Hướng Dẫn Cấu Hình Authentication Trên Router Cisco
Authentication cung cấp một phương pháp để xác định người dùng, bao gồm hộp thoại đăng nhập và mật khẩu, challenge và response, hỗ trợ nhắn tin và mã hóa, tùy thuộc vào giao thức bảo mật đã chọn. Authentication là cách người dùng được xác định trước khi được phép truy cập vào mạng và các dịch vụ mạng.
Trong bài viết này, quản trị viên của ANBINHNET ™ sẽ gửi đến hướng dẫn cấu hình Authentication trên thiết bị Router Cisco.
CẤU HÌNH PHƯƠNG THỨC XÁC THỰC AAA TRÊN ROUTER CISCO
Cấu Hình Xác Thực Đăng Nhập Bằng AAA Trên Router Cisco
Các dịch vụ bảo mật AAA hỗ trợ nhiều phương thức xác thưc đăng nhập. Sử dụng lệnh aaa authentication login để bật xác thực AAA cho dù bạn quyết định sử dụng phương thức xác thực đăng nhập nào được hỗ trợ. Với lệnh aaa authentication login, bạn tạo một hoặc nhiều danh sách các phương thức xác thực được thử khi đăng nhập. Các danh sách này được áp dụng bằng lệnh cấu hình line login authentication.
Để cấu hình Login Authentication bằng AAA, hãy sử dụng các lệnh sau bắt đầu ở chế độ cấu hình chung:
| Lệnh hoặc Hành động | Mục đích | |
|---|---|---|
| Bước 1 |
Router(config)# aaa new-model |
Cho phép AAA trên toàn cầu. |
| Bước 2 |
Router(config)# aaa authentication login {default | list-name } method1 [method2 …] |
Tạo danh sách xác thực cục bộ |
| Bước 3 |
Router(config)# line [aux | console |tty | vty ]line-number [ending-line-number ] |
Nhập chế độ cấu hình line cho các line mà bạn muốn áp dụng danh sách xác thực |
| Bước 4 |
Router(config-line)# login authentication Ví dụ: |
Áp dụng danh sách xác thực cho một dòng hoặc một tập hợp dòng |
list-name là một chuỗi ký tự dùng để đặt tên cho danh sách bạn đang tạo. Đối số phương thức đề cập đến phương thức thực tế mà thuật toán xác thực sẽ thử. Các phương thức xác thực bổ sung chỉ được sử dụng nếu phương thức trước đó trả về lỗi, chứ không phải nếu nó không thành công. Để xác định rằng quá trình xác thực sẽ thành công ngay cả khi tất cả các phương thức đều trả về lỗi, hãy chỉ định none (không có) phương thức nào là phương thức cuối cùng trong dòng lệnh.
Để tạo danh sách mặc định được sử dụng khi danh sách được đặt tên not được chỉ định trong lệnh login authentication, hãy sử dụng từ khóa default theo sau là các phương pháp sẽ được sử dụng trong các tình huống mặc định. Danh sách phương thức mặc định được tự động áp dụng cho tất cả các giao diện.
Bảng dưới đây liệt kê các phương thức xác thực đăng nhập được hỗ trợ.
| Từ khóa | Mô tả |
| enable | Sử dụng mật khẩu kích hoạt để xác thực |
| krb5 | Sử dụng Kerberos 5 để xác thực |
| krb5-telnet | Sử dụng giao thức xác thực Kerberos 5 Telnet khi sử dụng Telnet để kết nối Router. Nếu được chọn, từ khóa này phải được liệt kê là phương pháp đầu tiên trong danh sách phương pháp. |
| line | Sử dụng mật khẩu line để xác thực. |
| local | Sử dụng cơ sở dữ liệu username cục bộ để xác thực. |
| local-case | Sử dụng xác thực username cục bộ phân biệt chữ hoa, chữ thường. |
| none | Không sử dụng xác thực. |
| group radius | Sử dụng danh sách tất cả các máy chủ RADIUS để xác thực |
| group tacacs+ | Sử dụng danh sách tất cả các máy chủ TACACS+ để xác thực |
| group group-name | Sử dụng một tập hợp con các máy chủ RADIUS hoặc TACACS+ để xác thực như được xác thực bởi lệnh aaa group server radius hoặc aaa group server tacacs+. |
Xác Thực Đăng Nhập Bằng Enable Password
Sử dụng lệnh aaa authentication login với từ khóa enable method để chỉ định mật khẩu kích hoạt làm phương thức xác thực đăng nhập. Trước khi bạn có thể sử dụng mật khẩu kích hoạt làm phương thức xác thực đăng nhập, bạn cần xác định mật khẩu kích hoạt.
Ví dụ, để chỉ định Enable Password làm phương thức xác thực người dùng khi đăng nhập khi không có danh sách phương thức nào khác được xác định, hãy nhập lệnh sau:
aaa authentication login default enable
Trước khi bạn có thể sử dụng mật khẩu kích hoạt làm phương thức xác thực đăng nhập, bạn cần xác định mật khẩu kích hoạt.
Xác Thực Đăng Nhập Bằng Kerberos
Xác thực qua Kerberos khác với hầu hết các phương thức xác thực khác: mật khẩu của người dùng không bao giờ được gửi đến remote access server. Người dùng từ xa đăng nhập vào mạng được nhắc nhập tên người dùng. Nếu trung tâm phân phối khóa (KDC) có mục nhập cho người dùng đó, nó sẽ tạo một vé cấp vé được mã hóa (TGT) với mật khẩu cho người dùng đó và gửi lại cho Router Cisco. Sau đó, người dùng được nhắc nhập mật khẩu và bộ định tuyến cố gắng giải mã TGT bằng mật khẩu đó. Nếu thành công, người dùng được xác thực và TGT được lưu trữ trong bộ đệm thông tin xác thực của người dùng trên bộ định tuyến Cisco.
Trong khi krb5 sử dụng chương trình KINIT, người dùng không cần chạy chương trình KINIT để lấy TGT xác thực với bộ định tuyến. Điều này là do KINIT đã được tích hợp vào quy trình đăng nhập trong triển khai Kerberos của Cisco IOS XE.
Sử dụng lệnh aaa authentication login với từ khóa krb5 method để chỉ định Kerberos làm phương thức xác thực đăng nhập.
Ví dụ, để chỉ định Kerberos làm phương thức xác thực người dùng khi đăng nhập khi không có danh sách phương thức nào khác được xác định, hãy nhập lệnh sau:
aaa authentication login default krb5Trước khi bạn có thể sử dụng Kerberos làm phương thức xác thực đăng nhập, bạn cần kích hoạt giao tiếp với máy chủ bảo mật Kerberos.
Xác Thực Đăng Nhập Bằng Mật Khẩu Line
Sử dụng lệnh aaa authentication login với từ khóa line method để chỉ định mật khẩu line làm phương thức xác thực đăng nhập. Trước khi bạn có thể sử dụng mật khẩu line làm phương thức xác thực đăng nhập, bạn cần xác định mật khẩu line.
Ví dụ, để chỉ định Line Password làm phương thức xác thực người dùng khi đăng nhập khi không có danh sách phương thức nào khác được xác định, hãy nhập lệnh sau:
aaa authentication login default lineTrước khi bạn có thể sử dụng line password làm phương thức xác thực đăng nhập, bạn cần xác định line password.
Xác Thực Đăng Nhập Bằng Mật Khẩu Cục Bộ
Sử dụng lệnh aaa authentication login với từ khóa local method để chỉ định rằng bộ định tuyến Cisco sẽ sử dụng cơ sở dữ liệu tên người dùng cục bộ để xác thực.
Ví dụ, để chỉ định cơ sở dữ liệu username cục bộ làm phương thức xác thực người dùng khi đăng nhập khi không có danh sách phương thức nào khác được xác định, hãy nhập lệnh sau:
aaa authentication login default localXác Thực Đăng Nhập Bằng Nhóm RADIUS
Sử dụng lệnh aaa authentication login với group radius method để chỉ định RADIUS làm phương thức xác thực đăng nhập.
Ví dụ, để chỉ định RADIUS làm phương thức xác thực người dùng khi đăng nhập khi không có danh sách phương thức nào khác được xác định, hãy nhập lệnh sau:
aaa authentication login default group radiusTrước khi bạn có thể sử dụng RADIUS làm phương pháp xác thực đăng nhập, bạn cần kích hoạt giao tiếp với máy chủ bảo mật RADIUS.
