科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道在Catalyst交换机配置TACACS+、RADIUS

在Catalyst交换机配置TACACS+、RADIUS

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Catalyst交换机系 列(Catalyst 4000、运行CatcOs)的Catalyst 5000和Catalyst 6000 支持某种认证形式,开始在2.2代码。增进添加了带有最新版 本。

作者:it168 2007年9月20日

关键字: 交换机 交换产品 交换技术 交换机配置

  • 评论
  • 分享微博
  • 分享邮件

前言

Catalyst交换机系 列(Catalyst 4000、运行CatcOs)的Catalyst 5000和Catalyst 6000 支持某种认证形式,开始在2.2代码。增进添加了带有最新版 本。TACACS+ (TCP端口49,不是XTACACS UDP 端口49),远 程访问拨入用户服务(RADIUS),或者Kerberos服务器用户设置为验 证、授权和记帐(AAA)是相同象为路由器用户。本文包含最小 的命令的示例必要启用这些功能。其它选项是可用的在交换 机说明文件为版本在考虑中。

背景信息

由于最新编码版本支持其它选项,您在交换机将需要 确定编码版本您通过发出show version命令 使用。一旦确定了在交换 机使用的编码版本,使用表如下确定什么选项是可用的在您的设备 ,并且哪些选项您希望配置。

一般, 总保持在交换机当添加认证和授权时。测试配置在另一个窗 口为了避免偶然地锁定。

方法(最小 数量) Cat版本2.2到 5.1 Cat版本5.1到 5.4.1 Cat版本5.4.1到 7.5.1 Cat版本7.5.1及以后

TACACS+认证

步骤 A 步骤A 步骤A 步骤 A

RADIUS认证

/A 步骤B 步骤 B 步骤B

Kerberos认证

/A N/A 步骤 K 步骤K

本地用户名验证/授权 N/A N/A N/A 步骤 C

正(选项)

TACACS+命令授权 N/A N/A 步骤 D 步骤D

TACACS+ EXEC授权 N/A N/A 步骤 E 步骤E

RADIUS执行授权 N/A N/A 步骤 F 步骤F

记帐- TACACS+或RADIUS N/A N/A 步骤 G 步骤G

TACACS+启用授权 步 骤H 步骤H 步骤H 步骤 H

  RADIUS激活授权 N/A 第I步 第I步 第I步

  TACACS+启用授 权 N/A N/A 步骤 J 步骤J

  配置步骤

  步骤A - TACACS+认证

  带有初期的编码版本,命令不是一 样复杂的象在一些最新版本。其它选项在最新版本可能取得 到在您的交换机。

  确定有后门到交 换机如果服务器发生故障通过发出以下命令: set authentication login local enable

  启用TACACS+认证通过发出以下命令: set authentication login tacacs enable

  定义服务器通过发出以下命 令: set tacacs server #.#.#.#

  定义服务器密钥(这是可选带有TACACS+,因为引起交 换机对服务器数据被加密。 如果使用,它必须与服务器一致 )通过发出以下命令:设置tacacs关键 your_key

  步骤B - RADIUS认 证

  带有初期的编码 版本,命令不是一样复杂的象在一些最新版本。其它选项在 最新版本可能取得到在您的交换机。

  确定有后门到交换机如果服务器发生故障通过发出以 下命令: set authentication login local enable

  启用RADIUS认证通过发出以下命令: set authentication login radius enable

  定义服务器。在其他 Cisco设备,默认RADIUS端口是 1645/1646 (authentication/accounting)。

  在Catalyst,默认端口是1812/1813。 如果使 用CiscoSecure或与其他Cisco设备联络的一个服务器,使用的端口 是1645/1646。发出以下命令定义服务器: set radius server #.#.#.# auth-port 1645 acct-port 1646 primary

  定义服务器密钥。

  因为引起交换机对服务器密码根据RADIUS 请求注释 (RFC),被加密这是必须的。 如果使用,它必须与服务器 一致。 发出以下命令: 设置半径关键 your_key

  步骤C - 本地用户 名验证/授权

  开始在 CATOS版本7.5.1,本地用户认证是可能的(例如,您可能使用在 Catalyst用户名和口令达到验证/授权存储,而不是认证通过一个本 地密码)。

  只有二个权限级别为本地 用户认证,0或者15。级别0是无特权的exec级别。 第 15级是特许启用级别。

  通过添加在 本例中的以下命令,用户"poweruser"在Telnet在激活模式到达或控 制台对交换机和用户"nonenable"在Telnet在EXEC模式或控制台到达 到交换机。

  set localuser user poweruser password powerpass privilege 15

  set localuser user nonenable password nonenable

  注意: 如果用户"nonenable" 知道 enable password,该用户能继续到激活模式

  在配置以后 ,密码被存储加了密。

  本地用户名 认证可以与远程TACACS+ exec 或者命令记帐或者远程RADIUS exec 记帐一道使用。它可能与远程TACACS+ exec或命令授权一道 也使用,但不有道理如此执行因为用户名将需要存储两个TACACS+服 务器并且本地交换机。

