Eenvoudige AAA configureren op een toegangsserver

Downloadopties

  • PDF     (282.9 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (91.9 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (104.2 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:4 december 2023
Document-id:10384

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u verificatie, autorisatie en accounting (AAA) kunt configureren op een Cisco-router met RADIUS- of TACACS+-protocollen.

    Voorwaarden

    Vereisten

    Er zijn geen specifieke vereisten van toepassing op dit document.

    Conventies

    Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de hoofdregel van Cisco IOS® software release 12. 

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    In dit document wordt uitgelegd hoe u verificatie, autorisatie en boekhouding (AAA) configureert op een Cisco-router met Radius- of TACACS+-protocollen. Het doel van dit document is niet om alle AAA-functies te beschrijven, maar om alleen de belangrijkste opdrachten te bespreken en enkele voorbeelden en richtlijnen te geven.

    Opmerking: lees het gedeelte Algemene AAA-configuratie voordat u doorgaat met de Cisco IOS-configuratie. Als u dit niet doet, kan dit leiden tot verkeerde configuratie en daaropvolgende uitsluiting.

    Zie de handleiding voor verificatie, autorisatie en boekhoudconfiguratie voor meer informatie.

    Netwerkdiagram

    AAA Network DiagramNetwerkdiagram

    Algemene AAA-configuratie

    AAA inschakelen

    Om AAA in te schakelen moet u de opdracht aaa new-model configureren in de algemene configuratie.

    Opmerking: Totdat deze opdracht is ingeschakeld, zijn alle andere AAA-opdrachten verborgen.

    Waarschuwing: De opdracht aaa new-model past onmiddellijk lokale verificatie toe op alle lijnen en interfaces (behalve consolelijn line con 0). Als een telnet-sessie wordt geopend naar de router nadat deze opdracht is ingeschakeld (of als een verbinding vervalt en opnieuw verbinding moet maken), moet de gebruiker worden geverifieerd met de lokale database van de router. Het wordt aanbevolen om een gebruikersnaam en wachtwoord op de toegangsserver te definiëren voordat u de AAA-configuratie start, zodat u niet bent buitengesloten van de router. Zie het volgende codevoorbeeld.

    Router(config)#username xxx password yyy

    Tip: Voordat u uw AAA-opdrachten configureert, save  moet u uw configuratie wijzigen. U kunt save  de configuratie alleen opnieuw uitvoeren nadat u uw AAA-configuratie hebt voltooid (en tevreden bent dat deze correct werkt). Hiermee kunt u herstellen van onverwachte vergrendelingen, omdat u elke wijziging kunt terugdraaien met een herladen van de router.

    De externe AAA-server opgeven

    Definieer het security protocol dat wordt gebruikt met AAA (RADIUS, TACACS+) in de algemene configuratie. Als u geen van deze twee protocollen wilt gebruiken, kunt u de lokale database op de router gebruiken.

    Als u TACACS+ gebruikt, gebruikt u de <IP-adres van de tacacs-serverhost van de AAA-server> <key>-opdracht.

    Als u Radius gebruikt, gebruikt u de opdracht radius-server host <IP-adres van de AAA-server> <key>.

    Configuratie van de AAA-server

    Configureer op de AAA-server de volgende parameters:

    • De naam van de toegangsserver.

    • Het IP-adres dat de toegangsserver gebruikt om met de AAA-server te communiceren.

      Opmerking: als beide apparaten zich op hetzelfde Ethernet-netwerk bevinden, gebruikt de toegangserver standaard het IP-adres dat is gedefinieerd op de Ethernet-interface wanneer het AAA-pakket wordt verzonden. Dit is belangrijk om te weten wanneer de router meerdere interfaces (en dus meerdere adressen) heeft.

    • Precies dezelfde sleutel <key> die is geconfigureerd op de toegangsserver.

      Opmerking: De sleutel is hoofdlettergevoelig.

    • Het protocol dat door de toegangsserver (TACACS+ of RADIUS) wordt gebruikt.

    Raadpleeg de documentatie van uw AAA-server voor de exacte procedure die is gebruikt om de vorige parameters te configureren. Als de AAA-server niet correct is geconfigureerd, kunnen AAA-verzoeken van de NAS worden genegeerd door de AAA-server en kan de verbinding mislukken.

    De AAA-server moet via IP bereikbaar zijn vanaf de toegangsserver (gebruik ping om de connectiviteit te verifiëren).