Cấu Hình Thuộc Tính RADIUS 8 Trong Yêu Cầu Truy Cập
Sau khi bạn đã sử dụng lệnh aaa authentication login để chỉ định RADIUS và máy chủ đăng nhập của bạn đã được định cấu hình để yêu cầu địa chỉ IP của nó từ NAS, bạn có thể gửi thuộc tính 8 (Framed-IP-Address) trong các gói yêu cầu truy cập bằng cách sử dụng lệnh radius-server attribute 8 include-in-access-req trong chế độ cấu hình global. Lệnh này giúp NAS có thể cung cấp trước cho máy chủ RADIUS một gợi ý về địa chỉ IP của người dùng để xác thực người dùng.
Xác Thực Đăng Nhập Bằng Nhóm TACACS
Sử dụng lệnh aaa authentication login với group tacacs+ method để chỉ định TACACS+ làm phương thức xác thực đăng nhập.
Ví dụ, để chỉ định TACACS làm phương thức xác thực người dùng khi đăng nhập khi không có danh sách phương thức nào khác được xác định, hãy nhập lệnh sau:
aaa authentication login default group tacacs+Trước khi có thể sử dụng TACACS+ làm phương thức xác thực đăng nhập, bạn cần kích hoạt giao tiếp với máy chủ bảo mật TACACS+.
Xác Thực Đăng Nhập Bằng Nhóm Group-Name
Sử dụng lệnh aaa authentication login với group group-name để chỉ định mạng con của máy chủ RADIUS hoặc TACACS+ để sử dụng phương pháp xác thực đăng nhập. Để chỉ định và xác thực group name và thành viên của group, sử dụng lệnh aaa group server. Ví dụ: sử dụng lệnh aaa group server để xác định trước các thành viên của group loginrad:
aaa group server radius loginrad
server 172.16.2.3
server 172.16.2 17
server 172.16.2.32Lệnh này chỉ định các máy chủ RADIUS 172.16.2.3, 172.16.2.17 và 172.16.2.32 là thành viên của group loginrad.
Để chỉ định group ppprad làm phương thức xác thực người dùng khi đăng nhập khi không có danh sách phương thức nào khác được xác định, hãy nhập lệnh sau:
aaa authentication login default group loginradTrước khi bạn có thể sử dụng Group Name làm phương thức xác thực đăng nhập, bạn cần kích hoạt giao tiếp với máy chủ bảo mật RADIUS hoặc TACACS+.
Cấu Hình Xác Thực PPP Bằng AAA Trên Router Cisco
Nhiều người dùng truy cập máy chủ truy cập mạng thông qua quay số qua async hoặc ISDN. Truy cập quay số qua async hoặc ISDN hoàn toàn bỏ qua CLI; thay vào đó, một giao thức mạng (chẳng hạn như PPP hoặc ARA) sẽ bắt đầu ngay khi kết nối được thiết lập.
Các dịch vụ bảo mật AAA hỗ trợ nhiều phương thức xác thực để sử dụng trên các giao diện nối tiếp chạy PPP. Sử dụng lệnh aaa authentication ppp để bật xác thực AAA cho dù bạn quyết định sử dụng phương thức xác thực PPP nào được hỗ trợ.
Để định cấu hình các phương thức xác thực AAA cho các serial line bằng PPP, hãy sử dụng các lệnh sau trong chế độ cấu hình chung:
| Lệnh hoặc Hành động | Mục đích | |
| Bước 1 | Router(config)# aaa new-model | Cho phép AAA trên toàn hệ thống |
| Bước 2 | Router(config)# aaa authentication ppp {default | list-name } method1 [method2… ] | Tạo danh sách xác thực cục bộ |
| Bước 3 | Router(config)# interface interface-type interface-number | Vào chế độ cấu hình giao diện cho giao diện mà bạn muốn áp dụng danh sách xác thực |
| Bước 4 | Router(config-if)# ppp authentication {protocol1 [protocol2… ]} [if-needed ] {default | list-name } [callin ] [one-time ][optional ] | Áp dụng danh sách authentication cho một line hoặc một tập hợp line. Trong lệnh này, protocol1 và protocol2 đại diện cho các giao thức sau: CHAP, MS-CHAP, và PAP. Xác thực PPP được thử trước tiên bằng cách sử dụng phương thức xác thực đầu tiên, được chỉ định bởi protocol1 . Nếu protocol1 không thể thiết lập xác thực, thì giao thức được định cấu hình tiếp theo sẽ được sử dụng để đàm phán xác thực. |
Với lệnh aaa authentication ppp, bạn tạo một hoặc nhiều danh sách các phương thức xác thực được thử khi người dùng cố gắng xác thực qua PPP. Các danh sách này được áp dụng bằng cách sử dụng lệnh ppp authentication line configuration.
Để tạo một danh sách mặc định được sử dụng khi danh sách được đặt tên not specified trong lệnh ppp authentication, sử dụng từ khóa default theo sau là các phương pháp bạn muốn sử dụng trong các tình huống mặc định.
Ví dụ: Để chỉ định cơ sở dữ liệu username cục bộ làm phương pháp xác thực người dùng mặc định, hãy nhập lệnh sau:
aaa authentication ppp default locallist-name là bất kỳ chuỗi kí tự nào được sử dụng để đặt tên cho danh sách bạn đang tạo. Đối số phương thức đề cập đến phương thức thực tế mà thuật toán xác thực sẽ thử. Các phương thức xác thực bổ sung chỉ được sử dụng nếu phương thức trước đó trả về lỗi, chứ không phải nếu nó không thành công. Để xác định rằng quá trình xác thực sẽ thành công ngay cả khi tất cả các phương thức đều trả về lỗi, hãy chỉ định none (không có) phương thức nào là phương thức cuối cùng trong dòng lệnh.
Ví dụ: Để chỉ định rằng xác thực sẽ thành công ngay cả khi (trong ví dụ này) máy chủ TACACS+ trả về lỗi, hãy nhập lệnh sau:
aaa authentication ppp default group tacacs+ noneBảng dưới đây liệt kê các phương thức xác thực đăng nhập được hỗ trợ.
| Từ khóa | Mô tả |
| if-needed |
Không xác thực nếu người dùng đã được xác thực trên TTY line. |
| krb5 |
Sử dụng Kerberos 5 để xác thực (chỉ có thể được sử dụng để xác thực PAP). |
| local | Sử dụng cơ sở dữ liệu username cục bộ để xác thực |
| local-case | Sử dụng xác thực username cục bộ phân biệt chữ hoa và chữ thường. |
| none | Không sử dụng xác thực |
| group radius | Sử dụng danh sách tất cả các máy chủ RADIUS để xác thực. |
| group tacacs+ | Sử dụng danh sách tất cả các máy chủ TACACS+ để xác thực |
| group group-name | Sử dụng một tập hợp con các máy chủ RADIUS hoặc TACACS+ như được xác thực bởi lệnh aaa group server radius hoặc aaa group server tacacs+. |
Xác Thực PPP Bằng Kerberos
Sử dụng lệnh aaa authentication ppp với từ khóa krb5 method để chỉ định Kerberos làm phương thức xác thực để sử dụng trên các giao diện chạy PPP. Ví dụ: để chỉ định Kerberos làm phương thức xác thực người dùng khi không có danh sách phương thức nào khác được xác định, hãy nhập lệnh sau:
aaa authentication ppp default krb5Trước khi bạn có thể sử dụng Kerberos làm phương thức xác thực PPP, bạn cần kích hoạt giao tiếp với máy chủ bảo mật Kerberos.
Xác Thực PPP Bằng Mật Khẩu Cục Bộ
Sử dụng lệnh aaa authentication ppp với từ khóa để chỉ định thiết bị Router Cisco sẽ sử dụng cơ sở dữ liệu username cục bộ để xác thực. Ví dụ: Để chỉ định cơ sở dữ liệu username cục bộ làm phương thức xác thực để sử dụng trên các line chạy PPP khi không có danh sách phương thức nào khác được xác định, hãy nhập lệnh sau:
aaa authentication ppp default localXác Thực PPP Bằng Nhóm RADIUS
Sử dụng lệnh aaa authentication ppp với group radius method để làm phương thức xác thực đăng nhập. Ví dụ: để chỉ định RADIUS làm phương thức xác thực người dùng khi đăng nhập khi không có danh sách phương thức nào khác được xác định, hãy nhập lệnh sau:
aaa authentication ppp default group radiusTrước khi bạn có thể sử dụng RADIUS làm phương pháp xác thực PPP, bạn cần kích hoạt giao tiếp với máy chủ bảo mật RADIUS.
