales como las identidades de usuario, inicio y detención, órdenesejecutadas, el número de paquetes / bytes…
• Con AAA activado, el router informa de la actividad del usuario enel servidor TACACS+ de forma de registros contables.
© 2012 Cisco and/or its affiliates. All rights reserved. 15
el servidor TACACS+ de forma de registros contables.
• El accounting se configura mediante la definición de una lista demétodos “nombradas“ de contabilidad y luego se aplicar la lista adiversas interfaces.
1. Cuando un usuario se ha autenticado, el proceso de contabilidad
AAA genera un mensaje de inicio para iniciar el proceso de
Router AAA
ClienteRemoto
Cisco Secure ACS Server
2
1
© 2012 Cisco and/or its affiliates. All rights reserved. 16
AAA genera un mensaje de inicio para iniciar el proceso de
contabilidad.
2. Cuando el usuario cierra la sesión, un mensaje de detención se
registra y se termina el proceso de contabilidad.
• Incrementa la flexibilidad y controla el acceso a la configuracion
• Escalabilidad
• Múltiples sistemas de respaldo
• Métodos de autenticación estandarizados– RADIUS, TACACS+ y Kerberos
© 2012 Cisco and/or its affiliates. All rights reserved. 17
• AAA es típicamente implementado usando un ACS serverdedicado para almacenar usernames/passwords en una base dedatos centralizada.
• La información está centralizada “ingresado/actualizado” adiferencia de una base de datos local que se debe configurar encada router.
© 2012 Cisco and/or its affiliates. All rights reserved. 18
• La tolerancia a fallos se puede configurar en una secuenciarecurrente.
– Se consulta con un servidor de seguridad
– Si se produce un error, se consulta la base de datos local
© 2012 Cisco and/or its affiliates. All rights reserved. 19
• TACACS+
• Terminal Access Controller Access Control System Plus
• RADIUS
• Remote Authentication Dial-In User Service
© 2012 Cisco and/or its affiliates. All rights reserved. 20
Implementacion de Autenticacion
© 2012 Cisco and/or its affiliates. All rights reserved. 21
Implementacion de Autenticacion Local AAA
1. Habilitar AAA :– aaa new-model
2. Definir el método de autenticación:– aaa autenticación
3. Aplicar el método seleccionado a una interface o línea particular (si se requiere).
© 2012 Cisco and/or its affiliates. All rights reserved. 22
• El comando aaa new-model habilita la caracteristica de AAA.
– Los comandos de AAA pueden ser configurados ahora.
– Para deshabilitar AAA, use el comando no aaa new-model.
• Precaución:
– No ejecute el comando a menos que esté preparado para configurar laautenticación AAA. Si lo hace, podría obligar a los usuarios de Telnet aautenticarse con un nombre de usuario, incluso si no hay base de datos denombre de usuario o método de autenticación.
© 2012 Cisco and/or its affiliates. All rights reserved. 23
nombre de usuario o método de autenticación.
R1(config)# aaa new-model
© 2012 Cisco and/or its affiliates. All rights reserved. 24
• Se debe especificar cual tipo de autenticación se desea configurar:
– Login – habilita AAA para TTY, VTYs y con 0.
– Enable - habilita AAA para los modos EXEC.
– PPP - habilita AAA para PPP.
© 2012 Cisco and/or its affiliates. All rights reserved. 25
• El método por Default es automáticamente aplicado a todas lasinterfaces, si no se define otro método.
• Las listas nombradas pueden ser aplicadas a una interface especificaantes que cualquier método autenticación sea automáticamenteaplicado.
© 2012 Cisco and/or its affiliates. All rights reserved. 26
• Los métodos enumeran los tipos de autenticación a realizar y la secuencia en la cual se ejecutaran, tales como:
– Contraseñas Pre-definidas (por ejem., local, enable, o line)
– Consultando un servidor TACACS+ / RADIUS / Kerberos.
Métodos Descripción
© 2012 Cisco and/or its affiliates. All rights reserved. 27
Métodos Descripción
enable Utiliza la contraseña de enable para la autenticación.
line Utiliza la contraseña de línea para la autenticación.
local Utiliza el nombre de usuario de base de datos local para la autenticación.
local-case Utiliza el nombre de usuario local case-sensitive para la autenticación
none No usa autenticación.
cache group-name Utiliza un grupo servidor de cache para la autenticación
group radius Utiliza la lista de los servidores RADIUS para la autenticación.
group tacacs+ Uses la lista de los servidores TACACS+ para la autenticación
group group-name Utiliza un subconjunto de servidores RADIUS o TACACS+ para la autenticación
según lo definido por el comando aaa group server radius o aaa group server tacacs+
.