  步骤D - TACACS+命令授权

  在我们的示例,我们通知交换机为 仅配置命令要求授权使用TACACS+。在TACACS+ 服务器发生 故障情形下,认证将是无。 这适用于控制台端口和Telnet会 话。 发出以下命令:

  set authorization命令 enable config tacacs none both

  在本例中,您可能配置TACACS+服务器通过设置以下参数允许:

  command=set

  arguments (permit)=port 2/12

  et port enable 2/12 命令将被发送到TACACS+服务器为验证。

  注意: 由于命令授权被启用, 不同于在启用其中没有认为命令的路由器,交换机将字面上发送命 令 启用到服务器当启 用尝试。切记也配置服务器允许命令 启用

  步骤 E - TACACS+ EXEC授权

  在我们的示例,我们通知交换机为EXEC 会话要求授 权使用TACACS+。在TACACS+服务器发生故障情形下,授权将 是无。这适用于控制台端口和Telnet会话。发出以下 命令:

  set authorization exec enable tacacs+ none both

  除认证请求之外,这导致分开 的授权请求对TACACS+服务器从交换机。如果用户配置文件在 TACACS服务器为shell/exec配置,该用户能访问交换机。

  这防止用户没有在服务器配置的 shell/exec服务(例如点到点(PPP)用户)记录到交换机。他们 将收到读EXEC模式 授权发生故障 的消息。除 permitting/denying EXEC模式之外为用户,用户可以是牵强的到激 活模式当进入由有在服务器时15指定的权限级别(你一定运行 Bug ID CSCdr51314是固定的)的代码。

  ug Toolkit(注册的用户) -使 用此工具搜索根据软件版本、功能集和关键字的已知Bug。

  步骤 F - RADIUS执行授权

  没有命令启用RADIUS执行授权。选择是设置服 务类型(RADIUS属性6)为Admistrative (即值6) 在RADIUS服务器启 动用户到激活模式在RADIUS 服务器。如果服务类型为任何 东西设置除6 管理之外(例如,1登录、7 shell或者2构筑的) , 用户将是在交换机EXEC提示,但不是启用提示。

  步骤G - 记帐 - TACACS+或RADIUS

  启用TACACS+记帐为:

  得到交换机提示的用户,发出以下命令: set accounting exec enable start-stop tacacs+

  远程登录在交换机的外面用 户,发出以下命令: set accounting connect enable start-stop tacacs+

  重新启动交换 机,发出以下命令: set accounting system enable start-stop tacacs+

  执行命令的用户,发出以 下命令: set accounting命令 enable all start-stop tacacs+

  提示到服务器例如,对更新记录一次每分钟表示,用户仍然登录, 发出以下命令:set accounting update periodic 1

  启用RADIUS记帐为:

  得到交换机提示的用户,发出以下 命令: set accounting exec enable start-stop radius

  远程登录在交换机的外面用 户,发出以下命令:set accounting connect enable start-stop radius

  重新启动交换机 ,发出以下命令: set accounting system enable start-stop radius

  提示到服务器例如,对更新 记录一次每分钟表示,用户仍然登录,发出以下命令: set accounting update periodic 1

  TACACS+ 免费软件记录

  下面是 示例记录在服务器如何可能出现:

  ri Mar 24 13:22:41 2000 10.31.1.151 pinecone telnet85

  171.68.118.100 stop task_id=5 start_time=953936729 timezone=UTC

  service=shell disc-cause=2 elapsed_time=236

  ri Mar 24 13:22:50 2000 10.31.1.151 pinecone telnet85

  171.68.118.100 stop task_id=15 start_time=953936975 timezone=UTC

  service=shell priv-lvl=0 cmd=enable

  ri Mar 24 13:22:54 2000 10.31.1.151 pinecone telnet85

  171.68.118.100 stop task_id=16 start_time=953936979 timezone=UTC

  service=shell priv-lvl=15 cmd=write terminal

  ri Mar 24 13:22:59 2000 10.31.1.151 pinecone telnet85

  171.68.118.100 stop task_id=17 start_time=953936984 timezone=UTC

  service=shell priv-lvl=15 cmd=show version

  ri Mar 24 13:23:19 2000 10.31.1.151 pinecone telnet85

  171.68.118.100 update task_id=14 start_time=953936974 timezone=UTC

  service=shell

  RADIUS在UNIX记录输出

  下面是示例记录在服务器如何可能出现:

