erx用tacacs验证.ppt
34页
Copyright © 2002, Juniper Networks, Inc.,内容4:ERX 用Tacacs+ Server做验证,Copyright © 2006, WXTK, Inc.,ERX TACACA+,,目前ERX上没有针对不同级别用户名来给与不同操作权限的功能,也没有针对不同登陆用户的操作记录为了对erx实现更安全的管理,提高erx的稳定性,可以用Tacacs+服务器来解决这一问题Copyright © 2006, WXTK, Inc.,,Terminal Access Controller Access Control System 终端访问控制器访问管理系统 TACACS+协议提供对路由器、网络访问服务器或中心服务器的访问控制 TACACS+ 提供了分级的认证、授权和记录服务 TACACS 让一个用户能够发送一系列的用户名和密码到验证服务器有时被称为一个TACACS请求或简称TACACSD这个服务是一个运行在一台主机上的普通程序这台主机将决定是否接受或者拒绝请求并且发送一个信息予以回应 TACACS+协议和RADIUS协议类似,都可以提供AAA服务 tacacs+使用tcp端口(TCP端口49 ),radius使用udp端口(1812、1813。
TACACS+相对更安全 tacacs+所传送的信息都加密,radius只加密密码 tacacs+的认证,授权,计费三个部分独立,radius的认证授权和二为一,计费单独,radius的计费功能比tacacs+强什么是Tacacs+,Copyright © 2006, WXTK, Inc.,,SCCT Tacacs+ Implementation,系统要求 拓扑 AAA 处理过程 安全考虑,Copyright © 2006, WXTK, Inc.,系统要求,软件需求: 平台 : FreeBSD / Linux /Solaris TACACS+ 版本 4.4 RC2 文件名: tac_plus-4.4rc2-2-install.tgz WEB UI 版本 1.4.3 文件名: tacacs_webui_v1.4.3.tar.gz MySQL 硬件需求: i386 CPU based PC Server P4 3.0G CPU, 512/1G RAM, HD 160G, FE NIC,Copyright © 2006, WXTK, Inc.,,,,,Topology,Tacacsc+Server 1,Tacacsc+Server 2,erx1,erx2,SCCT Network,Copyright © 2006, WXTK, Inc.,AAA 过程 – 认证,Tacacs+ Server,,1,2,,3,,,4,用户登录erx, 提示 “Username” and “Password”; ERX发送Username和Password到 Tacacs+ Server; 如果正确,Tacacs+ Server 确认,, 并发送接受请求给 ERX. ERX接受telnet.,Copyright © 2006, WXTK, Inc.,AAA process – Authorization,Tacacs+ Server,,1,2,,3,,,4,用户输入一个命令, 并且按 “Enter”. 在erx执行这个命令之前, ERX erx将发送这个命令到 Tacacs+ Server 以获得批准. Tacacs+ Server 检查预先定义的数据, 发送接受或拒绝的命令到 ERX. ERX 拒绝用户的命令或接受请求.,,Copyright © 2006, WXTK, Inc.,AAA process – 记录,Tacacs+ Server,,1,2,,当这个命令被授权,用户输入一个命令, 按 “Enter”, 它将被发送到 Tacacs+ Server. Tacacs+ Server 写入该命令到 MySQL 数据库.,Copyright © 2006, WXTK, Inc.,Tacacs+ Server,erx1 Primary Tacacs+,erx2 Secondary Tacacs+,,1,2,,3,,用户telnet ERX. ERX发送AAA请求给“erx1” Tacacs+ Server. If “erx1” Tacacs+ 不可到达或不可服务状态, ERX 将使用另一台 Tacacs+ Server: “erx2”. 如果两个 Tacacs+ Server 都fail了, ERX 将使用 local password 来认证. (Note: in this case, Authorization and accounting can not work.),,Copyright © 2006, WXTK, Inc.,安全考虑,一个防火墙配置 FreeBSD system安全 BSD system没有病毒 高度安全的UNIX操作系统 特定用户和ip可以登录 应用安全 用MySQL 数据库来存储 AAA 数据 Web方式登录 Tacacs+ Server WebUI,Copyright © 2006, WXTK, Inc.,Login example,telnet 222.210.130.1 Trying 222.210.130.1. Connected to 222.210.130.1. Escape character is '^]'. Baimasi-erx710-1 User Access Verification (4.4rc2-2) Username: cd5 Password: ******* Logged in on vty 0 via telnet. Copyright (c) 1999-2005 Juniper Networks, Inc. All rights reserved. CHN-Telecom#,Copyright © 2006, WXTK, Inc.,Self Change Password – Web login,Login: http://61.139.2.1/tacacs,Copyright © 2006, WXTK, Inc.,Click “Change Passwords”,,Copyright © 2006, WXTK, Inc.,修改密码,,,,,,,Your self login name,Your old password,Your new password,,Copyright © 2006, WXTK, Inc.,JNUOSe AAA 配置,设置 AAA 到new model 设置用 tacacs+来认证 用 tacacs+来创建授权许可表 用 tacacs+来做记录 在 vty session中应用,Copyright © 2006, WXTK, Inc.,Set the AAA to new model,设置 AAA为new model并且创建一个名为“tac”的授权表,用以使用tacacs+登陆认证。
aaa new-model aaa authentication login tac tacacs+ none,,,带有这个关键字, ERX 在Tacacs+服务器不可达或无法提供服务的时候用本地密码作验证Copyright © 2006, WXTK, Inc.,Set Authentication by tacacs+,增加一个名为“tac”的用Tacacs+作授权的命令列表 aaa authorization exec tac tacacs+ if-authenticated aaa authorization commands 0 tac tacacs+ if-authenticated aaa authorization commands 1 tac tacacs+ if-authenticated aaa authorization commands 5 tac tacacs+ if-authenticated aaa authorization commands 10 tac tacacs+ if-authenticated aaa authorization commands 15 tac tacacs+ if-authenticated,Copyright © 2006, WXTK, Inc.,Create Accounting list by tacacs+,配置 TACACS+ server 信息 tacacs-server source-address 222.210.130.1 tacacs-server host 61.139.2.1 key JuniperAPAC primary tacacs-server host 61.139.2.6 key JuniperAPAC,,,这是主 tacacs+ server,Copyright © 2006, WXTK, Inc.,Apply in vty session,在line vty里应用 AAA line vty 0 4 login authentication tac authorization exec tac authorization commands 0 tac authorization commands 1 tac authorization commands 5 tac authorization commands 10 tac authorization commands 15 tac accounting exec tac accounting commands 0 tac accounting commands 1 tac accounting commands 5 tac accounting commands 10 tac accounting commands 15 tac,Copyright © 2006, WXTK, Inc.,Tac_plus 配置文件,Tac_plus configuration file location: /usr/local/etc/tac_plus.cfg Edit it by vi or other editor. vi /usr/local/etc/tac_plus.cfg Restart tac_plus service to effect it. /usr/local/etc/rc.d/tac_plus.sh restart 这里的Tac_plus为freebsd里tacacs包的一个配置文件,Copyright © 2006, WXTK, Inc.,Tac_plus configuration file,more /usr/local/etc/tac_plus.cfg # If you like to have your authentication, authorization and accounting done # in a database default db = mysql://tacacs:tac_plus@localhost/tacacs # Use /etc/passwd file to do authentication # default authentication = file /etc/passwd #If you like to use DB authentication default authentication = db “mysql://tacacs:tac_plus@localhost/tacacs/user?uid&password“ # Accounting records log file accounting file = /var/log/tac_acc。
