A10负载均衡交换机AX认证方式详解

来源:kaiyun体育官方人口   
2012/3/20 13:40:10
在一些大型企业中,管理员希望通过TACACS+或RADIUS服务器对各种网络设备的管理接入进行AAA认证,以实现对管理员帐号的集中管理。A10的AX系列负载均衡交换机支持这两种常见的认证方式。

本文关键字: A10 交换机 AX认证

在一些大型企业中,管理员希望通过TACACS+或RADIUS服务器对各种网络设备的管理接入进行AAA认证,以实现对管理员帐号的集中管理。A10的AX系列负载均衡交换机支持这两种常见的认证方式。

由于TACACS+是Cisco的一个私有协议,因此,如果希望实现对管理员命令行操作的授权访问,需要在TACACS+上进行进一步的配置。因此,本文除了介绍如何在AX上配置实现TACACS+的AAA认证,还将介绍如何在Cisco的ACS服务器上配置实现AX的授权访问。

1. AX的AAA基本功能介绍

通常情况下,我们所说的AAA是三个英文单词的缩写,分别是:认证(Authentication)、授权(Authorization)和审计(Accounting)。下面将分别进行介绍:

1.1 认证(Authentication)

在默认情况下,当管理账户需要登陆到AX设备时,AX设备根据用户输入的用户名和密码检查本地的管理员数据库。如果输入的用户名和密码在本地数据库中,则登陆成功,否则,登陆用户被拒绝访问。

我们可以为AX设备配置一个外部的TACACS+服务器,用于管理账户的认证。在这种情况下,AX仍然会优先检查本地数据库,以进行认证。

如果AX设备的本地管理员数据库有这个用户名和密码,则用户通过认证,获得访问系统的权限。

如果AX设备的本地管理员数据库有这个用户名,但密码错误,则AX设备会拒绝该访问。

如果AX设备的本地管理员数据库没有这个用户名,并且配置了TACACS+服务器,则AX采用这些服务器上的数据库进行认证。

1.2 授权(Authorization)

在AX上配置TACACS+授权时,可以授权管理帐号执行以下几个级别的CLI命令。

15(admin):允许执行所有级别的CLI命令。

14(config):可以执行除了修改管理员账号的其他CLI命令。

1(Privileged _exec):可以执行特权模式或用户模式下的所有命令。

0(User _exec):可以执行用户模式下的所有命令。

注:配置为2-13等同于1这个级别。

1.3 审计(Accounting)

你可以为AX设备配置外部TACACS+服务器实现审计功能。通过审计功能,你可以追踪管理帐号登陆以后的所有活动。

你可以配置以下审计内容:

Login/Logoff 活动

命令

你可以配置以下几个级别的审计,来追踪管理员执行命令的情况:

15(admin):审计所有级别的CLI命令的执行情况。

14(config):审计除了修改管理员账号的其他CLI命令。

1(Privileged _exec):审计特权模式或用户模式下的所有命令。

0(User _exec):审计用户模式下的所有命令。

2. 为AX配置TACACS+的AAA认证

为AX配置TACACS+的AAA的方式很简单,只需要几条命令即可实现。基本上,配置命令可以简单的分为几个部分:

1)  在AX上配置TACACS+服务器信息。通常情况下,建议配置第二台TACACS+作为备份服务器。

tacacs-server host 192.168.103.101 secret tacacs_secret     //设定TACACS+服务器,及共享密钥 authentication type local tacplus           //设定认证服务器类型

2) 配置是否需要进行授权控制。

authorization commands 15 method tacplus    //设定授权的命令行等级

3)           配置审计方式和内容。

accounting _exec start-stop tacplus          //设定审计管理帐号login/logoff行为 accounting commands 15 stop-only tacplus    //设定对命令行的审计等级

3. Cisco ACS服务器上的配置方式

由于TACACS+是Cisco的私有协议,因此,在默认配置方式下,如果在AX上配置了授权(Authorization)控制,需要在TACACS+上进行一些额外的配置,以实现对AX的授权控制。否则,AX上可能会出现类似以下的告警日志:

Nov 30 2011 17:43:53 Error   [SYSTEM]:tacplus_read_response: authorization failed with TACACS+ server 192.168.103.101以下以Cisco ACS 4.2为例,说明TACACS+的配置方式:

1)        在“Shared Profile Components”下,设置“Shell Command Authorization Set”。

在“Unmatched Commands”中,如果默认拒绝执行所有命令,你需要将允许执行的命令添加至列表中,并选择“Permit Unmatched Args”。

2)        在“Network Configuration”中,将AX添加为“AAA Clients”。

如上图所示,你需要指定AX的管理地址及共享密钥。添加后,选择“Submit+Apply”,以使配置生效。

3)        在“Group Setup”中,选择相应的组并按照下图对组设置进行编辑。

 

4)        将管理帐号与组进行关联。

 

至此,完成ACS上的TACACS+配置。

责编:张鹏宇
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map