– aaa local authentication attempts max-fail number-of-
unsuccessful-attempts
aaa local authentication attempts max-fail [number-of-unsuccessful-attempts]
Router(config)#
© 2012 Cisco and/or its affiliates. All rights reserved. 28
• Este comando bloquea la cuenta de usuario si falla laautenticación, la cuenta permanece bloqueada hasta que sedesbloquea a través de un administrador mediante el comando:
– clear aaa local user lockout {username username | all}
© 2012 Cisco and/or its affiliates. All rights reserved. 29
• Agregue los usernames / passwords en la base de datos local del router para que aquellos usuarios que necesitan acceso administrativo al router.
• Habilite AAA globalmente en el router.
• Configure los parámetros de AAA necesarios.
• Confirme y corrija la configuración de AAA de ser necesario.
© 2012 Cisco and/or its affiliates. All rights reserved. 30
• Confirme y corrija la configuración de AAA de ser necesario.
R1# conf t
R1(config)# username JR-ADMIN secret Str0ngPa55w0rd
R1(config)# username ADMIN secret Str0ng5rPa55w0rd
R1(config)# aaa new-model
R1(config)# aaa authentication login default local-case
R1(config)# aaa local authentication attempts max-fail 10
• Se puede usar la lista “default” o defina una lista nombrada.
– La lista default es automáticamente aplicada a todas las interfaces si no se define otro método.
– Debe aplicarse una lista nombrada a una interface especifica antes de que cualquier lista nombrada sea implementada como método de autenticación.
© 2012 Cisco and/or its affiliates. All rights reserved. 31
R1# conf t
R1(config)# username JR-ADMIN secret Str0ngPa55w0rd
R1(config)# username ADMIN secret Str0ng5rPa55w0rd
R1(config)# aaa new-model
R1(config)# aaa authentication login default local-case enable
R1(config)# aaa authentication login TELNET-LOGIN local-case
R1(config)# line vty 0 4
R1(config-line)# login authentication TELNET-LOGIN
R1# show aaa sessions
Total sessions since last reload: 4
R1# show aaa local user lockout
Local-user Lock time
JR-ADMIN 04:28:49 UTC Sat Dec 27 2008
© 2012 Cisco and/or its affiliates. All rights reserved. 32
Session Id: 1
Unique Id: 175
User Name: ADMIN
IP Address: 192.168.1.10
Idle Time: 0
CT Call Handle: 0
R1# debug aaa ?
accounting Accounting
administrative Administrative
api AAA api events
attr AAA Attr Manager
authentication Authentication
authorization Authorization
cache Cache activities
coa AAA CoA processing
db AAA DB Manager
dead-criteria AAA Dead-Criteria Info
id AAA Unique Id
ipc AAA IPC
mlist-ref-count Method list reference counts
© 2012 Cisco and/or its affiliates. All rights reserved. 33
mlist-ref-count Method list reference counts
mlist-state Information about AAA method list state change and
notification
per-user Per-user attributes
pod AAA POD processing
protocol AAA protocol processing
server-ref-count Server handle reference counts
sg-ref-count Server group handle reference counts
sg-server-selection Server Group Server Selection
subsys AAA Subsystem
testing Info. about AAA generated test packets
R1# debug aaa
R1# debug aaa authentication
113123: Feb 4 10:11:19.305 CST: AAA/MEMORY: create_user (0x619C4940) user=''
ruser='' port='tty1' rem_addr='async/81560' authen_type=ASCII service=LOGIN priv=1
113124: Feb 4 10:11:19.305 CST: AAA/AUTHEN/START (2784097690): port='tty1' list=''
action=LOGIN service=LOGIN
113125: Feb 4 10:11:19.305 CST: AAA/AUTHEN/START (2784097690): using "default" list
113126: Feb 4 10:11:19.305 CST: AAA/AUTHEN/START (2784097690): Method=LOCAL
113127: Feb 4 10:11:19.305 CST: AAA/AUTHEN (2784097690): status = GETUSER
113128: Feb 4 10:11:26.305 CST: AAA/AUTHEN/CONT (2784097690): continue_login
(user='(undef)')
113129: Feb 4 10:11:26.305 CST: AAA/AUTHEN (2784097690): status = GETUSER
113130: Feb 4 10:11:26.305 CST: AAA/AUTHEN/CONT (2784097690): Method=LOCAL
© 2012 Cisco and/or its affiliates. All rights reserved. 34
113130: Feb 4 10:11:26.305 CST: AAA/AUTHEN/CONT (2784097690): Method=LOCAL
113131: Feb 4 10:11:26.305 CST: AAA/AUTHEN (2784097690): status = GETPASS
113132: Feb 4 10:11:28.145 CST: AAA/AUTHEN/CONT (2784097690): continue_login
(user='diallocal')
113133: Feb 4 10:11:28.145 CST: AAA/AUTHEN (2784097690): status = GETPASS
113134: Feb 4 10:11:28.145 CST: AAA/AUTHEN/CONT (2784097690): Method=LOCAL
113135: Feb 4 10:11:28.145 CST: AAA/AUTHEN (2784097690): status = PASS
AAA esta
© 2012 Cisco and/or its affiliates. All rights reserved. 35
AAA esta desactivado por defecto en CCP.
