Metoda AAA – konfiguracja przełącznika
Damian Stelmach
Aby możliwa była realizacja logowania na urządzeniu poprzez metodę AAA wymagany jest w sieci serwer, który odpowiadał będzie za zdalne uwierzytelnianie użytkowników. Zakładając, ze taki serwer w sieci już pracuje, do tego aby poprawnie skonfigurować metodę AAA na urządzeniu potrzebować będziemy adres IP tego serwera, a także hasło (klucz) dostępu. W programie Packet Tracer dostępna jest symulacja serwera wraz z usługą AAA. Po podłączeniu serwera do przełącznika, powinniśmy dokonać jego konfiguracji, może ona wyglądać tak:
W pierwszej tabeli widoczne są dane przełącznika sieciowego (jego nazwa, adres IP, rodzaj protokołu uwierzytelnia oraz hasło). Druga tabela to zbiór użytkowników, którzy będą mogli logować się do urządzenia. Adres IP tego serwera to 10.0.0.1/24.
Teraz czas na konfigurację przełącznika. W przypadku programu Packet Tracer konfiguracja metody AAA możliwa jest tylko na przełączniku z serii 3500, dlatego też na tym sprzęcie ją zrealizujemy. Zaczniemy od tego, że zmienimy nazwę naszego przełącznika (Switch zamienimy na s1 ) i utworzymy sobie lokalnego użytkownika, który będzie mógł zalogować się do urządzenia jeśli z jakiś powodów konfiguracja AAA będzie nieskuteczna, albo utracimy możliwość komunikacji z serwerem:
- Switch> enable
- Switch# conf t
- Switch(config)# hostname s1
- s1(config)# username user secret haslo
Teraz musimy ustawić adres IP dla przełącznika. Przypominam, że na przełączniku adres IP nadajemy dla całej sieci VLAN, a że domyślnie wszystkie porty przełącznika pracują w sieci VLAN o identyfikatorze 1, dla takiego interfejsu nadajemy adres IP:
- s1(config)# interface vlan 1
- s1(config-if)# ip address 10.0.0.2 255.255.255.0
- s1(config-if)# no shutdown
- s1(config-if)# exit
Na koniec uruchamiamy funkcjonalność AAA dla przełącznika wydając następujące polecenia:
- s1(config)# aaa new-model
- s1(config)# tacacs-server host 10.0.0.1 key trudnehaslo
- s1(config)# aaa authentication login default group tacacs+ local
Pierwsze polecenie uruchamia nam uwierzytelniania za pomocą potrójnego A. W drugiej linii podajemy parametry serwera, a na koniec uruchamiamy możliwość uwierzytelniania serwerowego. Ostatni parametr local
uruchamia możliwość logowania poprzez lokalnego użytkownika, w razie braku komunikacji z serwerem uwierzytelniania.
Podsumowując: aby uruchomić na urządzeniu sieciowym logowanie z użyciem serwera (zakładając, że mamy już skonfigurowany serwer AAA), należy wykonać polecenia:
- Switch> enable
- Switch# conf t
- Switch(config)# hostname s1
- s1(config)# username user secret haslo
- s1(config)# interface vlan 1
- s1(config-if)# ip address 10.0.0.2 255.255.255.0
- s1(config-if)# no shutdown
- s1(config-if)# exit
- s1(config)# aaa new-model
- s1(config)# tacacs-server host 10.0.0.1 key trudnehaslo
- s1(config)# aaa authentication login default group tacacs+ local
Polecamy: Sekurak Academy 2024
Akademia Sekuraka 2024 zapewnia dostęp do minimum 15 szkoleń online z bezpieczeństwa IT oraz dostęp do materiałów z edycji Sekurak Academy z roku 2023! Przy zakupie możecie skorzystać z kodu: pasja-akademia w koszyku, uzyskując rabat -30% na bilety w wersji "Standard" - warto korzystać! Więcej szczegółów znajdziecie tutaj.
Książka: Wprowadzenie do bezpieczeństwa IT
Niedawno wystartował dodruk świetnej, rozchwytywanej książki pt. "Wprowadzenie do bezpieczeństwa IT, Tom I" (około 940 stron). Mamy dla Was kod: pasja (wpisz go w koszyku), dzięki któremu otrzymacie 10% zniżki - dziękujemy zaprzyjaźnionej ekipie Sekuraka za taki bonus dla naszych Widzów! Jest to pierwszy tom serii o ITsec, który wprowadzi w świat bezpieczeństwa IT każdą osobę - warto, polecamy!
Pomóż dzieciom
Polska Akcja Humanitarna od wielu lat dożywia dzieci. Prosimy, poświęć teraz dosłownie chwilę i pomóż klikając w oznaczony strzałką zielony brzuszek Pajacyka. Dziękujemy!
Komentarze
Czy macie jakieś pytania, sugestie, uwagi? A może zauważyliście literówkę albo błąd? Dajcie koniecznie znać w komentarzach! Dziękujemy Wam za poświęcony na to czas!
Disqus