Студопедия

Главная страница Случайная страница

Разделы сайта

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника






Authentication


⇐ ПредыдущаяСтр 2 из 3Следующая ⇒




Для установления личности определяется список методов идентификации и применяется к определенному интерфейсу.

Проверка при входе на линию:
═ ═ aaa authentication login { имя-списка | default } метод1 [ метод2 ] ═...

Методы при проверке на входе бывают следующие:

  • tacacs+ - использовать сервер TACACS+
  • none - удостоверять личность без проверки
  • enable - использовать пароль администратора (enable password) для проверки личности
  • krb5 - использовать сервер Kerberos 5
  • krb5-telnet - использовать сервер Kerberos 5 соединяясь с ним через telnet
  • line - использовать пароль, привязанный к линии
  • local - использовать локальную БД имен
  • radius - использовать сервер RADIUS

Для использования сервера kerberos необходимо иметь версию IOS с поддержкой шифровки.

Применить список методов к линии(ям):

  • line тип-линии номер-линии [конечный-номер-линии-из-интервала]
  • login authentification { default | имя-списка-методов }

Пример:
═ ═ aaa authentication login default tacacs+ enable # по-умолчанию проверяем каждый вход на линию с помощью tacacs+ сервера, а если он не отзывается, то спрашиваем пароль суперпользователя. Т.к. используется имя default, то он будет действовать на всех линиях.

Если пользователи подсоединяются с RAS по PPP, минуя интерфейс командной строки, то для проверки их личности необходимо определить список методов установления личности при соединении PPP, по умолчанию никакой проверки не производится (список default не используется):
═ ═ aaa authentication ppp { имя-списка | default } метод1 [ метод2 ] ═...

Применить список методов к интерфейсам (if-needed только для TACACS и XTACACS, callin вызывает аутентификацию только для входных соединений, one-time позволяет вводить имя и пароль в одной строке; д.б. установлена encapsulation ppp на интерфейсе):

  • interface тип-интерфейса номер-интерфейса
  • ppp authentication {chap | pap | chap pap | pap chap | ms-chap } [if-needed] {default | list-nam e} [callin] [ one-time ]

Методы при проверке личности во время установления PPP-соединения бывают следующие:

  • tacacs+ - использовать сервер TACACS+
  • radius - использовать сервер RADIUS
  • none - удостоверять личность без проверки
  • local - использовать локальную БД имен
  • krb5 - использовать сервер Kerberos 5
  • if-needed - не делать проверку, если она уже была произведена при входе на линию

Пример:
═ ═ aaa authentication ppp default if-needed none # при включении PPP, производим фиктивную проверку пользователя, если не проверяли его раньше (может это уже можно выключить?), т.к. используется имя default, то сами интерфейсы конфигурировать не надо.

Проверка личности при переходе в привилегированный режим:
═ ═ aaa authentication enable default метод1 [ метод2 ] ═...

Методы при проверке личности при входе в привилегированный режим:

  • enable - использовать пароль администратора (enable password) для проверки личности
  • line - использовать пароль, привязанный к линии
  • none - удостоверять личность без проверки
  • tacacs+ - использовать сервер TACACS+
  • radius - использовать сервер RADIUS

Бывает еще двойная проверка (access-profile, ip trigger-authentication, show ip trigger-authentication, clear ip trigger-authentication) и автоматическая двойная проверка, но это какакя-то муть.

Аутентификация без AAA (как только AAA сконфигурирован, то он имеет больший приоритет)

  • установление пароля на линию (в режиме конфигурации линии), до 80 букв и цифр (должен начинаться с буквы):
    password пароль
    login
  • проверка имени пользователя (в глобальном режиме конфигурации, password и autocommand д.б. последними в строке, можно использовать несколько строк на одно имя - информация будет накапливаться), используется также для CHAP (чтобы отвечать на CHAP-запросы имя должно соответствовать имени хоста, на удаленном хосте это имя тоже д.б. определено с тем же секретом):
    username имя [ nopassword | password тип-шифровкипароль | password пароль ] [ callback-dialstring номер-телефон а] ═ [ callback-rotary номер-группы-rotary ] [ callback-line [ tty ] line-number [ ending-line-number ]] [ access-class номер-ACL ] [ privilege уровень ] [ autocommand команда ] [ noescape ] [ nohangup ]
    Что касается длин имени и пароля: безопасным является использование имен и паролей длиной до 8 символов включительно. Более длинные имена и пароли (якобы до 25 символов, буквы и цифры и пробелы, первый символ - буква) обрабатываются по-разному в разных версиях IOS. CHAP секрет - до 11 символов. tac_plus пароль, шифрованный с помощью crypt - до 8 символов.
  • установка пароля на привилегированные команды
    enable [ secret ] [ level уровень-привилегий ] { password | encryption-typeencrypted-password }
    рекомендуется использовать опцию secret (пароль будет храниться в шифрованном виде). Первый уровень привилегий дается каждому пользователю при входе по умолчанию, 15 уровень - режим суперпользователя, команды изменения уровня (enable, disable, exit, help) находится на нулевом уровне. encryption-type:
    • 7 (для enable без secret, собственный алгоритм шифрования, есть программа декодирования)
    • 5 (для enable secret, необратимое шифрование)
    • 0 (незашифрованный текст)
  • шифровать пароли (а также прочие ключи)
    service password-encryption
  • переместить определенную команду на другой уровень (очень удобно для clear line;)
    privilege mode level level command (где mode - командный режим: exec, configure, interface, line и др.)
  • дать всем пользователям, входящим с определенной линии указанный уровень привилегий (в режиме конфигурации линии)
    privilege level level
  • посмотреть текущий уровень привилегий
    show privilege
  • перейти на другой уровень (в режиме EXEC)
    enable уровень

Тонкая настройка:

  • aaa authentication local-override # позволяет использовать локальную базу пользователей перед обращением к другим методам, но такие пользователи получаются абсолютно бесправными (даже EXEC не могут запустить, т.к. не проходят авторизацию).
  • timeout login response seconds # сколько секунд IOS будет ждать ввода имени или пароля (30 секунд, есть еще количество попыток)
  • aaa authentication password-prompt text-string (если он не заменен внешним сервером)
  • aaa authentication username-prompt text-string (если он не заменен внешним сервером)
  • aaa authentication banner delimiter string delimiter
  • aaa authentication fail-message delimiter string delimiter
  • аутентификация при выходных звонках или когда дозвонившийся тоже хочет убедиться, что попал куда хотел (PAP)
    ppp pap sent-username username password password
  • отказаться отвечать на запросы CHAP (но выдавать такие запросы самому)
    ppp chap refuse [callin]
  • отвечать на запросы CHAP только после того, как собеседник представится (действует по умолчанию)
    ppp chap wait secret
  • выдавать себя за указанный хост (по умолчанию посылается собственное имя NAS) для соседей, имя которых не найдено в списке пользователей
    ppp chap hostname hostname
  • определить секретное слово (до 11 символов) для CHAP для соседей, имя которых не найдено в списке пользователей
    ppp chap password secret
  • количество попыток (по умолчанию 3)
    tacacs-server attempts count

⇐ Предыдущая123Следующая ⇒




© 2023 :: MyLektsii.ru :: Мои Лекции
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав.
Копирование текстов разрешено только с указанием индексируемой ссылки на источник.