© 2012 Cisco and/or its affiliates. All rights reserved. 36
© 2012 Cisco and/or its affiliates. All rights reserved. 37
Implementar autenticación AAA
© 2012 Cisco and/or its affiliates. All rights reserved. 38
Implementar autenticación AAAbasada en servidor
© 2012 Cisco and/or its affiliates. All rights reserved. 39
1. El cliente establece una conexión con el router.
2. El router AAA solicita al usuario un nombre de usuario y contraseña.
3. El router autentica el nombre de usuario y la contraseña utilizando el ACS.
4. El ACS autentica al usuario. El usuario está autorizado a acceder al router (acceso administrativo) o a la red, basado en la información encontrada en el ACS.
� La familia del Cisco ACS soporta:
– Terminal Access Control Access Control Server Plus (TACACS+)
– Remote Dial-in User Services (RADIUS)
© 2012 Cisco and/or its affiliates. All rights reserved. 40
• Ambos protocolos pueden ser usados para la comunicación entre el cliente y los servidores de AAA.
• TACACS+ es considerado el protocolo mas seguro porque todos los intercambios de datos se cifran.
• Radius solo encripta el password del usuario.
© 2012 Cisco and/or its affiliates. All rights reserved. 41
Connect Username prompt?
Username? Use ““““Username””””
JR-ADMIN JR-ADMIN
Password prompt?
© 2012 Cisco and/or its affiliates. All rights reserved. 42
Password?
Password prompt?
““““Str0ngPa55w0rd””””
Use ““““Password””””
Accept/Reject
““““Str0ngPa55w0rd””””
• RADIUS usa los puertos UDP 1645 o 1812 para autenticación y los puertos 1646 o 1813 para accounting.
Username?
JR-ADMIN
Access-Request(JR_ADMIN, ““““Str0ngPa55w0rd””””)
Access-Accept
© 2012 Cisco and/or its affiliates. All rights reserved. 43
JR-ADMIN
Password?
Str0ngPa55w0rd
Access-Accept
Feature TACACS+ RADIUS
FuncionalidadSepara AAA según la arquitectura AAA, lo
que permite la modularidad de la
implementación del servidor de seguridad
Combina la autenticación y la
autorización, pero se separa de
contabilidad, lo que permite menos
flexibilidad en la aplicación de TACACS+.
Estándar Mayormente soportado por Cisco Abierto / estándar RFC
Protocolos de Transporte TCP 49UDP 1645 o 1812 para autenticación
UDP 1646 o 1813 para accounting
© 2012 Cisco and/or its affiliates. All rights reserved. 44
CHAPReto bidireccional y respuestas tal como
lo usa CHAPReto unidireccional
Protocolos Soportados Soporte de Multiprotocolo No ARA, no NetBEUI
Confidencialidad Se cifra todo el paquete Solo se encriptan las contraseñas
CustomizaciónProporciona autorización de comandos
del router en una base por usuario o por
grupo.
No tiene opción de autorizar comandos
del router en una base por usuario o por
grupo.
Accounting Limitada Extensivo
Cisco Secure
© 2012 Cisco and/or its affiliates. All rights reserved. 45
Cisco Secure ACS
• Many enterprise-level authentication servers are on the market today including:
– Funk's Steel-Belted RADIUS server
– Livingston Enterprises' RADIUS Authentication Billing Manager
– Merit Networks' RADIUS
– Cisco Secure ACS for Windows Server (ACS)
• Cisco ACS is a single solution that offers AAA services using
© 2012 Cisco and/or its affiliates. All rights reserved. 46
• Cisco ACS is a single solution that offers AAA services using TACACS+ or RADIUS.