Cấu Hình Thuộc Tính RADIUS 44 Trong Yêu Cầu Truy Cập
Sau khi bạn đã sử dụng lệnh aaa authentication ppp với group radius method để chỉ định RADIUS làm phương thức xác thực đăng nhập, bạn có thể định cấu hình thiết bị của mình để gửi thuộc tính 44 (Acct-Session-ID) trong các gói yêu cầu truy cập bằng cách sử dụng lệnh radius-server attribute 44 include-in-access-req trong chế độ cấu hình chung. Lệnh này cho phép RADIUS daemon theo dõi cuộc gọi từ đầu đến cuối.
Xác Thực PPP Bằng Nhóm TACACS
Sử dụng lệnh aaa authentication ppp với group tacacs+ method để chỉ định TACACS+ làm phương thức xác thực đăng nhập. Ví dụ: để chỉ định TACACS+ làm phương thức xác thực người dùng khi đăng nhập khi không có danh sách phương thức nào khác được xác định, hãy nhập lệnh sau:
aaa authentication ppp default group tacacs+Trước khi có thể sử dụng TACACS+ làm phương thức xác thực PPP, bạn cần kích hoạt giao tiếp với máy chủ bảo mật TACACS+.
Xác Thực PPP Sử Dụng Nhóm Group-Name
Sử dụng lệnh aaa authentication ppp với để chỉ định một tập hợp con các máy chủ RADIUS hoặc TACACS+ để sử dụng làm phương thức xác thực đăng nhập. Để chỉ định và xác định tên nhóm và các thành viên của nhóm, hãy sử dụng lệnh aaa group server. Ví dụ: sử dụng lệnh aaa group server để xác định trước các thành viên của group ppprad:
aaa authentication ppp default group pppradLệnh này chỉ định máy chủ RADIUS 172.16.2.3, 172.16.2.17 và 172.16.2.32 là thành viên của group ppprad.
Để chỉ định group ppprad làm phương thức xác thực người dùng khi đăng nhập khi không có danh sách phương thức nào khác được xác định, hãy nhập lệnh sau:
aaa authentication ppp default group pppradTrước khi bạn có thể sử dụng group-name làm phương thức xác thực PPP, bạn cần kích hoạt giao tiếp với máy chủ bảo mật RADIUS hoặc TACACS+.
Cấu Hình Khả Năng Mở Rộng AAA Cho Các Yêu Cầu PPP Trên Router Cisco
Bạn có thể cấu hình và giám sát số lượng quy trình background được phân bổ bởi trình quản lý PPP trong máy chủ truy cập mạng (NAS) để xử lý các yêu cầu ủy quyền và xác thực AAA. Tính năng AAA Scalability cho phép bạn định cấu hình số lượng quy trình được sử dụng để xử lý các yêu cầu AAA cho PPP, do đó tăng số lượng người dùng có thể được xác thực hoặc ủy quyền đồng thời.
Để phân bổ một số quy trình background cụ thể để xử lý các yêu cầu AAA cho PPP, hãy sử dụng lệnh sau trong chế độ cấu hình chung:
| Lệnh | Mục đích |
|
Phân bổ một số quy trình background cụ thể để xử lý các yêu cầu ủy quyền và xác thực AAA cho PPP |
Đối số number xác định số lượng quy trình nền được dành riêng để xử lý các yêu cầu ủy quyền và xác thực AAA cho PPP và có thể được định cấu hình cho bất kỳ giá trị nào từ 1 đến 2147483647. Do cách trình quản lý PPP xử lý các yêu cầu cho PPP, nên đối số này cũng xác định số lượng người dùng mới có thể được xác thực đồng thời. Đối số này có thể được tăng hoặc giảm bất cứ lúc nào.
Cấu Hình Xác Thực ARAP Bằng AAA Trên Router Cisco
Sử dụng lệnh aaa authentication arap, bạn có thể tạo một hoặc nhiều danh sách các phương thức xác thực được thử khi người dùng AppleTalk Remote Access Protocol (ARAP) cố gắng đăng nhập vào thiết bị. Các danh sách này được sử dụng với lệnh cấu hình arap authentication line.
Sử dụng các lệnh sau bắt đầu trong chế độ cấu hình chung
| Lệnh hoặc Hành động | Mục đích | |
| Bước 1 | Device(config)# aaa new-model | Cho phép AAA trên toàn thiết bị |
| Bước 2 | Device(config)# aaa authentication arap
Ví dụ: Enables authentication for ARAP users. |
|
| Bước 3 | Device(config)# line number | (Tùy chọn) Thay đổi chế độ cấu hình line. |
| Bước 4 | Device(config-line)# autoselect arap | (Tùy chọn) Cho phép tự động chọn ARAP. |
| Bước 5 | Device(config-line)# autoselect during-login | (Tùy chọn) Bắt đầu phiên ARAP khi người dùng đăng nhập. |
| Bước 6 | Device(config-line)# arap authentication list-name | (Tùy chọn—không cần thiết nếu default được sử dụng trong lệnh aaa authentication arap) Bật xác thực TACACS+ cho ARAP trên một line. |
| Bước 7 | Device(config-line)# end | Quay lại chế độ EXEC đặc quyền. |
list-name là bất kỳ chuỗi ký tự nào được sử dụng để đặt tên cho danh sách bạn đang tạo. Đối số method đề cập đến danh sách thực tế của các phương pháp mà thuật toán xác thực thử, theo trình tự được nhập.
Để tạo danh sách mặc định được sử dụng khi danh sách được đặt tên không được chỉ định trong lệnh arap authentication, sử dụng từ khóa default theo sau là các phương pháp bạn muốn sử dụng trong các tình huống mặc định.
Các phương thức xác thực bổ sung chỉ được sử dụng nếu phương thức trước đó trả về lỗi, chứ không phải nếu nó không thành công. Để xác định rằng quá trình xác thực sẽ thành công ngay cả khi tất cả các phương thức đều trả về lỗi, hãy chỉ định none (không có) phương thức nào là phương thức cuối cùng trong dòng lệnh.
Bảng sau liệt kê các phương thức xác thực đăng nhập được hỗ trợ.
| Từ khóa | Mô tả |
| auth-guest | Chỉ cho phép đăng nhập với tư cách khách nếu người dùng đã đăng nhập vào chế độ EXEC. |
| guest | Cho phép khách đăng nhập |
| line | Sử dụng mật khẩu line để xác thực. |
| local | Sử dụng cơ sở dữ liệu username cục bộ để xác thực. |
| local-case | Sử dụng xác thực username cục bộ phân biệt chữ hoa và chữ thường |
| group radius | Sử dụng danh sách tất cả các máy chủ RADIUS để xác thực. |
| group tacacs+ | Sử dụng danh sách tất cả các máy chủ TACACS+ để xác thực. |
| group group-name | Sử dụng một tập hợp con các máy chủ RADIUS hoặc TACACS+ để xác thực như được xác thực bởi lệnh aaa group server radius hoặc aaa group server tacacs+. |
Để tạo danh sách phương thức xác thực tương tự cho ARAP và đặt tên cho danh sách MIS-access, hãy sử dụng lệnh sau:
aaa authentication arap MIS-access if-needed noneXác Thực ARAP Cho Phép Đăng Nhập Máy Khách Được Ủy Quyền
Sử dụng lệnh aaa authentication arap với từ khóa auth-guest để chỉ cho phép đăng nhập với tư cách khách nếu người dùng đã đăng nhập thành công vào EXEC. Phương pháp này phải được liệt kê đầu tiên trong danh sách phương pháp xác thực ARAP nhưng nó có thể được theo sau bởi các phương pháp khác nếu nó không thành công. Ví dụ: để cho phép tất cả thông tin đăng nhập của khách được ủy quyền–nghĩa là thông tin đăng nhập của người dùng đã đăng nhập thành công vào EXEC–làm phương pháp xác thực mặc định, chỉ sử dụng RADIUS nếu phương pháp đó không thành công, hãy nhập lệnh sau:
aaa authentication arap default auth-guest group radiusXác Thực ARAP Cho Phép Đăng Nhập Với Tư Cách Khách
Sử dụng lệnh aaa authentication arap với từ khóa . Phương pháp này phải được liên kết đầu tiên trong danh sách phương pháp xác thực ARAP nhưng nó có thể được theo sau bởi các phương pháp khác nếu nó không thành công. Ví dụ: để cho phép tất cả thông tin đăng nhập của khách làm phương pháp xác thực mặc định, chỉ sử dụng RADIUS nếu phương pháp đó không thành công, hãy nhập lệnh sau:
Xác Thực ARAP Bằng Mật Khẩu Line
Sử dụng lệnh aaa authentication arap với từ khóa line method để chỉ định mật khẩu dòng làm phương thức xác thực. Ví dụ: để chỉ định mật khẩu dòng làm phương thức xác thực người dùng ARAP khi không có danh sách phương thức nào khác được xác định, hãy nhập lệnh sau:
aaa authentication arap default lineTrước khi bạn có thể sử dụng mật khẩu đường truyền làm phương pháp xác thực ARAP, bạn cần xác định mật khẩu đường truyền.