    Verificatieconfiguratie

    Verificatie controleert gebruikers voordat ze toegang krijgen tot het netwerk en netwerkservices (die worden geverifieerd met autorisatie).

    AAA-verificatie configureren:

    1. Definieer eerst een benoemde lijst met verificatiemethoden (in modus Global Configuration).

    2. Pas die lijst op een of meer interfaces toe (in de configuratiemodus van de interface).

    De enige uitzondering is de standaardmethodenlijst (die standaard wordt genoemd). De standaardmethodelijst wordt automatisch toegepast op alle interfaces, behalve die waarvoor expliciet een benoemde methodelijst is gedefinieerd. Een gedefinieerde methodelijst heeft voorrang op de standaardmethodelijst.

    Deze authenticatievoorbeelden gebruiken Radius-, login- en Point-to-Point Protocol (PPP)-verificatie om concepten zoals methoden en benoemde lijsten uit te leggen. In alle voorbeelden kan TACACS+ worden vervangen door RADIUS of lokale verificatie.

    De Cisco IOS-software gebruikt de eerste methode in de lijst om gebruikers te verifiëren. Als die methode niet reageert (aangegeven met ERROR), dan selecteert de Cisco IOS-software de volgende verificatiemethode die in de methodelijst wordt vermeld. Dit proces gaat door totdat er succesvolle communicatie is via een verificatiemethode in de lijst, of tot alle methoden in de methodelijst zijn uitgeput.

    Het is belangrijk om op te merken dat de Cisco IOS-software alleen verificatie probeert met de volgende verificatiemethode in de lijst als er geen reactie is via de huidige methode. Als de verificatie op een bepaald punt in deze cyclus mislukt, dat wil zeggen als de antwoorden van de AAA-server of de lokale gebruikersdatabase de toegang van de gebruiker moeten weigeren (aangegeven door een FAIL), stopt het verificatieproces en worden er geen andere verificatiemethoden geprobeerd.

    Om gebruikersverificatie toe te staan, moet u de gebruikersnaam en het wachtwoord op de AAA-server configureren.

    Login-verificatie

    U kunt de opdracht aaa authentication login gebruiken om gebruikers te verifiëren die Exec-toegang willen tot de toegangsserver (tty, vty, console en aux).

    Voorbeeld 1: Exec Access met Radius en vervolgens Local

    Router(config)#aaa authentication login default group radius local

    In de vorige opdracht:

    • Is de benoemde lijst de standaardlijst (default).

    • Zijn er twee verificatiemethoden (group radius en local).

    Alle gebruikers worden geverifieerd met de Radius-server (de eerste methode). Als de Radius-server niet reageert, wordt de lokale database van de router gebruikt (de tweede methode). Definieer de gebruikersnaam en het wachtwoord voor lokale verificatie:

    Router(config)#username xxx password yyy

    Omdat de standaardlijst in de opdracht aaa-authenticatie-login wordt gebruikt, wordt loginverificatie automatisch toegepast voor alle loginverbindingen (zoals tty, vty, console en aux).

    Opmerking: De server (Radius of TACACS+) kan niet reageren op een verzoek om aaa-verificatie dat door de toegangserver is verzonden als er geen IP-connectiviteit is, als de toegangserver niet correct is gedefinieerd op de AAA-server of als de AAA-server niet correct is gedefinieerd op de toegangserver.

    Opmerking: als u het vorige voorbeeld gebruikt zonder lokaal trefwoord, is het resultaat:

    Router(config)#aaa authentication login default group radius

    Opmerking: als de AAA-server niet reageert op het verificatieverzoek, mislukt de verificatie (omdat de router geen alternatieve methode heeft om te proberen).

    Opmerking: met het gereserveerde woord groep kunt u de huidige serverhosts groeperen. Met deze functie kan de gebruiker een subset van de geconfigureerde serverhosts selecteren en voor een bepaalde service gebruiken. 

    Voorbeeld 2: Consoletoegang gebruikt met lijnwachtwoord

    Vouw de configuratie uit vanaf Voorbeeld 1, zodat de console-aanmelding alleen wordt geverifieerd met het wachtwoord dat is ingesteld op regel con 0.

    De lijst CONSOLE wordt gedefinieerd en dan toegepast op line con 0.

    Configuratie:

    Router(config)#aaa authentication login CONSOLE line

    In de vorige opdracht:

    • is de benoemde lijst CONSOLE.

    • Is er slechts één verificatiemethode (line).