Ease of use• A web-based user interface simplifies the configuration for user profiles, group profiles, and
ACS configuration.
Scalability• ACS is built to provide large networked environments including redundant servers, remote
databases, and database replication and backup services.
Extensibility• Supports the authentication of user profiles that are stored in directories from leading
directory vendors, including Sun, Novell, and Microsoft.
Management • Active Directory support consolidates username and password management.
Administration• Ability to group network devices together make it easier and more flexible to control the
© 2012 Cisco and/or its affiliates. All rights reserved. 47
Administration• Ability to group network devices together make it easier and more flexible to control the
enforcement and changes for all devices in a network.
Product flexibility
• Cisco Secure ACS is available in three options: Cisco Secure ACS Solution Engine, Cisco
Secure ACS Express, and Cisco Secure ACS for Windows.
Integration • Tight coupling with Cisco IOS routers and VPN solutions.
Third-party support
• Cisco Secure ACS offers token server support for any one-time password (OTP) vendor that
provides an RFC-compliant RADIUS interface, such as RSA, PassGo, Secure Computing,
ActiveCard, Vasco, or CryptoCard.
Control• Provides dynamic quotas to restrict access based on the time of day, network use, number of
logged sessions, and the day of the week.
Cisco Secure ACS Express 5.0
– Nivel de entrada de ACS con un conjunto de características simplificadas
– Admite hasta 50 dispositivos AAA y hasta 350 conexiones únicas de
usuario en un periodo de 24 horas
Cisco Secure ACS for Windows puede ser instalado en:
– Windows 2000 Server con Service Pack 4
– Windows 2000 Advanced Server con Service Pack 4
© 2012 Cisco and/or its affiliates. All rights reserved. 48
– Windows 2000 Advanced Server con Service Pack 4
– Windows Server 2003 Standard o Enterprise Edition
– Windows Server 2008 Standard o Enterprise Edition
Cisco Secure ACS Solution Engine
– Una plataforma dedicada altamente escalable que sirve como un ACS de
alto rendimiento
– Montable en rack - 1RU
– Preinstalado con un software de seguridad en Windows, Cisco Secure
ACS
– Soporte para mas de 350 usuarios.
© 2012 Cisco and/or its affiliates. All rights reserved. 49
© 2012 Cisco and/or its affiliates. All rights reserved. 50
© 2012 Cisco and/or its affiliates. All rights reserved. 51
© 2012 Cisco and/or its affiliates. All rights reserved. 52
© 2012 Cisco and/or its affiliates. All rights reserved. 53
© 2012 Cisco and/or its affiliates. All rights reserved. 54
• ACSv5 Demo
– http://www.cisco.com/assets/cdc_content_elements/flash/netman/acsv5tacacs/player.html
© 2012 Cisco and/or its affiliates. All rights reserved. 55
Configuración de Autenticación
© 2012 Cisco and/or its affiliates. All rights reserved. 56
Configuración de Autenticación AAA Basada en Servidor
1. Habilite AAA de forma global:– aaa new-model
2. Configure los parámetros del protocolo de seguridad:– Server IP address and Key
3. Defina la lista de autenticación a usar:– aaa authentication
4. Aplique la lista a una interface particular o línea (si se requiere).
© 2012 Cisco and/or its affiliates. All rights reserved. 57
4. Aplique la lista a una interface particular o línea (si se requiere).
5. Si desea configurar la autorización:– aaa authorization
6. Opcionalmente, configure accounting usando el comando:– aaa accounting
R1
192.168.1.100
Cisco Secure ACS for Windows
using RADIUS
© 2012 Cisco and/or its affiliates. All rights reserved. 58
192.168.1.101
Cisco Secure ACS Solution Engine
using TACACS+
R1(config)# aaa new-model
R1(config)#
R1(config)# tacacs-server host 192.168.1.101 single-connection
R1(config)# tacacs-server key TACACS+Pa55w0rd
R1(config)#
R1(config)# radius-server host 192.168.1.100
R1(config)# radius-server key RADIUS-Pa55w0rd
R1(config)#
R1(config)# aaa authentication login default ?
enable Use enable password for authentication.
group Use Server-group
krb5 Use Kerberos 5 authentication.
krb5-telnet Allow logins only if already authenticated via Kerberos V
Telnet.
line Use line password for authentication.
local Use local username authentication.
local-case Use case-sensitive local username authentication.
none NO authentication.
passwd-expiry enable the login list to provide password aging support
© 2012 Cisco and/or its affiliates. All rights reserved. 59
R1(config)# aaa authentication login default group ?
