中国XX银行河北省分行
ACS项目实施方案
TACACS+认证
目录
项目背景........................................................................ 3
资源配置........................................................................ 3
实验网络架构................................................................ 3
ACS管理方案................................................................ 3
权限规定........................................................................ 4
ACS组件........................................................................ 4
网络资源......................................................................... 4
设备属性......................................................................... 4
设备位置属性.................................................................. 5
设备型号属性.................................................................. 8
AAA客户端设置............................................................. 9
用户标识仓库................................................................ 12
用户组属性.................................................................... 12
用户属性......................................................................... 13
策略组件......................................................................... 15
设备过滤器..................................................................... 15
用户级别控制................................................................. 18
命令控制......................................................................... 20
许可策略......................................................................... 23
条件选择器..................................................................... 23
许可服务......................................................................... 23
服务选择规则................................................................. 26
用户认证库..................................................................... 28
授权策略......................................................................... 29
客户端配置..................................................................... 30
配置脚本......................................................................... 31
脚本解释......................................................................... 31
认证................................................................................. 32
授权................................................................................. 32
审计................................................................................. 33
配置验证......................................................................... 33
区域路由器登录验证..................................................... 34
省行路由器登录验证..................................................... 35
查看认证日志................................................................. 36
查看授权日志................................................................. 36
查看审计日志................................................................. 37
总结................................................................................. 37
全省网络设备的远程管理现状
1.通过各网络设备中设置的本地账户和密码进行远程登录和管理;
2.用户没有跟设备绑定;
3.用户的权限没有区分和限制;
4.用户登录以及操作没有详细的记录;
根据总行网络设备管理的要求:
1.省行以及二级行的网络设备管理员实行统一的身份验证和管理;
2.通过部署在省行的ACS服务器对网络管理员进行验证和授权;
3.管理员在获得ACS服务器的验证后方可对相应的网络设备实行远程登录和管理;
4.管理员分为不同的级别,对于不同级别的管理员有不同的授权;
5.管理员对被管理设备的操作会在ACS服务器上进行记录;
01
分别建立各种需要的属性,然后将属性组合进授权策略
授权策略中匹配用户、匹配设备、符合则授权,不符合则拒绝
02
5级用户允许命令:
Exit
Show ip interface brief
Ping
Ping ip
Traceroute
Show ip route
15级用户禁止命令
Erase
Delete
Copy
Reload
设备属性、用户组均属于自定义属性,然后根据属性进行挑选并匹配
确定设备属性,由于此项目所有路由器与交换机均属于网络部,因此不需要设置部门属性。设备的区别只是地点区别。
HBSH7200(属性为河北全省)
HBTS3600(属性为唐山市)
HBTSKP2811(属性为唐山市开平区)
HBTSFN2811(属性为唐山市丰南区)
HBBD3600(属性为保定市)
HBBDMC2811(属性为保定市满城区)
HBBDSP2811(属性为保定市顺平县)
设备按位置设置为三级:省、市、区(县)
为了将来管理需求的变更,设置设备类型为7200、3600、2811三种
建立设备属性:
系统默认设置了两种属性
03
设备类型和位置点击位置,点击建立
建立河北省属性
继续建立市级属性
选中上级为河北省
下箭头显示了层级关系
08
进入Device Type选项
点击Create
10
11
同理,也可以根据需要设置其它分类,例如All Switchs(所有交换机)
建立路由器与属性进行关联,并且设置ACS参与的认证方式及密码
可以单独建立路由器,也可以群组建立(如按地域)。本项目需求全部按路由器名称建立。
点击进入AAA client设置,并点击Create
建立省行设备
依次建立其它设备
设备建立完成,一共七台路由器
建立用户组和用户
16
17
唐山市属于河北省
18
19
