浅谈 —— AAA认证（认证+授权）详解+配置

目录

一、AAA认证简介：

二、认证流程：

三、相关配置配置： 

 （1）认证：

（2）授权：

---

一、AAA认证简介：

AAA是认证（Authentication）、授权（Authorization）和计费（Accounting）的简称，是网络安全中进行访问控制的一种安全管理机制，提供认证、授权和计费三种安全服务，数据中心被大量应用

AAA提供的安全服务具体是指：

• 认证（Authentication）：是对用户的身份进行验证，判断其是否为合法用户。
• 授权（Authorization）：是对通过认证的用户，授权其可以使用哪些服务。
• 审计（Accounting）：是记录用户使用网络服务的资源情况，这些信息将作为计费的依据。

 ——————————————————————————————————————————————————————————

二、认证流程：

数据中心常用（用于控制工程师权限，员工权限等.....) 

—————————————————————————————————————————————————————————— 

三、相关配置配置： 

 （1）认证：

• ①第一步：开启AAA认证

r2(config)#aaa new-model

• ②第二步：配置线下保护（console接口不参与AAA认证 , 防止某天AAA认证服务器出现故障时，不能通过调试线缆操作服务器）（！！！）

r2(config)#aaa authentication login no-rz line none
——对登录的流量做一个名称为no-rz（不认证）的策略：如果原来这个console接口配置了一个password认证，
还是采用原来的password认证，如果没有配置的话，我后面就对这个console接口不认证了
 
也可以给console接口配置一个简单的密码：
 
r2(config)#line console 0
r2(config-line)#password 123456
r2(config-line)#login authentication no-rz //调用策略no-rz
r2(config-line)#exit

• ③第三步:对R1设备telnet我R2的时候提供AAA认证

r2(config)#user aaa password bbb // 创建本地用户名和密码数据库
 
r2(config)# tacacs-server host 192.168.100.100 key kkk
r2(config)# radius-server host 192.168.100.100 key kkk 
//声明TACACS服务器或者radius服务器在哪，与这个AAA认证服务器传输数据的时候加密的密钥是KKK
 
r2(config)#aaa authentication login telnet-rz group tacacs+  local
（//认证的时候先进行AAA server 认证，如果AAA server认证失败或者AAA server不存在的话，进行本地认证。）
（r2(config)#aaa authentication login telnet-rz local group tacacs+） 
//先采用本地数据库对login（登录）行为进行认证，如果本地数据库没有配置则采用身后的AAA认证服务器里面的用户名和密码对客户进行认证,认证策略名称为telnet-rz
 
r2(config)#line vty 0 8  //在VTY线程里调用认证策略
r2(config-line)#login authentication telnet-rz
r2(config-line)#exit

———————————————————————————————————————————————————————— 

（2）授权：

• ④第四步：对R1设备telnet我R2的时候提供AAA  用户级别授权
•  用户级别一共有0——15，共16个级别，15级权限最高，0和1级都有其特定的命令，2-14级没有，15级有些命令是属于1和0级的，2-14级命令库是空的，但是由于2-14级别比0和1级要高，所以权力使用0和1级的，但是0和1级的命令所有权是属于本身的。例如，我给我儿子买了玩具，这个玩具的所有权是属于我儿子的，但是我有权力使用这些玩具。

show privilege ——查看用户级别

r2(config)#username aaa privilege 5  //在本地定义这个用户级别为5
 
r2(config)#aaa authorization exec telnet-author group tacacs+ local
exec：登录后直接进入到特权模式
r2(config)#aaa authorization exec telnet-author local group tacacs+ 
//先采用本地授权，如果我和服务器失去联系，再采用身后的AAA服务器为客户进行授权
 
r2(config)#line vty 0 8  //在telnet里面调用授权策略
r2(config-line)#authorization exec telnet-author
r2(config-line)#exit

• ⑤第五步：AAA本地命令授权

r2(config)#privilege exec level 5 config t 
config t //是在EXEC特权模式下输入的，把这个命令剪切到5级命令库里面去
 
r2(config)#privilege configure level 5 int
interface是在configuration 全局模式下输入的，把此命令剪切到5级里面去
 
r2(config)#privilege interface level 5 ip address
r2(config)#privilege interface level 5 no shut   
 
r2(config)#privilege configure all level 5 router
把router后面的所有配置命令都剪切到5级命令库里面；router配置命令在configuration模式下输入的

详细：

1、(33条消息) 配置AAA认证和授权_青红造了个大白之成长记-CSDN博客_aaa new-model

 2、(33条消息) 网络设备 密码、用户级别 AAA授权 的管理_centos的博客-CSDN博客