WORD Server-group name
radius Use list of all Radius hosts.
tacacs+ Use list of all Tacacs+ hosts.
R1
192.168.1.100
Cisco Secure ACS for Windows
using RADIUS
© 2012 Cisco and/or its affiliates. All rights reserved. 60
192.168.1.101
Cisco Secure ACS Solution Engine
using TACACS+
R1(config)# aaa new-model
R1(config)#
R1(config)# tacacs-server host 192.168.1.101 single-connection
R1(config)# tacacs-server key TACACS+Pa55w0rd
R1(config)#
R1(config)# radius-server host 192.168.1.100
R1(config)# radius-server key RADIUS-Pa55w0rd
R1(config)#
R1(config)# aaa authentication login default group tacacs+ group radius local-case
R1(config)#
R1# debug aaa authentication
AAA Authentication debugging is on
R1#
14:01:17: AAA/AUTHEN (567936829): Method=TACACS+
14:01:17: TAC+: send AUTHEN/CONT packet
14:01:17: TAC+ (567936829): received authen response status = PASS
14:01:17: AAA/AUTHEN (567936829): status = PASS
© 2012 Cisco and/or its affiliates. All rights reserved. 61
R1# debug tacacs ?
accounting TACACS+ protocol accounting
authentication TACACS+ protocol authentication
authorization TACACS+ protocol authorization
events TACACS+ protocol events
packet TACACS+ packets
<cr>
R1# debug radius ?
accounting RADIUS accounting packets only
© 2012 Cisco and/or its affiliates. All rights reserved. 62
authentication RADIUS authentication packets only
brief Only I/O transactions are recorded
elog RADIUS event logging
failover Packets sent upon fail-over
local-server Local RADIUS server
retransmit Retransmission of packets
verbose Include non essential RADIUS debugs
<cr>
R1# debug radius
R1# debug tacacs
TACACS access control debugging is on
R1#
13:53:35: TAC+: Opening TCP/IP connection to 192.168.1.101 using source 192.48.0.79
13:53:35: TAC+: Sending TCP/IP packet number 416942312-1 to 192.168.1.101
(AUTHEN/START)
13:53:35: TAC+: Receiving TCP/IP packet number 416942312-2 from 192.168.60.15
13:53:35: TAC+ (416942312): received authen response status = GETUSER
13:53:37: TAC+: send AUTHEN/CONT packet
13:53:37: TAC+: Sending TCP/IP packet number 416942312-3 to 192.168.1.101
(AUTHEN/CONT)
13:53:37: TAC+: Receiving TCP/IP packet number 416942312-4 from 192.168.60.15
© 2012 Cisco and/or its affiliates. All rights reserved. 63
13:53:37: TAC+ (416942312): received authen response status = GETPASS
13:53:38: TAC+: send AUTHEN/CONT packet
13:53:38: TAC+: Sending TCP/IP packet number 416942312-5 to 192.168.1.101
(AUTHEN/CONT)
13:53:38: TAC+: Receiving TCP/IP packet number 416942312-6 from 192.168.60.15
13:53:38: TAC+ (416942312): received authen response status = FAIL
13:53:40: TAC+: Closing TCP/IP connection to 192.168.60.15
© 2012 Cisco and/or its affiliates. All rights reserved. 64
© 2012 Cisco and/or its affiliates. All rights reserved. 65
© 2012 Cisco and/or its affiliates. All rights reserved. 66
Autorizacion basado en Servidor
© 2012 Cisco and/or its affiliates. All rights reserved. 67
Autorizacion basado en Servidor
• Si usa para limitar los servicios disponibles para un usuario.
• El router utiliza la información del perfil del usuario, que se encuentra ya sea en la base de datos local o en el servidor de seguridad, para configurar la sesión del usuario.
• El usuario tiene acceso a un servicio solicitado, si la información en el perfil de usuario lo permite.
© 2012 Cisco and/or its affiliates. All rights reserved. 68
aaa authorization type { default | list-name } method1 … [method4]
Router(config)#
show version
Command authorization for user JR-ADMIN, command “show version”?
Accept
JR-ADMIN
Display “show version” output
configure terminal
Command authorization for user JR-ADMIN, command “config terminal”?