Xác Thực ARAP Bằng Mật Khẩu Cục Bộ
Sử dụng lệnh aaa authentication arap với từ khóa local method để chỉ định rằng thiết bị Router Cisco sẽ sử dụng cơ sở dữ liệu username cục bộ để xác thực. Ví dụ: để chỉ định cơ sở dữ liệu username cục bộ làm phương thức xác thực người dùng ARAP khi không có danh sách phương thức nào khác được xác định, hãy nhập lệnh sau:
aaa authentication arap default localXác Thực ARAP Bằng Nhóm RADIUS
Sử dụng lệnh aaa authentication arap với group radius method để chỉ định RADIUS làm phương thức xác thực ARAP. Ví dụ: để chỉ định RADIUS làm phương thức xác thực người dùng khi đăng nhập khi không có danh sách phương thức nào khác được xác định, hãy nhập lệnh sau:
aaa authentication arap default group radiusTrước khi bạn có thể sử dụng RADIUS làm phương thức xác thực ARAP, bạn cần kích hoạt giao tiếp với máy chủ bảo mật RADIUS.
Xác Thực ARAP Bằng Nhóm TACACS
Sử dụng lệnh aaa authentication arap với group tacacs+ method để chỉ định TACACS+ làm phương thức xác thực ARAP.
Ví dụ: để chỉ định TACACS+ làm phương thức xác thực người dùng khi đăng nhập khi không có danh sách phương thức nào khác được xác định, hãy nhập lệnh sau:
aaa authentication arap default group tacacs+Trước khi bạn có thể sử dụng TACACS+ làm phương thức xác thực ARAP, bạn cần kích hoạt giao tiếp với máy chủ bảo mật TACACS+.
Xác Thực ARAP Bằng Nhóm Group-name
Sử dụng lệnh aaa authentication arap với phương thức group group-name để chỉ định một tập hợp con các máy chủ RADIUS hoặc TACACS+ để sử dụng làm phương thức xác thực ARAP. Để chỉ định và xác định tên nhóm và các thành viên của nhóm, hãy sử dụng lệnh aaa group server. Ví dụ: sử dụng lệnh aaa group server để xác định trước tiên các thành viên của group araprad:
aaa group server radius araprad
server 172.16.2.3
server 172.16.2 17
server 172.16.2.32Lệnh này chỉ định các máy chủ RADIUS 172.16.2.3, 172.16.2.17 và 172.16.2.32 là thành viên của nhóm araprad:
Để chỉ định group araprad làm phương thức xác thực người dùng khi đăng nhập khi không có danh sách phương thức nào khác được xác định, hãy nhập lệnh sau:
aaa authentication arap default group arapradTrước khi bạn có thể sử dụng tên nhóm làm phương pháp xác thực ARAP, bạn cần kích hoạt giao tiếp với máy chủ bảo mật RADIUS hoặc TACACS+.
Cấu Hình Xác Thực NASI Bằng AAA Trên Router Cisco
Sử dụng lệnh aaa authentication nasi, bạn có thể tạo một hoặc nhiều danh sách các phương thức xác thực được thử khi người dùng NetWare Asynchronous Services Interface (NASI) cố gắng đăng nhập vào thiết bị. Các danh sách này được sử dụng với lệnh cấu hình nasi authentication line.
Để định cấu hình xác thực NASI bằng AAA trên Router Cisco, hãy sử dụng các lệnh sau bắt đầu ở chế độ cấu hình toàn cầu:
| Lệnh hoặc Hành động | Mục đích | |
| Bước 1 | Device(config)# aaa new-model | Bật AAA trên toàn hệ thống. |
| Bước 2 | Device(config)# aaa authentication nasi | Cho phép xác thực cho người dùng NASI. |
| Bước 3 | Device(config)# line number | (Tùy chọn–không cần thiết nếu default được sử dụng trong lệnh aaa authentication nasi) Vào chế độ cấu hình line. |
| Bước 4 | Device(config-line)# nasi authentication list-name | (Tùy chọn–không cần thiết nếu default được sử dụng trong lệnh aaa authentication nasi) Bật xác thực NASI trên một line. |
| Bước 5 | Device(config-line)# end | Quay lại chế độ EXEC đặc quyền. |
list-namelà bất kỳ chuỗi kí tự nào được đặt tên cho danh sách bạn đang tạo. Đối số đề cập đến danh sách thực tế của các phương pháp mà thuật toán xác thực sẽ thử, theo trình tự được nhập.
Để tạo danh sách mặc định được sử dụng khi danh sách được đặt tên không được chỉ định trong lệnh aaa authentication nasi, hãy sử dụng từ khóa default theo sau là các phương pháp bạn muốn sử dụng trong các tình huống mặc định.
Các phương thức xác thực bổ sung chỉ được sử dụng nếu phương thức trước đó trả về lỗi chứ không phải nếu nó không thành công. Để xác định rằng quá trình xác thực sẽ thành công ngay cả khi tất cả các phương thức trả về lỗi, hãy chỉ định none(không có) phương thức nào là phương thức cuối cùng trong lệnh line.
Bảng dưới đây liệt kê các phương thức xác thực NASI được hỗ trợ.
| Từ khóa | Mô tả |
| enable | Sử dụng mật khẩu kích hoạt để xác thực |
| line | Sử dụng mật khẩu line để xác thực |
| local | Sử dụng cơ sở dữ liệu username cục bộ để xác thực |
| local-case | Sử dụng xác thực username cục bộ phân biệt chữ hoa và chữ thường |
| none | Không sử dụng xác thực |
| group radius | Sử dụng danh sách tất cả các máy chủ RADIUS để xác thực. |
| group tacacs+ | Sử dụng danh sách tất cả các máy chủ TACACS+ để xác thực. |
| group group-name | Sử dụng một tập hợp con các máy chủ RADIUS hoặc TACACS+ để xác thực như được xác định bởi lệnh aaa group server radius hoặc aaa group server tacacs+. |
Xác Thực NASI Bằng Mật Khẩu Kích Hoạt
Sử dụng lệnh aaa authentication nasi với từ khóa enable để chỉ định mật khẩu enable làm phương thức xác thực. Ví dụ: để chỉ định mật khẩu kích hoạt làm phương thức xác thực người dùng NASI khi không có danh sách phương thức nào khác được xác định, hãy sử dụng lệnh sau:
aaa authentication nasi default enableTrước khi bạn có thể sử dụng mật khẩu kích hoạt làm phương thức xác thực, bạn cần xác định mật khẩu kích hoạt.
Xác Thực NASI Bằng Mật Khẩu Line
Sử dụng lệnh với để chỉ định mật khẩu line làm phương thức xác thực. Ví dụ: để chỉ định mật khẩu line làm phương thức xác thực người dùng. Ví dụ: để chỉ định mật khẩu line làm phương thức xác thực người dùng NASI khi không có danh sách phương thức nào khác được xác định, hãy nhập lệnh sau:
aaa authentication nasi default lineTrước khi bạn có thể sử dụng mật khẩu line làm phương pháp xác thực NASI, bạn cần xác định mật khẩu line.
