Tweet
AUTHORIZATION VỚI TACACS+ SERVER
1) Mô hình:
2) Nội dung:
Chức năng của authen như đã được trình bày trong bài lab trước. Bài lab này giúp học viên hiểu được những tính năng của autho như xác định vùng tài nguyên và những giới hạn mà user được phép sử dụng trong vùng tài nguyên đó.
Bài lab này yêu cầu bạn cấu hình authen và autho dùng TACACS+ server.Nếu không có đáp ứng từ TACACS+ server ( vd như kết nối giữa TACACS+ server và router bị hỏng ) sẽ sử dụng local database để xác thực. TACACS+ server được cấu hình với key là vnpro.
3) Hướng dẫn:
Bạn có thể cấu hình như sau:
Router# conf t
Router(config)# enable pass cisco
Cấu hình cổng giao tiếp với TACACS+ server:
Router(config)# int F0/0
Router(config-if)# ip add 192.168.2.1 255.255.255.0
Router(config)# no shut
Router(config)# aaa new-model
Router(config)# aaa authentication login default group tacacs+ local enable
( Xác thực với TACACS+ server, nếu có vấn đề thì sẽ xác thực với local database, và cuối cùng sẽ xác thực với enable pass đã thiết lập ở trên, trong trường hợp có cấu hình lệnh enable secret password thì sẽ xác thực với password này ).
Router(config)# aaa authorization exec default group tacacs+ local
( xác định nếu user được cho phép truy cập EXEC shell )
Cấu hình cho phép những user được phép truy cập vào privilege 7 (dữ liệu này sẽ được dùng trong trường hợp xác thực với TACACS+ server có lỗi như không có kết nối ).
Router(config)# username hocvien privilege 7 pass hocvien
Router(config)# username vip privilege 7 pass vip
Xác định những lệnh được phép thực hiện trong privilege 7 tại config mode:
Router(config)# privilege configure level 7 snmp-server host
Router(config)# privilege configure level 7 snmp-server enable
Router(config)# privilege configure level 7 snmp-server
Router(config)# privilege exec level 7 ping
Router(config)# privilege exec level 7 configure terminal
Router(config)# privilege exec level 7 configure
Chỉ ra TACACS+ server host là 192.168.2.50 và key là vnpro
Router(config)# tacacs-server host 192.168.2.50 singe
Router(config)# tacacs-server key vnpro
Router(config)#exit
Router# wr
Để thực hiện bài lab này, bạn phải tiến hành cấu hình ACS server thực hiện chức năng TACACS+ server như sau:
Trước tiên, trên màn hình Interface Configuration, click vào TACACS+ ( Cisco IOS), hình 1a
Hình 1a
Tiếp tục cấu hình tại Iterface configuration như hình 1b, click submit
Hình 1b
Trên màn hình user steup, đánh vào tên user là name, sau đó click vào Add/edit như hình 2a
Hình 2a
Tiếp theo, bạn cần cấu hình account của user như hình 2b và 2c:
Hình 2b
Hình 2c
Bạn chọn Use Group Level Setting để chấp nhận cấu hình trong Group setup
Trên màn hình group setup, bạn cấu hình như hình 3a và 3b, nhớ click submit+restart::
4) Kiểm tra:
Từ PC, telnet vào router:
Bạn sẽ được yêu cầu xác thực với user name và password. Khi log in thành công, bạn dùng lệnh sh privilege để xem privilege level hiện tai là privilege 7. Tại config mode, dùng ? để xem tất cả các commands mà user được phép sử dụng như đã cấu hình ở trên.
1) Mô hình:
2) Nội dung:
Chức năng của authen như đã được trình bày trong bài lab trước. Bài lab này giúp học viên hiểu được những tính năng của autho như xác định vùng tài nguyên và những giới hạn mà user được phép sử dụng trong vùng tài nguyên đó.
Bài lab này yêu cầu bạn cấu hình authen và autho dùng TACACS+ server.Nếu không có đáp ứng từ TACACS+ server ( vd như kết nối giữa TACACS+ server và router bị hỏng ) sẽ sử dụng local database để xác thực. TACACS+ server được cấu hình với key là vnpro.
3) Hướng dẫn:
Bạn có thể cấu hình như sau:
Router# conf t
Router(config)# enable pass cisco
Cấu hình cổng giao tiếp với TACACS+ server:
Router(config)# int F0/0
Router(config-if)# ip add 192.168.2.1 255.255.255.0
Router(config)# no shut
Router(config)# aaa new-model
Router(config)# aaa authentication login default group tacacs+ local enable
( Xác thực với TACACS+ server, nếu có vấn đề thì sẽ xác thực với local database, và cuối cùng sẽ xác thực với enable pass đã thiết lập ở trên, trong trường hợp có cấu hình lệnh enable secret password thì sẽ xác thực với password này ).
Router(config)# aaa authorization exec default group tacacs+ local
( xác định nếu user được cho phép truy cập EXEC shell )
Cấu hình cho phép những user được phép truy cập vào privilege 7 (dữ liệu này sẽ được dùng trong trường hợp xác thực với TACACS+ server có lỗi như không có kết nối ).
Router(config)# username hocvien privilege 7 pass hocvien
Router(config)# username vip privilege 7 pass vip
Xác định những lệnh được phép thực hiện trong privilege 7 tại config mode:
Router(config)# privilege configure level 7 snmp-server host
Router(config)# privilege configure level 7 snmp-server enable
Router(config)# privilege configure level 7 snmp-server
Router(config)# privilege exec level 7 ping
Router(config)# privilege exec level 7 configure terminal
Router(config)# privilege exec level 7 configure
Chỉ ra TACACS+ server host là 192.168.2.50 và key là vnpro
Router(config)# tacacs-server host 192.168.2.50 singe
Router(config)# tacacs-server key vnpro
Router(config)#exit
Router# wr
Để thực hiện bài lab này, bạn phải tiến hành cấu hình ACS server thực hiện chức năng TACACS+ server như sau:
Trước tiên, trên màn hình Interface Configuration, click vào TACACS+ ( Cisco IOS), hình 1a
Hình 1a
Tiếp tục cấu hình tại Iterface configuration như hình 1b, click submit
Hình 1b
Trên màn hình user steup, đánh vào tên user là name, sau đó click vào Add/edit như hình 2a
Hình 2a
Tiếp theo, bạn cần cấu hình account của user như hình 2b và 2c:
Hình 2b
Hình 2c
Bạn chọn Use Group Level Setting để chấp nhận cấu hình trong Group setup
Trên màn hình group setup, bạn cấu hình như hình 3a và 3b, nhớ click submit+restart::
4) Kiểm tra:
Từ PC, telnet vào router:
Bạn sẽ được yêu cầu xác thực với user name và password. Khi log in thành công, bạn dùng lệnh sh privilege để xem privilege level hiện tai là privilege 7. Tại config mode, dùng ? để xem tất cả các commands mà user được phép sử dụng như đã cấu hình ở trên.
Comment