欧洲国产视频_自拍视频在线_www.精品_国产小视频免费_日韩在线_av黄色天堂

　　在一些大型企業(yè)中，管理員希望通過TACACS+或RADIUS服務(wù)器對各種網(wǎng)絡(luò)設(shè)備的管理接入進(jìn)行AAA認(rèn)證，以實(shí)現(xiàn)對管理員帳號(hào)的集中管理。A10的AX系列負(fù)載均衡交換機(jī)支持這兩種常見的認(rèn)證方式。

　　由于TACACS+是Cisco的一個(gè)私有協(xié)議，因此，如果希望實(shí)現(xiàn)對管理員命令行操作的授權(quán)訪問，需要在TACACS+上進(jìn)行進(jìn)一步的配置。因此，本文除了介紹如何在AX上配置實(shí)現(xiàn)TACACS+的AAA認(rèn)證，還將介紹如何在Cisco的ACS服務(wù)器上配置實(shí)現(xiàn)AX的授權(quán)訪問。

　　1. AX的AAA基本功能介紹

　　通常情況下，我們所說的AAA是三個(gè)英文單詞的縮寫，分別是：認(rèn)證(Authentication)、授權(quán)(Authorization)和審計(jì)(Accounting)。下面將分別進(jìn)行介紹：

　　1.1 認(rèn)證(Authentication)

　　在默認(rèn)情況下，當(dāng)管理賬戶需要登陸到AX設(shè)備時(shí)，AX設(shè)備根據(jù)用戶輸入的用戶名和密碼檢查本地的管理員數(shù)據(jù)庫。如果輸入的用戶名和密碼在本地?cái)?shù)據(jù)庫中，則登陸成功，否則，登陸用戶被拒絕訪問。

　　我們可以為AX設(shè)備配置一個(gè)外部的TACACS+服務(wù)器，用于管理賬戶的認(rèn)證。在這種情況下，AX仍然會(huì)優(yōu)先檢查本地?cái)?shù)據(jù)庫，以進(jìn)行認(rèn)證。

　　如果AX設(shè)備的本地管理員數(shù)據(jù)庫有這個(gè)用戶名和密碼，則用戶通過認(rèn)證，獲得訪問系統(tǒng)的權(quán)限。

　　如果AX設(shè)備的本地管理員數(shù)據(jù)庫有這個(gè)用戶名，但密碼錯(cuò)誤，則AX設(shè)備會(huì)拒絕該訪問。

　　如果AX設(shè)備的本地管理員數(shù)據(jù)庫沒有這個(gè)用戶名，并且配置了TACACS+服務(wù)器，則AX采用這些服務(wù)器上的數(shù)據(jù)庫進(jìn)行認(rèn)證。

　　1.2 授權(quán)(Authorization)

　　在AX上配置TACACS+授權(quán)時(shí)，可以授權(quán)管理帳號(hào)執(zhí)行以下幾個(gè)級(jí)別的CLI命令。

　　15(admin)：允許執(zhí)行所有級(jí)別的CLI命令。

　　14(config)：可以執(zhí)行除了修改管理員賬號(hào)的其他CLI命令。

　　1(Privileged EXEC)：可以執(zhí)行特權(quán)模式或用戶模式下的所有命令。

　　0(User EXEC)：可以執(zhí)行用戶模式下的所有命令。

　　注：配置為2-13等同于1這個(gè)級(jí)別。

　　1.3 審計(jì)(Accounting)

　　你可以為AX設(shè)備配置外部TACACS+服務(wù)器實(shí)現(xiàn)審計(jì)功能。通過審計(jì)功能，你可以追蹤管理帳號(hào)登陸以后的所有活動(dòng)。

　　你可以配置以下審計(jì)內(nèi)容：

　　Login/Logoff 活動(dòng)

　　命令

　　你可以配置以下幾個(gè)級(jí)別的審計(jì)，來追蹤管理員執(zhí)行命令的情況：

　　15(admin)：審計(jì)所有級(jí)別的CLI命令的執(zhí)行情況。

　　14(config)：審計(jì)除了修改管理員賬號(hào)的其他CLI命令。

　　1(Privileged EXEC)：審計(jì)特權(quán)模式或用戶模式下的所有命令。

　　0(User EXEC)：審計(jì)用戶模式下的所有命令。

　　2. 為AX配置TACACS+的AAA認(rèn)證

　　為AX配置TACACS+的AAA的方式很簡單，只需要幾條命令即可實(shí)現(xiàn)�；�本��，配置命令可以簡單的分為幾個(gè)部分：

　　1) 在AX上配置TACACS+服務(wù)器信息。通常情況下，建議配置第二臺(tái)TACACS+作為備份服務(wù)器。

　　tacacs-server host 192.168.103.101 secret tacacs_secret //設(shè)定TACACS+服務(wù)器，及共享密鑰 authentication type local tacplus //設(shè)定認(rèn)證服務(wù)器類型

　　2) 配置是否需要進(jìn)行授權(quán)控制。

　　authorization commands 15 method tacplus //設(shè)定授權(quán)的命令行等級(jí)

　　3) 配置審計(jì)方式和內(nèi)容。

　　accounting exec start-stop tacplus //設(shè)定審計(jì)管理帳號(hào)login/logoff行為 accounting commands 15 stop-only tacplus //設(shè)定對命令行的審計(jì)等級(jí)

　　3. Cisco ACS服務(wù)器上的配置方式

　　由于TACACS+是Cisco的私有協(xié)議，因此，在默認(rèn)配置方式下，如果在AX上配置了授權(quán)(Authorization)控制，需要在TACACS+上進(jìn)行一些額外的配置，以實(shí)現(xiàn)對AX的授權(quán)控制。否則，AX上可能會(huì)出現(xiàn)類似以下的告警日志：

　　Nov 30 2011 17:43:53 Error [SYSTEM]:tacplus_read_response: authorization failed with TACACS+ server 192.168.103.101以下以Cisco ACS 4.2為例，說明TACACS+的配置方式：

　　1) 在“Shared Profile Components”下，設(shè)置“Shell Command Authorization Set”。

　　在“Unmatched Commands”中，如果默認(rèn)拒絕執(zhí)行所有命令，你需要將允許執(zhí)行的命令添加至列表中，并選擇“Permit Unmatched Args”。

　　2) 在“Network Configuration”中，將AX添加為“AAA Clients”。

　　如上圖所示，你需要指定AX的管理地址及共享密鑰。添加后，選擇“Submit+Apply”，以使配置生效。

　　3) 在“Group Setup”中，選擇相應(yīng)的組并按照下圖對組設(shè)置進(jìn)行編輯。

　　4) 將管理帳號(hào)與組進(jìn)行關(guān)聯(lián)。

　　至此，完成ACS上的TACACS+配置。

　　推薦閱讀

　　雷士拒絕吳長江回歸

雷士照明日前發(fā)布公告稱，考慮到調(diào)查小組的發(fā)現(xiàn)，認(rèn)為重新委任吳長江為董事長及董事并不妥當(dāng)。公司已設(shè)立臨時(shí)管理委員會(huì)加強(qiáng)對日常運(yùn)營的管理。委員會(huì)由三位副總裁穆宇、王明華及談鷹組成，相信亦有助履行因李瑞及李>>>詳細(xì)閱讀

本文標(biāo)題：A10負(fù)載均衡交換機(jī)AX認(rèn)證方式詳解

地址：http://www.xglongwei.com/a/22/20120817/81128.html

 1/2    1  2 下一頁