Xác Thực NASI Bằng Mật Khẩu Cục Bộ
Sử dụng lệnh aaa authentication nasi với từ khóa method keyword local to spec làm phương thức xác thực NASI. Ví dụ: để chỉ định cơ sở dữ liệu username cục bộ làm phương thức xác thực người dùng NASI khi không có danh sách phương thức nào khác được xác định, hãy nhập lệnh sau:
aaa authentication nasi default localXác Thực NASI Bằng Nhóm RADIUS
Sử dụng lệnh aaa authentication nasi với group radius method để chỉ định RADIUS làm phương thức xác thực NASI. Ví dụ: để chỉ định RADIUS làm phương thức xác thực người dùng NASI khi không có danh sách phương thức nào khác được xác định, hãy nhập lệnh sau:
aaa authentication nasi default group radiusTrước khi bạn có thể sử dụng RADIUS làm phương thức xác thực NASI, bạn cần kích hoạt giao tiếp với máy chủ bảo mật RADIUS.
Xác Thực NASI Bằng Nhóm TACACS
Sử dụng lệnh aaa authentication nasi với từ khóa group tacacs+ method để chỉ định TACACS+ làm phương thức xác thực NASI. Ví dụ: để chỉ định TACACS+ làm phương thức xác thực người dùng NASI khi không có danh sách phương thức nào khác được xác định, hãy nhập lệnh sau:
aaa authentication nasi default group tacacs+Trước khi có thể sử dụng TACACS+ làm phương thức xác thực, bạn cần kích hoạt giao tiếp với máy chủ bảo mật TACACS+.
Xác Thực NASI Sử Dụng Nhóm Group-name
Sử dụng lệnh aaa authentication nasi với phương thức group group-name để chỉ định một tập hợp con các máy chủ RADIUS hoặc TACACS+ để sử dụng làm phương thức xác thực NASI. Để chỉ định và xác định tên nhóm và các thành viên của nhóm, hãy sử dụng lệnh aaa group server. Ví dụ: sử dụng lệnh aaa group server để xác định trước các thành viên của group nasirad:
aaa group server radius nasirad
server 172.16.2.3
server 172.16.2 17
server 172.16.2.32Lệnh này chỉ định các máy chủ RADIUS 172.16.2.3, 172.16.2.17 và 172.16.2.32 là thành viên của group nasirad.
Để chỉ định group nasirad làm phương thức xác thực người dùng khi đăng nhập khi không có danh sách phương thức nào khác được xác định, hãy nhập lệnh sau:
aaa authentication nasi default group nasiradTrước khi bạn có thể sử dụng tên nhóm làm phương pháp xác thực NASI, bạn cần kích hoạt giao tiếp với máy chủ bảo mật RADIUS hoặc TACACS+.
Chỉ Định Thời Gian Đợi Thông Tin Đăng Nhập Trên Router Cisco
Lệnh timeout login response cho phép bạn chỉ định khoảng thời gian hệ thống sẽ đợi thông tin đăng nhập (chẳng hạn như tên người dùng và mật khẩu) trước khi hết thời gian chờ. Giá trị đăng nhập mặc định là 30 giây; với lệnh timeout login response, bạn có thể chỉ định giá trị thời gian chờ từ 1 đến 300 giây. Để thay đổi giá trị thời gian chờ đăng nhập từ mặc định là 30 giây, hãy sử dụng lệnh sau trong chế độ cấu hình line:
| Lệnh | Mục đích |
|
Router(config-line)# timeout login response seconds |
Chỉ định khoảng thời gian hệ thống sẽ đợi thông tin đăng nhập trước khi hết thời gian chờ. |
Kích Hoạt Bảo Vệ Bằng Mật Khẩu Ở Cấp Độ Đặc Quyền Trên Router Cisco
Sử dụng lệnh aaa authentication enable default để tạo một loạt các phương thức xác thực được sử dụng để xác định xem người dùng có thể truy cập mức lệnh EXEC đặc quyền hay không. Bạn có thể chỉ định tối đa bốn phương thức xác thực. Các phương thức xác thực bổ sung chỉ được sử dụng nếu phương thức trước đó trả về lỗi, chứ không phải nếu nó không thành công. Để xác định rằng quá trình xác thực sẽ thành công ngay cả khi tất cả các phương thức đều trả về lỗi, hãy chỉ định none (không có) phương thức nào là phương thức cuối cùng trong dòng lệnh.
Sử dụng lệnh sau trong chế độ cấu hình chung:
| Lệnh | Mục đích | ||
|
Router(config)# aaa authentication enable default method1 [method2… ] |
Cho phép kiểm tra ID và mật khẩu người dùng cho người dùng yêu cầu cấp EXEC đặc quyền.
|
Đối số phương pháp đề cập đến danh sách thực tế của các phương pháp mà thuật toán xác thực thử, theo trình tự được nhập. Bảng bên dưới liệt kê các phương thức xác thực kích hoạt được hỗ trợ.
| Từ khóa | Mô tả | ||
| enable | Sử dụng mật khẩu kích hoạt để xác thực | ||
| line | Sử dụng mật khẩu line để xác thực. | ||
| none | Không sử dụng xác thực. | ||
| group radius | Sử dụng danh sách tất cả máy chủ RADIUS để xác thực.
|
||
| group tacacs+ | Sử dụng danh sách tất cả các máy chủ TACACS+ để xác thực. | ||
| group group-name | Sử dụng một tập hợp con các máy chủ RADIUS hoặc TACACS+ để xác thực như được chỉ định trong lệnh aaa group server radius hoặc aaa group server tacacs+. |
Thay Đổi Văn Bản Hiển Thị Tại Dấu Nhắc Mật Khẩu Trên Router Cisco
Sử dụng lệnh aaa authentication password-prompt để thay đổi văn bản mặc định mà phần mềm Cisco IOS XE hiển thị khi nhắc người dùng nhập mật khẩu. Lệnh này thay đổi lời nhắc mật khẩu cho mật khẩu kích hoạt cũng như mật khẩu đăng nhập không được cung cấp bởi máy chủ bảo mật từ xa. Dạng no của lệnh này trả về dấu nhắc mật khẩu về giá trị mặc định sau:
Password:Lệnh aaa authentication password-prompt không thay đổi bất kỳ hộp thoại nào được cung cấp bởi máy chủ TACACS+ hoặc RADIUS từ xa.
Lệnh aaa authentication password-prompt hoạt động khi RADIUS được sử dụng làm phương thức đăng nhập. Bạn sẽ có thể thấy lời nhắc mật khẩu được xác định trong lệnh được hiển thị ngay cả khi máy chủ RADIUS không thể truy cập được. Lệnh aaa authentication password-prompt không hoạt động với TACACS+. TACACS+ cung cấp cho NAS lời nhắc mật khẩu để hiển thị cho người dùng. Nếu máy chủ TACACS+ có thể truy cập được, NAS sẽ nhận lời nhắc mật khẩu từ máy chủ và sử dụng lời nhắc đó thay vì lời nhắc được xác định trong lệnh nhắc mật khẩu xác thực aaa. Nếu không thể truy cập máy chủ TACACS+, thì có thể sử dụng dấu nhắc mật khẩu được xác định trong lệnh aaa authentication password-prompt.
Sử dụng lệnh sau trong chế độ cấu hình chung:
| Lệnh | Mục đích |
|
Router(config)# aaa authentication password-prompt text-string |
Thay đổi văn bản mặc định được hiển thị khi người dùng được nhắc nhập mật khẩu |
Ngăn Access Request Với Tên Người Dùng Trống Được Gửi Đến Máy Chủ Radius Trên Router Cisco
Các bước cấu hình sau đây cung cấp khả năng ngăn Yêu cầu truy cập với tên người dùng trống được gửi đến máy chủ RADIUS. Chức năng này đảm bảo tránh tương tác máy chủ RADIUS không cần thiết và nhật ký RADIUS được rút ngắn.
| Lệnh hoặc Hành động | Mục đích | |
| Bước 1 | enable
Ví dụ:
Router> enable |
Bật chế độ EXEC đặc quyền.
|
| Bước 2 | configure terminal
Ví dụ:
Router# configure terminal |
Vào chế độ cấu hình chung |
| Bước 3 | aaa new-model
Ví dụ:
Router(config)# configure terminal |
Cho phép AAA trên toàn hệ thống |
| Bước 4 | aaa authentication suppress null-username
Ví dụ:
Router(config)# aaa authentication suppress null-username |
Ngăn Access Request có username trống được gửi đến máy chủ RADIUS. |
Cấu Hình Message Banner Cho Xác Thực AAA Trên Router Cisco
AAA hỗ trợ việc sử dụng các biểu ngữ đăng nhập không thành công và có thể định cấu hình. Bạn có thể định cấu hình biểu ngữ thông báo sẽ được hiển thị khi người dùng đăng nhập vào hệ thống để được xác thực bằng AAA và khi xác thực không thành công vì bất kỳ lý do gì.
