2016年7月30日 星期六

Cisco AAA 測試

當我們管理很多台Switch的時候最怕就是更改密碼,每一台都有自己的帳號密碼,如果前MIS離開的話,接手的人除非一台一台進去更改,不然大概只能選擇投降,所以這時候就需要使用AAA的功能。



在設定AAA的時候最重要的一點就是先建立一組 local 帳號,然後保持一個連線在enable mode裡面不要登出,因為只要打 aaa new-model 就會全域開啟這個驗證模式了。

我們這裡AAA的驗證方式為問Radius,如果Radius死掉的話還有loacl帳號可以使用。
enable密碼他會自己帶一組帳號為 $enab15$ 去問 Radius,如果Radius死掉的話還有local enable password可以使用,所以你的radius如果是問AD的話,你的AD也要有這組帳號。
一定要留一組一定可以登入的方法,不然網路斷了就無法登入了。

授權方式的話用radius和local。
這裡要特別注意預設console是不進行授權的,怕有人拔掉你的網路線用local驗證拿到授權,所以要額外打aaa authorization console。



我們建立一個radius連線,帶1812 port,和金鑰。



我們登入方式為console和ssh。

因為預設有一行 login authentication default ,所以我們才不用額外打,預設參數打了也會隱藏。



這時候我們使用 angela 這個帳號居然驗證過了,這個帳號不在local而且enable密碼也不是原本機器的密碼。



我們的AD裡面確實有這兩個帳號。



如果你有去Radius看的話,他 enable password 確實是透過一個 $enab15$ 帳號去問密碼,以後你只到修改這個密碼所有switch就會更改了。



跟Radius連線timeout。



如果Radius掛掉的話,還可以透過本地帳號進行驗證,而且jack帳號等級是15,所以直接進去enable mode。



如果你要根據登入帳號來進行授權的話就要使用Windows Server的網路原則伺服器。

簡單來說就是sales群組的人,如果驗證成功的話,會傳送一個 shell-priv-lvl=15 的訊息回去。



simon是在此群組的人,所以驗證成功後直接進入enable mode。



我們看LOG也有看到它是因為收到 shell-priv-lvl=15 的訊息,才會授權simon等級15。



順便提一下我上面angela的範例就是在另一個群組,然後傳回 shell-priv-lvl=1 的訊息,所以登入後只能在user mode。

沒有留言:

張貼留言