AUTHORIZATION VỚI TACACS+ SERVER

[admin]

AUTHORIZATION VỚI TACACS+ SERVER

1) Mô hình:



2) Nội dung:

Chức năng của authen như đã được trình bày trong bài lab trước. Bài lab này giúp học viên hiểu được những tính năng của autho như xác định vùng tài nguyên và những giới hạn mà user được phép sử dụng trong vùng tài nguyên đó.

Bài lab này yêu cầu bạn cấu hình authen và autho dùng TACACS+ server.Nếu không có đáp ứng từ TACACS+ server ( vd như kết nối giữa TACACS+ server và router bị hỏng ) sẽ sử dụng local database để xác thực. TACACS+ server được cấu hình với key là vnpro.

3) Hướng dẫn:

Bạn có thể cấu hình như sau:
Router# conf t
Router(config)# enable pass cisco

Cấu hình cổng giao tiếp với TACACS+ server:
Router(config)# int F0/0
Router(config-if)# ip add 192.168.2.1 255.255.255.0
Router(config)# no shut

Router(config)# aaa new-model
Router(config)# aaa authentication login default group tacacs+ local enable
( Xác thực với TACACS+ server, nếu có vấn đề thì sẽ xác thực với local database, và cuối cùng sẽ xác thực với enable pass đã thiết lập ở trên, trong trường hợp có cấu hình lệnh enable secret password thì sẽ xác thực với password này ).

Router(config)# aaa authorization exec default group tacacs+ local
( xác định nếu user được cho phép truy cập EXEC shell )

Cấu hình cho phép những user được phép truy cập vào privilege 7 (dữ liệu này sẽ được dùng trong trường hợp xác thực với TACACS+ server có lỗi như không có kết nối ).

Router(config)# username hocvien privilege 7 pass hocvien
Router(config)# username vip privilege 7 pass vip

Xác định những lệnh được phép thực hiện trong privilege 7 tại config mode:
Router(config)# privilege configure level 7 snmp-server host
Router(config)# privilege configure level 7 snmp-server enable
Router(config)# privilege configure level 7 snmp-server
Router(config)# privilege exec level 7 ping
Router(config)# privilege exec level 7 configure terminal
Router(config)# privilege exec level 7 configure


Chỉ ra TACACS+ server host là 192.168.2.50 và key là vnpro
Router(config)# tacacs-server host 192.168.2.50 singe
Router(config)# tacacs-server key vnpro
Router(config)#exit
Router# wr

Để thực hiện bài lab này, bạn phải tiến hành cấu hình ACS server thực hiện chức năng TACACS+ server như sau:
Trước tiên, trên màn hình Interface Configuration, click vào TACACS+ ( Cisco IOS), hình 1a

Hình 1a



Tiếp tục cấu hình tại Iterface configuration như hình 1b, click submit

Hình 1b




Trên màn hình user steup, đánh vào tên user là name, sau đó click vào Add/edit như hình 2a

Hình 2a



Tiếp theo, bạn cần cấu hình account của user như hình 2b và 2c:

Hình 2b



Hình 2c



Bạn chọn Use Group Level Setting để chấp nhận cấu hình trong Group setup

Trên màn hình group setup, bạn cấu hình như hình 3a và 3b, nhớ click submit+restart::






4) Kiểm tra:

Từ PC, telnet vào router:




Bạn sẽ được yêu cầu xác thực với user name và password. Khi log in thành công, bạn dùng lệnh sh privilege để xem privilege level hiện tai là privilege 7. Tại config mode, dùng ? để xem tất cả các commands mà user được phép sử dụng như đã cấu hình ở trên.

[truongnt]

Xin hỏi Admin làm cách nào để xem được mô hình và hình trong bài LAB???

[ciscau]

đúng rồi Admin ơi , sao không thấy mô hình và các hình 1a,1b,2a,2b,...vậy ?!!! Admin cho xem hình với

[synctech]

huhu, chẳng nhìn thấy hình gì cả, bác admin xem lại với.

[longnguyen2512]

CHo xin mấy tấm hinh9 di admin ko thấy gì hết!

[luancb]

Bạn tham khảo thêm link này !

[commandos304]

Cho mình hỏi, mình thực hiện các bước như trên đã hoạt động theo yêu cầu nhưng có phương pháp nào mã hoá các thông tin user và password o?Vì khi mình capture bằng wireshark thì vẫn hiện lên thông tin user và password

[caylimgia]

Anh Admin kiểm tra lại bài viết với. Em ko thấy 1 bức ảnh nào hết cả!

[hell13]

Anh Luân có thể chỉ cách giả lập những thiết bị cần trong bài viết của anh được không ạ? Dynamip thì giả lập router th̀i thay bằng GNS3, ok cái này. Nhưng còn cái win server 2003 thì tui kiếm hoài file iso free nhưng không có? Anh có thể giúp được ko ạ?

Xin cảm ơn anh Luân.