Cấu Hình Login Banner
| Lệnh hoặc Hành động | Mục đích | |
| Bước 1 | aaa new-model Device(config)# aaa new-model | Bật AAA. |
| Bước 2 | Device(config)# aaa authentication banner delimiter string delimiter | Tạo login banner được cá nhân hóa. |
| Bước 3 | Device(config)# end | Quay lại chế độ EXEC đặc quyền. |
Cấu Hình Failed-Login Banner
| Lệnh hoặc Hành động | Mục đích | |
| Bước 1 | Device(config)# aaa new-model | Kích hoạt AAA. |
| Bước 2 | Device(config)# aaa authentication fail-message delimiter string delimiter | Tạo biểu ngữ đăng nhập được cá nhân hóa |
| Bước 3 | Device(config)# end | Quay lại chế độ EXEC đặc quyền. |
Cấu Hình AAA Packet Of Disconnect Trên Router Cisco
Packet of disconnect (POD) chấm dứt kết nối trên network access server (NAS) khi các thuộc tính phiên cụ thể được xác định. Bằng cách sử dụng thông tin phiên thu được từ AAA, máy khách POD nằm trên máy trạm UNIX sẽ gửi các POD đến máy chủ POD đang chạy trên NAS. NAS chấm dứt bất kỳ phiên người dùng gửi đến nào với một hoặc nhiều thuộc tính khóa phù hợp. Nó từ chối các yêu cầu khi thiếu các trường bắt buộc hoặc khi không tìm thấy kết quả khớp chính xác.
Để định cấu hình POD, hãy thực hiện các tác vụ sau ở chế độ cấu hình chung:
| Lệnh hoặc Hành động | Mục đích | |
| Bước 1 |
Router(config)# aaa accounting network default |
Bật AAA accounting records. |
| Bước 2 |
Router(config)# aaa accounting delay-start |
(Tùy chọn) Trì hoãn việc tạo start accounting record đến khi Framed-IP-Address được chỉ định, cho phép sử dụng nó trong gói POD. |
| Bước 3 |
Router(config)# aaa pod server server-key string |
Cho phép nhận POD. |
| Bước 4 |
Router(config)# radius-server host IP address non-standard |
Khai báo máy chủ RADIUS sử dụng phiên bản RADIUS độc quyền của nhà cung cấp. |
Kích Hoạt Xác Thực Kép Trên Router Cisco
Tùy thuộc vào bản phát hành của Cisco, các phiên PPP chỉ có thể được xác thực bằng cách sử dụng một phương thức xác thực duy nhất: PAP hoặc CHAP. Xác thực kép yêu cầu người dùng từ xa phải vượt qua giai đoạn xác thực thứ hai (sau xác thực CHAP hoặc PAP) trước khi có quyền truy cập mạng.
Xác thực thứ hai (“double”) này yêu cầu mật khẩu mà người dùng biết nhưng không được lưu trữ trên máy chủ từ xa của người dùng. Do đó, xác thực thứ hai dành riêng cho người dùng, không phải cho máy chủ. Điều này cung cấp một mức độ bảo mật bổ sung sẽ có hiệu quả ngay cả khi thông tin từ máy chủ từ xa bị đánh cắp. Ngoài ra, điều này cũng mang lại tính linh hoạt cao hơn bằng cách cho phép tùy chỉnh các đặc quyền mạng cho từng người dùng.
Xác thực giai đoạn hai có thể sử dụng mật khẩu một lần như mật khẩu thẻ mã thông báo, không được CHAP hỗ trợ. Nếu mật khẩu một lần được sử dụng, mật khẩu người dùng bị đánh cắp sẽ không có tác dụng đối với thủ phạm.
Để định cấu hình xác thực kép trên Router Cisco, bạn cần hoàn thành các bước sau:
- Bước 1: Kích hoạt AAA bằng cách sử dụng lệnh cấu hình global aaa-new model.
- Bước 2: Sử dụng lệnh aaa authentication để định cấu hình máy chủ truy cập mạng của bạn nhằm sử dụng danh sách phương thức xác thực PPP và đăng nhập, sau đó áp dụng các danh sách phương thức đó cho các line hoặc giao diện thích hợp.
- Bước 3: Sử dụng lệnh để định cấu hình ủy quyền mạng AAA khi đăng nhập.
- Bước 4: Cấu hình các tham số giao thức bảo mật (Ví dụ: RADIUS hoặc TACACS+)
- Bước 5: Sử dụng các cặp AV trong danh sách kiểm soát truy cập trên máy chủ bảo mật mà người dùng chỉ có thể kết nối với máy chủ cục bộ bằng cách thiết lập kết nối Telnet.
- Bước 6: (Tùy chọn) Cấu hình lệnh access-profile dưới dạng lệnh tự động.
Thực hiện theo các quy tắc này khi tạo câu lệnh ủy quyền dành riêng cho người dùng (Các quy tắc này liên quan đến hành vi mặc định của lệnh access-profile):
- Sử dụng các cặp AV hợp lệ khi định cấu hình các cặp AV trong danh sách kiểm soát truy cập trên máy chủ bảo mật.
- Nếu bạn muốn người dùng từ xa sử dụng ủy quyền hiện có của giao diện (đã tồn tại trước authentication/authorization giai đoạn hai), nhưng bạn muốn họ có các danh sách kiểm soát truy cập (ACL) khác nhau, bạn chỉ nên chỉ định các cặp ACL AV trong user-specific ủy quyền cụ thể. Điều này có thể là mong muốn nếu bạn thiết lập một cấu hình ủy quyền mặc định để áp dụng cho máy chủ từ xa, nhưng muốn áp dụng các ACL cụ thể cho những người dùng cụ thể.
- Khi các câu lệnh ủy quyền dành riêng cho người dùng này sau đó được áp dụng cho giao diện, chúng có thể được thêm vào cấu hình giao diện hiện có hoặc chúng có thể thay thế cấu hình giao diện hiện có–tùy thuộc vào hình thức của lệnh hồ sơ truy cập được sử dụng để ủy quyền cho người dùng . Bạn nên hiểu cách hoạt động của lệnh hồ sơ truy cập trước khi định cấu hình các câu lệnh ủy quyền.
- Nếu bạn sẽ sử dụng ISDN hoặc Multilink PPP, bạn cũng phải định cấu hình các mẫu ảo tại máy chủ lưu trữ cục bộ.
Kích Hoạt Xác Thực Kép Tự Động Trên Router Cisco
Bạn có thể làm cho quá trình xác thực kép dễ dàng hơn cho người dùng bằng cách triển khai xác thực kép tự động. Xác thực kép tự động cung cấp tất cả các lợi ích bảo mật của xác thực kép nhưng cung cấp giao diện đơn giản hơn, thân thiện hơn cho người dùng từ xa. Với xác thực kép, mức xác thực người dùng thứ hai đạt được khi người dùng Telnet tới máy chủ hoặc bộ định tuyến truy cập mạng và nhập tên người dùng và mật khẩu. Với xác thực kép tự động, người dùng không phải Telnet đến máy chủ truy cập mạng; thay vào đó, người dùng phản hồi hộp thoại yêu cầu tên người dùng và mật khẩu hoặc số nhận dạng cá nhân (PIN).
Xác thực kép tự động là một cải tiến cho tính năng xác thực kép hiện có. Để định cấu hình xác thực kép tự động, trước tiên bạn phải định cấu hình xác thực kép bằng cách hoàn thành các bước sau:
- Bước 1: Kích hoạt AAA bằng cách sử dụng lệnh cấu hình global aaa-new model
- Bước 2: Sử dụng lệnh aaa authentication để định cấu hình máy chủ truy cập mạng của bạn nhằm sử dụng danh sách phương thức xác thực PPP và đăng nhập, sau đó áp dụng các danh sách phương thức đó cho các dòng hoặc giao diện thích hợp.