sunxin:北方博业管理员,所有设备均可访问,15级权限
hbts:唐山市行管理员,所有唐山市设备均可访问,15级权限
hbtskp:唐山市行开平区管理员,所以本区域设备均可访问,5级权限
hbtsfn:唐山市行丰南区管理员,所以本区域设备均可访问,5级权限
hbbd:保定市行管理员,所有保定市设备均可访问,15级权限
hbbdmc:保定市行满城区管理员,所有本区域设备均可访问,5级权限
hbbdsp:保定市行顺平县管理员,所有本区域设备均可访问,5级权限
除bfby外,其他用户均不可以访问上级设备和不同地区的设备
所有用户密码均为bfby
建立用户
20
21
22
作用是根据不同权限范围,将所需要管理的设备用一条指令挑选出来,方便策略调用
匹配方法多种多样,本例将所有型号的路由器都匹配进去
唐山市和保定市使用位置匹配
唐山和保定区级分别使用IP地址和设备名匹配
26
27
28
29
30
31
32
输入允许的命令点击add添加
允许其它命令
目前所需要的属性组件已全部建立完成,接下来进行核心部分:策略设置
设置策略选择条件,根据需要设置需要匹配的条目
建立规则服务,以便被规则调用
39
40
点击完成
是否马上建立选择策略以激活此服务
选择是,也可以以后建立
匹配原则:先匹配设备,匹配上设备后送给服务,服务进行匹配用户,最后根据不同的用户进行授权
41
42
进入服务选择规则,建立规则
43
建立设备访问规则,按设备优先级进行配置,先匹配上面的,后匹配下面的。
保存规则
45
46
继续设置其它匹配规则
由于每个地区只设置了一台路由器,因此这里效果看起来不太明显。感觉有点儿累。
按等级顺序,等级最低的在上,最先被选择。
47
修改服务
修改用户认证数据库为本地用户
保存
点击Authorization选项
建立一条规则
赋予省行用户15级权限
赋予市行用户15级权限
赋予区域用户5级权限
继续建立其它规则
所有省行和市行的设备删除区域路由器配置中以下几条
aaa authorization commands 5 vty group tacacs+
aaa accounting commands 5 vty start-stop group tacacs+
authorization commands 5 vty
accounting commands 5 vty
区域路由器配置:
aaa new-model
tacacs-server host 192.168.5.247 key cisco
aaa authentication login noacs line none
aaa authentication login vty group tacacs+
aaa authorization exec vty group tacacs+
aaa authorization commands 0 vty group tacacs+
aaa authorization commands 1 vty group tacacs+
aaa authorization commands 5 vty group tacacs+
aaa authorization commands 15 vty group tacacs+
aaa authorization config-commands
aaa accounting exec vty start-stop group tacacs+
aaa accounting commands 0 vty start-stop group tacacs+
aaa accounting commands 1 vty start-stop group tacacs+
aaa accounting commands 5 vty start-stop group tacacs+
aaa accounting commands 15 vty start-stop group tacacs+
line con 0
logging synchronous
login authentication noacs
line aux 0
login authentication noacs
line vty 0 4
login authentication vty
authorization exec vty
authorization commands 15 vty
accounting exec vty
accounting commands 0 vty
accounting commands 1 vty
accounting commands 5 vty
accounting commands 15 vty
Cisco IOS 权限等级
Cisco IOS 提供了16种权限等级:
0级:最低级别
1级:用户模式可以查看少数命令
2-14级:等同于1级,管理员可以根据需要将15级的部分指令开放给其中某个等级,来区别管理
15级:最高级别,进入enable后默认就是15级
线下保护作用是排除不必要的认证
定义一条不进行认证的策略
aaa authentication login noacs line none
挂在con和aux接口下
line con 0
logging synchronous
login authentication noacs
line aux 0
login authentication noacs
定义服务器
tacacs-server host 192.168.5.247 key cisco
测试
test aaa grout tacacs+ bfby bfby net-code
登录认证策略
aaa authentication login vty group tacacs+
line vty 0 4
login authentication vty
exec级别命令授权
aaa authorization exec vty group tacacs+
line vty 0 4
authorization exec vty
本地命令授权
privilege configure level 5 router
privilege exec level 5 configure terminal
将以下等级命令送到ACS上去授权
aaa authorization commands 0 vty group tacacs+
aaa authorization commands 1 vty group tacacs+
aaa authorization commands 5 vty group tacacs+
aaa authorization commands 15 vty group tacacs+
针对config terminal下的命令集中授权
aaa authorization config-commands
将授权挂到接口上应用
line vty 0 4
authorization commands 15 vty
配置审计
aaa accounting exec vty start-stop group tacacs+
line vty 0 4
accounting exec vty
命令审计
aaa accounting commands 0 vty start-stop group tacacs+
aaa accounting commands 1 vty start-stop group tacacs+
aaa accounting commands 5 vty start-stop group tacacs+
aaa accounting commands 15 vty start-stop group tacacs+
line vty 0 4
accounting commands 0 vty
accounting commands 1 vty
accounting commands 5 vty
accounting commands 15 vty
唐山开平区路由器使用5级用户登录
唐山开平区路由器使用市行15级用户登录
唐山开平区路由器使用省行15级用户登录
省行路由器,使用唐山区域用户登录
省行路由器,使用唐山市用户登录
省行路由器,使用sunxin用户登录
服务选择规则中名字为HeiBei的规则,匹配Tacacs协议,匹配设备过滤器中HeBei策略中被选中的设备(其实就是所有路由器),把它送给BFBY-Tacacs这项服务去处理
61
BFBY-Tacacs这项服务中包括了身份认证和授权服务,但不包括组映射(Windows AD)
允许的认证方式为PAP
使用内部用户(ACS中的用户)进行认证
此服务设置为省行用户专用,因此只有省行用户给予15级权限
而满城的服务则给予省行、市行15级权限,区域管理员5级权限
审计:
审计在路由器上配置后,路由器发送给ACS,因此在ACS上无需配置。
具体配置的相关项目为:
原文下载http://wenku.baidu.com/view/ecc0f8205ef7ba0d4b733b27
本文出自 “孙昕的博客” 博客,请务必保留此出处http://sunx990.blog.51cto.com/2646552/1740017
原文地址:http://sunx990.blog.51cto.com/2646552/1740017