    Wanneer een benoemde lijst (in dit voorbeeld CONSOLE) wordt gemaakt, moet deze worden toegepast op een regel of interface voordat deze wordt uitgevoerd. Dit gebeurt met login authentication het commando:

    Router(config)#line con 0 
Router(config-line)#exec-timeout 0 0 
Router(config-line)#password cisco 
Router(config-line)#login authentication CONSOLE

    De CONSOLE-lijst overschrijft de standaardmethodenlijst op regel con 0. Na deze configuratie op regel con 0, moet u het wachtwoord cisco invoeren om consoletoegang te krijgen. De standaardlijst wordt nog steeds gebruikt op tty, vty en aux.

    Opmerking: als u de consoletoegang wilt laten verifiëren met een lokale gebruikersnaam en wachtwoord, gebruikt u het volgende codevoorbeeld:

    Router(config)#aaa authentication login CONSOLE local

    In dit geval moeten een gebruikersnaam en wachtwoord worden geconfigureerd in de lokale database van de router. De lijst moet ook op de lijn of interface worden toegepast.

    Opmerking: als u geen verificatie wilt gebruiken, gebruikt u het volgende codevoorbeeld:


    Router(config)#aaa authentication login CONSOLE none

    In dit geval is er geen verificatie om toegang te krijgen tot de console. De lijst moet ook op de lijn of interface worden toegepast.

    Voorbeeld 3: Toegangsmodus inschakelen voor externe AAA-server

    U kunt verificatie opgeven om de enable-modus (bevoegdheid 15) in te schakelen.

    Configuratie:

    Router(config)#aaa authentication enable default group radius enable

    Alleen het wachtwoord kan worden aangevraagd, de gebruikersnaam is $ enab15 $. Daarom moet de gebruikersnaam $enab15$ op de AAA-server worden gedefinieerd.

    Als de Radius-server niet antwoordt, moet u het wachtwoord inschakelen dat lokaal op de router is geconfigureerd, invoeren.

    PPP-verificatie

    De opdracht aaa authentication ppp wordt gebruikt om een PPP-verbinding te verifiëren. Het wordt meestal gebruikt om ISDN of analoge externe gebruikers te verifiëren die toegang willen krijgen tot internet of een centraal kantoor via een toegangsserver.

    Voorbeeld 1: Eén PPP-verificatiemethode voor alle gebruikers

    De toegangsserver heeft een ISDN-interface die is geconfigureerd om PPP-inbelclients te accepteren. We gebruiken een draaischijf-groep 0, maar de configuratie kan worden gedaan op de hoofdinterface of de interface van het dialerprofiel.

    Configuratie:

    Router(config)#aaa authentication ppp default group radius local

    Met deze opdracht worden alle PPP-gebruikers geverifieerd met Radius. Als de Radius-server niet reageert, wordt de lokale database gebruikt.

    Voorbeeld 2: PPP-verificatie gebruikt met een specifieke lijst

    Als u een benoemde lijst wilt gebruiken in plaats van de standaardlijst, configureert u de volgende opdrachten:

    Router(config)#aaa authentication ppp ISDN_USER group radius  
     
Router(config)#interface dialer 0 
Router(config-if)#ppp authentication chap ISDN_USER

    In dit voorbeeld is de lijst ISDN_USER en is de methode RADIUS.

    Voorbeeld 3: PPP gestart vanuit tekenmodussessie

    De toegangsserver heeft een interne modemkaart (MICA, Microcom of NextPort). Ga ervan uit dat zowel aanmeldings- als aaa-verificatie-ppp-opdrachten zijn geconfigureerd.

    Als een modemgebruiker de router voor het eerst benadert met een exec-sessie voor tekenmodus (bijvoorbeeld met Terminal Window after Dial), wordt de gebruiker geverifieerd op een tty-regel. Om een sessie in pakketmodus te starten moeten gebruikers ppp default of ppp invoeren. Aangezien PPP-verificatie expliciet is geconfigureerd (met aaa authentication ppp), wordt de gebruiker opnieuw op PPP-niveau geverifieerd.

    Als u deze tweede verificatie wilt voorkomen, gebruikt u het gewenste trefwoord:

    Router(config)#aaa authentication login default group radius local 
Router(config)#aaa authentication ppp default group radius local if-needed

    Opmerking: als de client een PPP-sessie rechtstreeks start, wordt PPP-verificatie rechtstreeks uitgevoerd omdat er geen aanmeldingstoegang is tot de toegangserver.