  Client-Id = 10.31.1.151

  NAS-Port-Type = 0

  User-Name = "login"

  Acct-Status-Type = Start

  Acct-Authentic = RADIUS

  User-Service-Type = 7

  Acct-Session-Id = "0000002b"

  Acct-Delay-Time = 0

  Client-Id = 10.31.1.151

  NAS-Port-Type = 0

  User-Name = "login"

  Calling-Station-Id = "171.68.118.100"

  Acct-Status-Type = Start

  User-Service-Type = Login-User

  Acct-Session-Id = "0000002c"

  Login-Service = Telnet

  Login-Host = 171.68.118.100

  Acct-Delay-Time = 0

  Client-Id = 10.31.1.151

  NAS-Port-Type = 0

  User-Name = "login"

  Calling-Station-Id = "171.68.118.100"

  Acct-Status-Type = Stop

  User-Service-Type = Login-User

  Acct-Session-Id = "0000002c"

  Login-Service = Telnet

  Login-Host = 171.68.118.100

  Acct-Session-Time = 9

  Acct-Delay-Time = 0

  Client-Id = 10.31.1.151

  NAS-Port-Type = 0

  User-Name = "login"

  Acct-Status-Type = Stop

  Acct-Authentic = RADIUS

  User-Service-Type = 7

  Acct-Session-Id = "0000002b"

  Received unknown attribute 49

  Acct-Session-Time = 30

  Acct-Delay-Time = 0

  [page]

  步骤 H - TACACS+ Enable认证

  遵从指令如下:

  切记 有后门如果服务器发生故障通过发出以下命令:set authentication enable local enable

  通知交换机发送可用 请求到服务器通过发出以下命令: set authentication enable tacacs enable

  添加如下命令将导致 发送用户名 $enab15$的 交换机到RADIUS服务器。不是所有的 RADIUS 服务器支持这种用户名。请参阅步骤E 上面关于将 启动个人用户到激活模式的另一个选择(例如,设置服务类型 (RADIUS属性6 -对管理))。

  确定有 后门如果服务器发生故障通过发出以下命令: set authentication enable local enable

  通知交换机发送可用 请求到服务器如果您的RADIUS服务器通过发出以下命令支持 $enab15$ 用户名: set authentication enable radius enable

  第 I步- RADIUS激活认证

  添加如下命令将导致发送用户名$enab15$ 的交换机 到RADIUS服务器。不是所有的RADIUS 服务器支持这种用户 名。请参阅步骤E 上面关于将启动个人用户到激活模式的另 一个选择(例如,设置服务类型(RADIUS属性6 -对管理))。

  确定有后门如果服务器发生故障通 过发出以下命令: set authentication enable local enable

  通知交换机发送可用 请求到服务器如果您的RADIUS服务器通过发出以下命令支持 $enab15$ 用户名: set authentication enable radius enable

  步 骤J - TACACS+启用授权

  当用户设法启用,添加如下命令将导致发送启用的交 换机到服务器。服务器需要有允许的使能命令。在以 下示例,我们有一个故障切换到无在服务器发生故障的事件:

  set author enable enable tacacs+ none both

  [page]

  步骤 K - Kerberos认证

  更多信息关于安装Kerberos到交换机在以下文件可以 查找:

  控制和监控对交换机的访 问使用验证、授权和记帐

  密码恢复

  欲知关于密码恢复程序的更多信息,参见以下文件:

  密码恢复程序

  此页是Cisco产品密码恢复程序索引。

  ip permit命令为附加安全

  对于附加安全性,Catalyst可以配 置通过ip permit命令控制 Telnet访问:

  set ip permit enable telnet

  设置ip permit 范围掩码|主机

  这允许仅范围或主机指定对Telnet到交换机。

  调试在 Catalyst

  在启用调试 之前在Catalyst,检查服务器日志故障的原因。这是容易和 较不破裂的到交换机。在初期的交换机版本,调试在工程模 式执行。访问工程模式执行 debug命令不是必要的在最新编码版本 :

  设置跟踪tacacs|半径|Kerberos 4

  注意: 集跟踪 tacacs|半径|Kerberos 0命令返回Catalyst到没有 跟踪模式。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章