订阅业界RSS CSDN首页> 业界

A10负载均衡交换机AX认证方式详解

发表于2012-03-20 13:50| 来源中国计算机行业网| 作者中国计算机行业网

摘要:在一些大型企业中,管理员希望通过TACACS+或RADIUS服务器对各种网络设备的管理接入进行AAA认证,以实现对管理员帐号的集中管理。A10的AX系列负载均衡交换机支持这两种常见的认证方式。 由于TACACS+是Cisco的一个私有协议,因此,如果希望实现对管理员命令行操作的授权访问,需要在TACACS+上进行进一步的配...

在一些大型企业中,管理员希望通过TACACS+或RADIUS服务器对各种网络设备的管理接入进行AAA认证,以实现对管理员帐号的集中管理。A10的AX系列负载均衡交换机支持这两种常见的认证方式。

由于TACACS+是Cisco的一个私有协议,因此,如果希望实现对管理员命令行操作的授权访问,需要在TACACS+上进行进一步的配置。因此,本文除了介绍如何在AX上配置实现TACACS+的AAA认证,还将介绍如何在Cisco的ACS服务器上配置实现AX的授权访问。

1. AX的AAA基本功能介绍
通常情况下,我们所说的AAA是三个英文单词的缩写,分别是:认证(Authentication)、授权(Authorization)和审计(Accounting)。下面将分别进行介绍:

1.1 认证(Authentication)

在默认情况下,当管理账户需要登陆到AX设备时,AX设备根据用户输入的用户名和密码检查本地的管理员数据库。如果输入的用户名和密码在本地数据库中,则登陆成功,否则,登陆用户被拒绝访问。

我们可以为AX设备配置一个外部的TACACS+服务器,用于管理账户的认证。在这种情况下,AX仍然会优先检查本地数据库,以进行认证。
如果AX设备的本地管理员数据库有这个用户名和密码,则用户通过认证,获得访问系统的权限。

如果AX设备的本地管理员数据库有这个用户名,但密码错误,则AX设备会拒绝该访问。

如果AX设备的本地管理员数据库没有这个用户名,并且配置了TACACS+服务器,则AX采用这些服务器上的数据库进行认证。

1.2 授权(Authorization)

在AX上配置TACACS+授权时,可以授权管理帐号执行以下几个级别的CLI命令。

15(admin):允许执行所有级别的CLI命令。

14(config):可以执行除了修改管理员账号的其他CLI命令。

1(Privileged EXEC):可以执行特权模式或用户模式下的所有命令。

0(User EXEC):可以执行用户模式下的所有命令。

注:配置为2-13等同于1这个级别。

1.3 审计(Accounting)

你可以为AX设备配置外部TACACS+服务器实现审计功能。通过审计功能,你可以追踪管理帐号登陆以后的所有活动。
你可以配置以下审计内容:

Login/Logoff 活动

命令

你可以配置以下几个级别的审计,来追踪管理员执行命令的情况:

15(admin):审计所有级别的CLI命令的执行情况。

14(config):审计除了修改管理员账号的其他CLI命令。

1(Privileged EXEC):审计特权模式或用户模式下的所有命令。

0(User EXEC):审计用户模式下的所有命令。

2. 为AX配置TACACS+的AAA认证

为AX配置TACACS+的AAA的方式很简单,只需要几条命令即可实现。基本上,配置命令可以简单的分为几个部分:

1)在AX上配置TACACS+服务器信息。通常情况下,建议配置第二台TACACS+作为备份服务器。

tacacs-server host 192.168.103.101 secret tacacs_secret     //设定TACACS+服务器,及共享密钥 authentication type local tacplus           //设定认证服务器类型 

2)配置是否需要进行授权控制。

authorization commands 15 method tacplus    //设定授权的命令行等级 

 3)配置审计方式和内容。
accounting exec start-stop tacplus          //设定审计管理帐号login/logoff行为 accounting commands 15 stop-only tacplus    //设定对命令行的审计等级 

3. Cisco ACS服务器上的配置方式

由于TACACS+是Cisco的私有协议,因此,在默认配置方式下,如果在AX上配置了授权(Authorization)控制,需要在TACACS+上进行一些额外的配置,以实现对AX的授权控制。否则,AX上可能会出现类似以下的告警日志:
Nov 30 2011 17:43:53 Error   [SYSTEM]:tacplus_read_response: authorization failed with TACACS+ server 192.168.103.101以下以Cisco ACS 4.2为例,说明TACACS+的配置方式:

1)在“Shared Profile Components”下,设置“Shell Command Authorization Set”。

 

在“Unmatched Commands”中,如果默认拒绝执行所有命令,你需要将允许执行的命令添加至列表中,并选择“Permit Unmatched Args”。

2)在“Network Configuration”中,将AX添加为“AAA Clients”。

  

如上图所示,你需要指定AX的管理地址及共享密钥。添加后,选择“Submit+Apply”,以使配置生效。

3)在“Group Setup”中,选择相应的组并按照下图对组设置进行编辑。

 

 

4)将管理帐号与组进行关联。

 

至此,完成ACS上的TACACS+配置。

A10负载均衡交换机AX认证方式详解