    Autorisatie configureren

    Autorisatie is het proces waarmee u kunt bepalen wat een gebruiker kan doen.

    Voor AAA-autorisatie gelden dezelfde regels als voor verificatie:

    1. Definieer allereerst een benoemde lijst met autorisatiemethoden.

    2. Pas die lijst vervolgens toe op een of meer interfaces (behalve de standaardmethodelijst).

    3. De eerste methode in de lijst wordt gebruikt. Als deze niet reageert, wordt de tweede gebruikt, enzovoort.

    Methodelijsten zijn specifiek voor het soort autorisatie dat wordt gevraagd. Dit document richt zich op de Exec- en Network-autorisatietypen.

    Voor meer informatie over de andere typen autorisatie raadpleegt u de handleiding voor de configuratie van de Cisco IOS-beveiliging.

    Exec-autorisatie

    De opdracht aaa authorization exec bepaalt of de gebruiker een EXEC-shell mag starten. Deze faciliteit kan gebruikersprofielinformatie retourneren, zoals automatische opdrachtinformatie, time-out bij inactiviteit, time-out van sessie, toegangslijst en bevoegdheden en andere factoren per gebruiker.

    Exec-autorisatie wordt alleen verleend via vty- en tty-lijnen.

    In het volgende voorbeeld wordt Radius gebruikt.

    Voorbeeld 1: Dezelfde Exec-verificatiemethoden voor alle gebruikers

    Wanneer het is geverifieerd met:

    Router(config)#aaa authentication login default group radius local

    Alle gebruikers die zich willen aanmelden bij de toegangsserver moeten zijn geautoriseerd met Radius (eerste methode) of lokale database (tweede methode).

    Configuratie:

    Router(config)#aaa authorization exec default group radius local

    Opmerking: Op de AAA-server moet Service-Type=1 (login) worden geselecteerd.

    Opmerking: Als in dit voorbeeld het lokale zoekwoord niet is opgenomen en de AAA-server niet reageert, is autorisatie niet mogelijk en kan de verbinding mislukken.

    Opmerking: In de volgende voorbeelden 2 en 3 hoeft u geen opdracht op de router toe te voegen. U hoeft alleen het profiel op de toegangsserver te configureren.

    Voorbeeld 2: Exec-voorkeurniveaus toewijzen vanaf de AAA-server

    Configureer op basis van voorbeeld 1 het volgende Cisco AV-pair op de AAA-server, zodat een gebruiker zich kan aanmelden bij de toegangserver en de activeringsmodus direct kan invoeren:

    shell:priv-lvl=15

    De gebruiker kan nu direct naar de activeringsmodus gaan.

    Opmerking: Als de eerste methode geen reactie oplevert, wordt de lokale database gebruikt. De gebruiker kan echter niet rechtstreeks naar de activeringsmodus gaan, maar moet de opdracht inschakelen invoeren en het wachtwoord inschakelen opgeven.

    Voorbeeld 3: Inactieve time-out toewijzen vanaf de AAA-server

    Als u een time-out bij inactiviteit wilt configureren (zodat de verbinding met de sessie wordt verbroken als er geen verkeer is na de time-out bij inactiviteit), gebruikt u het attribuut IETF Radius 28: Idle-Time-out onder het gebruikersprofiel.

    Netwerkautorisatie

    De opdrachtaaa authorization networkvoert autorisatie uit voor alle netwerkgerelateerde serviceaanvragen, zoals PPP, SLIP en ARAP. Dit deel richt zich op PPP, dat het meest wordt gebruikt.

    De AAA-server controleert of een PPP-sessie door de klant wordt toegestaan. Bovendien kunnen PPP-opties door de client worden aangevraagd: callback, compressie, IP-adres, enzovoort. Deze opties moeten in het gebruikersprofiel op de AAA-server worden geconfigureerd. Bovendien kan het AAA-profiel voor een specifieke client idle-timeout, toegangslijst en andere attributen per gebruiker bevatten die door de Cisco IOS-software kunnen worden gedownload en voor deze client kunnen worden toegepast.

    De volgende voorbeelden tonen autorisatie met Radius.

    Voorbeeld 1: Dezelfde methoden voor netwerkautorisatie voor alle gebruikers

    De toegangsserver wordt gebruikt om PPP-inbelverbindingen te accepteren.

