歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux基礎 >> 關於Linux

AAA功能部署和測試----麒麟開源堡壘機功能篇之二

AAA服務器在網絡管理方面主要用於服務器、網絡設備的認證,比如我們常用的CISCO ACS系統,通過 AAA服務器可以把登錄設備的帳號統一到AAA系統上進行管理!

另外AAA系統還可以授權記帳,TACACS協議可以限制用戶登錄設備的級別、可執行的命令,但是RADIUS協議只能限制用戶登錄的級別,RADIUS協議沒有CMD屬性,無法限制命令。

堡壘機一般又叫小4A,是集認證、授權、審計、分析與一體的安全設備,我前期測試過多個廠商的堡壘機部分堡壘機有3A功能,這樣的好處是可以把網絡設備的帳號集中管理起來。

麒麟開源堡壘機3A的測試出了一個問題,不支持TACACS,所以無法做命令的限制,不過這一問題可以通過堡壘機的命令列表識現。

我上線步驟如下:

堡壘機上設置3A服務器的步驟:

1. 建立Radius帳號,Radius帳號為網絡設備登錄時的認證帳號,在菜單資源管理-資產管理-Radius用戶裡創建

\

2. 點擊創建按鈕,可以彈出新建RADIUS帳號的菜單,其中用戶名密碼等關鍵部分必須添加

Cisco授權級別,指登錄Cisco設備時的enable級別,為0到15級中的任意一組

神碼交換機級別,指登錄神碼交換機時是否為enable級別,如果勾選了登錄神碼交換機時直接為enable級別

華為授權級別,針對華為、H3C設備,登錄時具有的4級權限

\

3.創建了Radius帳戶後,還需要將這個帳號綁定在相應的網絡設備資產上,否則這個RADIUS帳號不可用,這個帳號綁定到哪個資產設備上,就可以使用這個帳號登錄到哪個資產設備

在資源管理-資產管理-設備管理菜單,找到相應的網絡設備,點用戶菜單,彈出用戶管理界面

\

進入用戶編輯界面後,點擊添加新用戶按鈕,可以彈出新加用戶的界面

\

在新建用戶的界面勾上RADIUS用戶認證的復選,在上方的請選擇中即可以下拉出在本文檔第一步添加的所有的radius帳號

\

\

選擇相應的帳號,選擇好登錄方式後,點保存修改按鈕,即完成綁定,這個RADIUS用戶就可以在這台設備上登錄了

如果需要導入,則在EXCEL列表裡將堡壘機用戶這一項設置為是,其它項不需要修改

\

Radius的通訊字符串默認為freesvr,可以登錄到後台進行修改,配置文件為:

/opt/freesvr/auth/etc/raddb/clients.conf


\

 

網絡設備配置模版:

H3C配置模版(舊機器):

1.建立一個radius scheme,其中bris為scheme名稱,可以隨意定

radius scheme bris

server-type standard (標准模式不授權,擴展模式授權)

primary authentication 118.186.17.101

accounting optional

keyauthentication freesvr

user-name-format without-domain //堡壘機登錄需要配置為user-name-formatwith-domain

#

2.建立一個域,其中bris為域名,可以隨意寫,將上面的bris模版與這個域綁定起來

domain bris

scheme radius-scheme bris

domain system

3.設置vty允許telnet登錄

user-interface vty 0 4

authentication-mode scheme

4.注意,h3c交換機登錄時,必須用username@domain模式,其中username是在3A系統裡建立的用戶名,domain為第2步配置的域名,比如,我在3A服務器上建立一個test的用戶,則在本例中,使用test@bris進行登錄

H3C(新機器)

指定用戶哪些個域做認證(這部最後配置)

domain default enable radius

配置視圖

radius scheme h3c

primary authentication 10.68.1.217

primary accounting 10.68.1.217

keyauthentication freesvr

keyaccounting freesvr

user-name-format without-domain

配置認證域,注意域名要與頭一行相同

domain radius

authentication login radius-scheme h3c local

access-limit disable

state active

idle-cut disable

self-service-url disable

Cisco設備配置模版

1.建立一個用戶

Username test password test

建立一個本地用戶(一定要建立,不然當radius失效時,會無法通過本地認證登陸到設備)

2配置3A服務器

aaa new-model

aaa authentication login default groupradius local

aaa authorization exec default group radiuslocal

aaa accounting exec default start-stopgroup radius

ip radius source-interface loopback0

radius-server host 118.186.17.101 auth-port1812 acct-port 1813 key freesvr

華為配置模版

建本地用戶(如果用戶已經有了可以不建,不然RADIUS掛了本地登錄不了)

aaa

local-user huawei password cipherhuawei.123

local-user huawei service-type ssh (這裡,如果是telnet)local-user huawei service-type telnet

建立一個配置模版,需要修改的是radius ip:

radius-server template cisco

radius-server shared-key freesvr

radius-server authentication 199.1.20.41812

radius-server authentication 199.1.20.51812 secondary

radius-server accounting 199.1.20.4 1813

radius-server accounting 199.1.20.5 1813secondary

radius-server retransmit 2

undo radius-server user-namedomain-included

建立一個認證視圖

authentication-scheme aaarenzheng

authentication-mode radius local

建立一個記帳視圖

accounting-scheme aaaacounting

accounting-mode radius

accounting start-fail online

將認證視圖綁定在default_admin域

domain default_admin

authentication-scheme aaarenzheng

radius-server cisco


Copyright © Linux教程網 All Rights Reserved