- Bước 3: Sử dụng lệnh aaa authorization để cấu hình ủy quyền mạng AAA khi đăng nhập.
- Bước 4: Định cấu hình các tham số giao thức bảo mật
- Bước 5: Sử dụng các cặp AV trong danh sách kiểm soát truy cập trên máy chủ bảo mật mà người dùng chỉ có thể kết nối với máy chủ cục bộ bằng cách thiết lập kết nối Telnet.
- Bước 6: Cấu hình lệnh access-profile dưới dạng lệnh tự động. Nếu bạn định cấu hình lệnh tự động, người dùng từ xa sẽ không phải nhập lệnh hồ sơ truy cập theo cách thủ công để truy cập các quyền được phép liên kết với hồ sơ người dùng cá nhân của họ.
Thực hiện theo các quy tắc này khi tạo câu lệnh ủy quyền dành riêng cho người dùng:
- Sử dụng các cặp AV hợp lệ khi định cấu hình các cặp AV trong danh sách kiểm soát truy cập trên máy chủ bảo mật.
- Nếu bạn muốn người dùng từ xa sử dụng ủy quyền hiện có của giao diện (đã tồn tại trước authentication/authorization giai đoạn hai), nhưng bạn muốn họ có các danh sách kiểm soát truy cập (ACL) khác nhau, bạn chỉ nên chỉ định các cặp ACL AV trong user-specific ủy quyền cụ thể. Điều này có thể là mong muốn nếu bạn thiết lập một cấu hình ủy quyền mặc định để áp dụng cho máy chủ từ xa, nhưng muốn áp dụng các ACL cụ thể cho những người dùng cụ thể.
- Khi các câu lệnh ủy quyền dành riêng cho người dùng này sau đó được áp dụng cho giao diện, chúng có thể được thêm vào cấu hình giao diện hiện có hoặc thay thế cấu hình giao diện hiện có – tùy thuộc vào hình thức của lệnh access-profile được sử dụng để ủy quyền cho người dùng. Bạn nên hiểu cách hoạt động của lệnh access-profile trước khi định cấu hình các lệnh ủy quyền
- Nếu bạn sẽ sử dụng ISDN hoặc Multilink PPP, bạn cũng phải định cấu hình các mẫu ảo tại máy chủ lưu trữ cục bộ.
Cấu Hình Xác Thực Kép Tự Động Trên Router Cisco
Để định cấu hình xác thực kép tự động, hãy sử dụng các lệnh sau, bắt đầu ở chế độ cấu hình chung:
| Lệnh hoặc Hành động | Mục đích | |
| Bước 1 |
Router(config)# ip trigger-authentication Ví dụ: [timeout seconds ] [port number ] |
Cho phép tự động hóa xác thực kép |
| Bước 2 |
Thực hiện một trong các hành động sau:
|
Chọn giao diện ISDN BRI hoặc ISDN PRI và vào chế độ cấu hình giao diện. |
| Bước 3 |
Router(config-if)# ip trigger-authentication |
Áp dụng xác thực kép tự động cho giao diện |
Khắc Phục Sự Cố Xác Thực Kép Tự Động Trên Router Cisco
Để khắc phục sự cố xác thực kép tự động, hãy sử dụng các lệnh sau trong chế độ EXEC đặc quyền:
| Lệnh hoặc Hành động | Mục đích | |
| Bước 1 | Router# show ip trigger-authentication | Hiển thị danh sách các máy chủ từ xa đã thử xác thực kép tự động (successfully hoặc unsuccessfully). |
| Bước 2 | Router# clear ip trigger-authentication | Xóa danh sách các máy chủ từ xa đã thử xác thực kép tự động. (Thao tác này sẽ xóa bảng được hiển thị bằng lệnh show ip trigger-authentication) |
| Bước 3 | Router# debug ip trigger-authentication | Hiển thị đầu ra debug liên quan đến xác thực kép tự động. |
Cấu Hình Dynamic Authorization Service Cho Radius CoA
Sử dụng quy trình sau để kích hoạt bộ định tuyến làm authentication, authorization, and accounting (AAA) server cho dynamic authorization service để hỗ trợ chức năng CoA đẩy policy map theo hướng đầu vào và đầu ra.
| Lệnh hoặc Hành động | Mục đích | |||
| Bước 1 | enable
Ví dụ:
Router> enable |
Bật chế độ EXEC đặc quyền.
|
||
| Bước 2 | configure terminal
Ví dụ:
Router# configure terminal |
Vào chế độ cấu hình chung | ||
| Bước 3 | aaa new-model
Ví dụ:
Router(config)# aaa new-model |
Kích hoạt AAA. | ||
| Bước 4 | aaa server radius dynamic-author
Ví dụ:
Router(config)# aaa server radius dynamic-author |
Thiết lập máy chủ AAA cục bộ cho dịch vụ dynamic authorization, dịch vụ này phải được bật để hỗ trợ chức năng CoA nhằm đẩy theo hướng đầu vào và đầu ra, đồng thời vào chế độ cấu hình máy chủ cục bộ dynamic authorization. Trong chế độ này, các lệnh ứng dụng RADIUS được cấu hình. | ||
| Bước 5 | client {ip_addr | hostname } [server-key [0 | 7 ] string ]
Ví dụ:
Router(config-locsvr-da-radius)#client 192.168.0.5 server-key cisco1 |
Cấu hình địa chỉ IP hoặc tên máy chủ của AAA server client. Sử dụng tùy chọn từ khóa server-key và đối số string để cấu hình server key ở cấp độ “client”.
|
||
| Bước 6 | domain {delimiter character | stripping [right-to-left] }
Ví dụ:
Router(config-locsvr-da-radius)# domain stripping right-to-left Ví dụ:
Router(config-locsvr-da-radius)# domain delimiter @ |
(Tùy chọn) Cấu hình tùy chọn username domain cho ứng dụng RADIUS.
|
||
| Bước 7 | port {port-num }
Ví dụ:
Router(config-locsvr-da-radius)# port 3799 |
Cấu hình cổng UDP 3799 cho yêu cầu CoA. |
Cấu Hình Thiết Bị Để Bỏ Qua Ignore Bounce Và Vô Hiệu Hóa Radius CoA Trên Router Cisco
Khi một cổng xác thực được xác thực với nhiều máy chủ và có yêu cầu Thay đổi ủy quyền (CoA) đối với một máy chủ chuyển sang cổng này hoặc một phiên máy chủ bị chấm dứt trên cổng này, các máy chủ khác trên cổng này cũng bị ảnh hưởng. Do đó, một cổng được xác thực với nhiều máy chủ có thể kích hoạt đàm phán lại DHCP từ một hoặc nhiều máy chủ trong trường hợp xảy ra sự cố hoặc nó có thể tắt cổng xác thực đang lưu trữ phiên cho một hoặc nhiều máy chủ về mặt quản trị.