    Gebruikers worden geverifieerd (zoals eerder is geconfigureerd) met:

    Router(config)#aaa authentication ppp default group radius local

    Gebruik de volgende opdracht om de gebruikers te autoriseren:

    Router(config)#aaa authorization network default group radius local

    Opmerking: Op de AAA-server configureert u: Servicetype=7 (framed) en Framed-Protocol=PPP.

    Voorbeeld 2: Gebruikersspecifieke kenmerken toepassen

    U kunt de AAA-server gebruiken om attributen per gebruiker toe te wijzen, zoals IP-adres, callbacknummer, waarde van de time-out voor inactieve kiezer of toegangslijst, enzovoort. Bij een dergelijke implementatie downloadt de NAS de juiste kenmerken uit het gebruikersprofiel van de AAA-server.

    Voorbeeld 3: PPP-autorisatie met een specifieke lijst

    Configureer, net als bij verificatie, een lijstnaam in plaats van een standaardnaam:

    Router(config)#aaa authorization network ISDN_USER group radius local

    Pas deze lijst vervolgens toe op de interface:

      Router(config)#interface dialer 0 
  Router(config-if)#ppp authorization ISDN_USER

    boekhoudkundige configuratie

    Met de AAA-boekhoudfunctie kunt u de services volgen waartoe gebruikers toegang hebben en de hoeveelheid netwerkbronnen die ze gebruiken.

    AAA-accounting volgt dezelfde regels als verificatie en autorisatie:

    1. U moet eerst een benoemde lijst van accountingmethoden definiëren.

    2. Pas die lijst vervolgens toe op een of meer interfaces (behalve de standaardmethodelijst).

    3. De eerste methode in de lijst wordt gebruikt en als deze geen respons oplevert, wordt de tweede wordt gebruikt, enzovoort.

    • Netwerkboekhouding biedt informatie voor alle PPP-, Slip- en AppleTalk Remote Access Protocol (ARAP)-sessies: aantal pakketten, aantal octects, sessietijd, start- en stoptijd.

    • Exec accounting geeft informatie over de gebruiker EXEC terminal sessies (een telnet sessie bijvoorbeeld) van de netwerktoegang server: sessie tijd, start en stop tijd.

    De volgende voorbeelden richten zich op hoe informatie naar de AAA-server kan worden verzonden.

    Voorbeelden van boekhoudkundige configuraties

    Voorbeeld 1: Start- en Stop-boekhoudingsrecords genereren

    Voor elke inbel-PPP-sessie wordt boekhoudinformatie naar de AAA-server verzonden zodra de client is geverifieerd en na het verbreken van de verbinding met het trefwoord start-stop.

    Router(config)#aaa accounting network default start-stop group radius local

    Voorbeeld 2: Alleen Stop Accounting Records genereren

    Als boekhoudgegevens alleen moeten worden verzonden nadat een client de verbinding heeft verbroken, gebruikt u het trefwoord stop en configureert u de volgende regel:

    Router(config)#aaa accounting network default stop group radius local

    Voorbeeld 3: Bronrecords genereren voor verificatie- en onderhandelingsfouten

    Op dit punt biedt AAA-accounting ondersteuning voor begin- en eindrecords voor oproepen die de gebruikersverificatie met succes hebben doorlopen.

    Als de verificatie of de PPP-onderhandeling mislukt, is er geen record van de verificatiepoging.

    De oplossing is om eindaccounting voor mislukken van AAA-bronnen te gebruiken:

    Router(config)#aaa accounting send stop-record authentication failure

    Een eindrecord wordt naar de AAA-server verzonden.

    Voorbeeld 4: Volledige boekhouding van middelen inschakelen

    Om volledige bron-accounting in te schakelen die zowel een beginrecord bij het opbouwen van de oproep als een eindrecord bij het verbreken ervan genereert, moet u het volgende configureren:

    Router(config)#aaa accounting resource start-stop

    Deze opdracht is geïntroduceerd in Cisco IOS-softwarerelease 12.1(3)T.

    Met deze opdracht wordt de voortgang van de bronverbinding met het apparaat bijgehouden via begin- en eind-accountingrecords bij het opbouwen van de oproep en het verbreken ervan. Afzonderlijke begin- en eind-accountingrecords voor gebruikersverificatie houdt de voortgang van het gebruikersbeheer bij. Deze twee reeksen boekhoudkundige gegevens zijn gekoppeld aan een unieke sessie-ID voor de oproep.

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    3.0
    04-Dec-2023
    hercertificering
    1.0
    29-Nov-2001
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Julio Jimenez
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco