Старая модель AAA
управление доступом к привилегированному режиму
enable secret cisco
управление доступом к консоли
line con 0
password cisco
login
управление доступом к виртуальным терминалам
line vty 0 15
password cisco
login ! по умолчанию
подключение к виртуальным терминалам
server# telnet router
Новая модель AAA
Базовая настройка
aaa new-model
aaa authentication login CONSOLE none
aaa authorization exec CONSOLE none
enable secret cisco
aaa authorization console
line con 0
login authentication CONSOLE
authorization exec CONSOLE
privilege level 15
Аутентификация с использованием локальной базы данных
aaa authentication login default local
username user1 password cpassword1
Локальная авторизация
Уровни привилегий:
-
0 — минимальный
-
1-14 — можно назначить разрешения
-
15 — максимальный
aaa authorization exec default local
username user1 privilege 7
privilege exec level 7 show running-config view full
server# ssh user1@switch1
...
switch# show privilege
switch# show running-config view full
...
Аутентификация с использованием RADIUS
Настройка клиента RADIUS
radius-server host server auth-port 1812 acct-port 1813
radius-server key testing123
Использование RADIUS для аутентификации подключений
aaa authentication login default group radius enable
Использование RADIUS для авторизации подключений
aaa authorization exec default group radius none
Использование RADIUS для протокола 802.1x
aaa authentication dot1x default group radius
aaa accounting dot1x default start-stop group radius
Аутентификация и авторизация с использованием TACACS+
Настройка клиента TACACS+
tacacs-server host server
tacacs-server key tackey123
Использование TACACS+ для аутентификации подключений
aaa authentication login default group tacacs+ enable
aaa authorization exec default group tacacs+ none
aaa accounting commands 15 default start-stop group tacacs+