Do not permit
© 2012 Cisco and/or its affiliates. All rights reserved. 69
RejectDo not permit
“configure terminal”
R1(config)# aaa authorization ?
auth-proxy For Authentication Proxy Services
cache For AAA cache configuration
commands For exec (shell) commands.
config-commands For configuration mode commands.
configuration For downloading configurations from AAA server
console For enabling console authorization
exec For starting an exec (shell).
ipmobile For Mobile IP services.
multicast For downloading Multicast configurations from an AAA server
network For network services. (PPP, SLIP, ARAP)
prepaid For diameter prepaid services.
reverse-access For reverse access connections
template Enable template authorization
© 2012 Cisco and/or its affiliates. All rights reserved. 70
template Enable template authorization
R1(config)# aaa authorization exec ?
WORD Named authorization list.
default The default authorization list.
R1(config)# aaa authorization exec default ?
group Use server-group.
if-authenticated Succeed if user has authenticated.
krb5-instance Use Kerberos instance privilege maps.
local Use local database.
none No authorization (always succeeds).
R1(config)# aaa authorization exec default group ?
WORD Server-group name
radius Use list of all Radius hosts.
tacacs+ Use list of all Tacacs+ hosts.
R1# conf t
R1(config)# username JR-ADMIN secret Str0ngPa55w0rd
R1(config)# username ADMIN secret Str0ng5rPa55w0rd
R1(config)# aaa new-model
R1(config)# aaa authentication login default group tacacs+
R1(config)# aaa authentication login TELNET-LOGIN local-case
R1(config)# aaa authorization exec default group tacacs+
R1(config)# aaa authorization network default group tacacs+
R1(config)# line vty 0 4
R1(config-line)# login authentication TELNET-LOGIN
R1(config-line)# ^Z
© 2012 Cisco and/or its affiliates. All rights reserved. 71
R1(config-line)# ^Z
© 2012 Cisco and/or its affiliates. All rights reserved. 72
© 2012 Cisco and/or its affiliates. All rights reserved. 73
Accounting basada en servidor
© 2012 Cisco and/or its affiliates. All rights reserved. 74
Accounting basada en servidor
• Define el modo de contabilidad que se realiza y la secuencia en la que se realizan.
• Las listas con nombre permiten designar un protocolo de seguridad especial para ser utilizado en líneas específicas o interfaces para los servicios de contabilidad.Router(config)#
aaa accounting type { default | list-name } record-type method1 … [method2]
© 2012 Cisco and/or its affiliates. All rights reserved. 75
R1(config)# aaa accounting ?
auth-proxy For authentication proxy events.
commands For exec (shell) commands.
connection For outbound connections. (telnet, rlogin)
delay-start Delay PPP Network start record until peer IP address is known.
exec For starting an exec (shell).
gigawords 64 bit interface counters to support Radius attributes 52 & 53.
multicast For multicast accounting.
nested When starting PPP from EXEC, generate NETWORK records before EXEC-STOP
record.
network For network services. (PPP, SLIP, ARAP)
resource For resource events.
send Send records to accounting server.
session-duration Set the preference for calculating session durations
suppress Do not generate accounting records for a specific type of user.
© 2012 Cisco and/or its affiliates. All rights reserved. 76
system For system events.
update Enable accounting update records.
R1(config)# aaa accounting exec ?
WORD Named Accounting list.
default The default accounting list.
R1(config)# aaa accounting exec default ?
none No accounting.
start-stop Record start and stop without waiting
stop-only Record stop when service terminates.
R1(config)# aaa accounting exec default start-stop?
broadcast Use Broadcast for Accounting
group Use Server-group
R1(config)# aaa accounting exec default start-stop group ?
WORD Server-group name
radius Use list of all Radius hosts.
tacacs+ Use list of all Tacacs+ hosts.
R1# conf t
R1(config)# username JR-ADMIN secret Str0ngPa55w0rd
R1(config)# username ADMIN secret Str0ng5rPa55w0rd
R1(config)# aaa new-model
R1(config)# aaa authentication login default group tacacs+
R1(config)# aaa authentication login TELNET-LOGIN local-case
R1(config)# aaa authorization exec group tacacs+
R1(config)# aaa authorization network group tacacs+
R1(config)# aaa accounting exec start-stop group tacacs+
R1(config)# aaa accounting network start-stop group tacacs+
R1(config)# line vty 0 4
R1(config-line)# login authentication TELNET-LOGIN
R1(config-line)# ^Z
© 2012 Cisco and/or its affiliates. All rights reserved. 77
R1(config-line)# ^Z