Thực hiện các bước sau để định cấu hình thiết bị bỏ qua các yêu cầu Change of Authorization (CoA) của máy chủ RADIUS dưới dạng lệnh cổng bị trả lại hoặc lệnh vô hiệu hóa cổng.
| Lệnh hoặc Hành động | Mục đích | |
| Bước 1 | enable
Ví dụ:
Device> enable |
Bật chế độ EXEC đặc quyền.
|
| Bước 2 | configure terminal
Ví dụ:
Device# configure terminal |
Vào chế độ cấu hình chung |
| Bước 3 | aaa new-model
Ví dụ:
Device(config)# aaa new-model |
Cho phép authentication, authorization, và accounting (AAA) trên toàn hệ thống. |
| Bước 4 | authentication command bounce-port ignore
Ví dụ:
Device(config)# authentication command bounce-port ignore |
(Tùy chọn) Cấu hình thiết bị để bỏ qua lệnh RADIUS server bounce port khiến máy chủ liên kết flap trên một authentication port, từ một hoặc nhiều máy chủ được kết nối với cổng này. |
| Bước 5 | authentication command disable-port ignore
Ví dụ:
Device(config)# authentication command disable-port ignore |
(Tùy chọn) Cấu hình thiết bị để bỏ qua lệnh RADIUS server CoA disable port. Lệnh này sẽ tắt về mặt quản trị cổng xác thực lưu trữ một hoặc nhiều phiên máy chủ.
|
| Bước 6 | end
Ví dụ:
Device(config)# end |
Quay lại chế độ EXEC đặc quyền |
Cấu Hình Domain Stripping Ở Sever Group Level Trên Router Cisco
| Lệnh hoặc Hành động | Mục đích | |
| Bước 1 | enable
Ví dụ: Device> enable |
Bật chế độ EXEC đặc quyền
|
| Bước 2 | configure terminal
Ví dụ: Device# configure terminal |
Vào chế độ cấu hình chung |
| Bước 3 | aaa group server radius server-name
Ví dụ: Device(config)# aaa group server radius rad1 |
Thêm máy chủ RADIUS và vào chế độ cấu hình nhóm máy chủ RADIUS
|
| Bước 4 | domain-stripping [strip-suffix word] [right-to-left ] [prefix-delimiter word] [delimiter word]
Ví dụ: Device(config-sg-radius)# domain-stripping delimiter username@example.com |
Cấu hình domain stripping ở server group level. |
| Bước 5 | end
Ví dụ: Device(config-sg-radius)# end |
Thoát khỏi chế độ cấu hình server group RADIUS và quay lại chế độ EXEC đặc quyền. |
CẤU HÌNH PHƯƠNG THỨC XÁC THỰC KHÔNG PHẢI AAA TRÊN ROUTER CISCO
Cấu Hình Bảo Vệ Mật Khẩu Line
| Lệnh hoặc Hành động | Mục đích | |||
| Bước 1 | enable
Ví dụ:
Router> enable |
Bật chế độ EXEC đặc quyền.
|
||
| Bước 2 | configure terminal
Ví dụ:
Router# configure terminal |
Vào chế độ cấu hình chung | ||
| Bước 3 | line [aux | console | tty | vty ] line-number [ending-line-number ]
Ví dụ:
Router(config)# line console 0 |
Vào chế độ cấu hình line | ||
| Bước 4 | password password
Ví dụ:
Router(config-line)# secret word |
Gắn mật khẩu cho thiết bị đầu cuối hoặc thiết bị khác trên line. Trình kiểm tra mật khẩu phân biệt chữ hoa và chữ thường và cũng có thể bao gồm khoảng trắng. | ||
| Bước 5 | login
Ví dụ:
Router(config-line)# login |
Cho phép kiểm tra mật khẩu khi đăng nhập.
Bạn có thể tắt xác minh mật khẩu line bằng cách tắt kiểm tra mật khẩu bằng cách sử dụng phiên bản no của lệnh này.
|
Thiết Lập Username Authentication
Bạn có thể tạo một hệ thống xác thực dựa trên tên người dùng, rất hữu ích trong các trường hợp sau:
- Để cung cấp tên người dùng giống như TACACS và hệ thống xác thực mật khẩu được mã hóa cho các mạng không thể hỗ trợ TACACS
- Để cung cấp các thông tin đăng nhập trong trường hợp đặc biệt: ví dụ: xác minh danh sách truy cập, không xác minh mật khẩu, thực thi lệnh tự động khi đăng nhập và các tình huống “no escape”
Để thiết lập xác thực tên người dùng, hãy sử dụng các lệnh sau trong chế độ cấu hình chung nếu cần cho cấu hình hệ thống của bạn:
| Lệnh hoặc Hành động | Mục đích | |
| Bước 1 | Thực hiện một trong các hành động sau:
· Router(config)# username name [nopassword | password password | password encryption-type encrypted password ] · · · Router(config)# username name [access-class number ] |
Thiết lập xác thực tên người dùng với mật khẩu được mã hóa.
hoặc (Tùy chọn) Thiết lập xác thực tên người dùng theo danh sách truy cập |
| Bước 2 | Router(config)# username name [privilege level ] | (Tùy chọn) Đặt mức đặc quyền cho người dùng. |
| Bước 3 | Router(config)# username name [autocommand command ] | (Tùy chọn) Chỉ định một lệch sẽ được thực thi tự động. |
| Bước 4 | Router(config)# username name [noescape ] [nohangup ] | (Tùy chọn) Đặt môi trường đăng nhập “no escape”. |
Kích Hoạt Xác Thực CHAP Hoặc PAP
Một trong những giao thức vận chuyển phổ biến nhất được sử dụng trong các giải pháp Internet service providers’ (ISPs’) dial là Point-to-Point Protocol (PPP). Theo truyền thống, remote sử dụng dial vào access server để bắt đầu phiên PPP. Sau khi PPP đã được đàm phán, người dùng từ xa được kết nối với mạng ISP và Internet.
Vì các ISP chỉ muốn khách hàng kết nối với máy chủ truy cập của họ nên người dùng từ xa được yêu cầu xác thực với máy chủ truy cập trước khi họ có thể bắt đầu phiên PPP. Thông thường, người dùng từ xa xác thực bằng cách nhập tên người dùng và mật khẩu khi được máy chủ truy cập nhắc. Mặc dù đây là một giải pháp khả thi, nhưng rất khó quản lý và gây bất tiện cho người dùng từ xa.
Một giải pháp tốt hơn là sử dụng các giao thức xác thực được tích hợp trong PPP. Trong trường hợp này, người dùng từ xa quay số vào máy chủ truy cập và khởi động một tập hợp con tối thiểu của PPP với máy chủ truy cập. Điều này không cấp cho người dùng từ xa quyền truy cập vào mạng của ISP–nó chỉ cho phép máy chủ truy cập giao tiếp với thiết bị từ xa.
PPP hiện hỗ trợ hai giao thức xác thực: Password Authentication Protocol (PAP) và Challenge Handshake Authentication Protocol (CHAP). Cả hai đều được chỉ định trong RFC 1334 và được hỗ trợ trên các giao diện đồng bộ và không đồng bộ. Xác thực qua PAP hoặc CHAP tương đương với việc nhập tên người dùng và mật khẩu khi được máy chủ nhắc. CHAP được coi là an toàn hơn vì mật khẩu của người dùng từ xa không bao giờ được gửi qua kết nối.
PPP (có hoặc không có xác thực PAP hoặc CHAP) cũng được hỗ trợ trong các giải pháp quay số. Một máy chủ truy cập sử dụng tính năng quay số khi nó bắt đầu cuộc gọi đến một thiết bị từ xa và cố gắng khởi động một giao thức truyền tải chẳng hạn như PPP.
Khi CHAP được bật trên một giao diện và một thiết bị từ xa cố gắng kết nối với nó, máy chủ truy cập sẽ gửi một gói CHAP đến thiết bị từ xa. Gói CHAP yêu cầu hoặc “thách thức” thiết bị từ xa phản hồi. Gói thử thách bao gồm ID, số ngẫu nhiên và tên máy chủ của bộ định tuyến cục bộ.
Khi thiết bị từ xa nhận được gói thách thức, nó sẽ ghép ID, mật khẩu của thiết bị từ xa và số ngẫu nhiên, sau đó mã hóa tất cả các gói đó bằng mật khẩu của thiết bị từ xa. Thiết bị từ xa gửi kết quả trở lại máy chủ truy cập, cùng với tên được liên kết với mật khẩu được sử dụng trong quá trình mã hóa.
Khi máy chủ truy cập nhận được phản hồi, nó sẽ sử dụng tên mà nó nhận được để truy xuất mật khẩu được lưu trữ trong cơ sở dữ liệu người dùng của nó. Mật khẩu đã truy xuất phải giống với mật khẩu mà thiết bị từ xa đã sử dụng trong quá trình mã hóa. Sau đó, máy chủ truy cập sẽ mã hóa thông tin được nối với mật khẩu mới được truy xuất–nếu kết quả khớp với kết quả được gửi trong gói phản hồi, thì xác thực thành công.
Lợi ích của việc sử dụng xác thực CHAP là mật khẩu của thiết bị từ xa không bao giờ được truyền dưới dạng văn bản rõ ràng. Điều này ngăn các thiết bị khác đánh cắp nó và truy cập bất hợp pháp vào mạng của ISP.
Các giao dịch CHAP chỉ xảy ra tại thời điểm một liên kết được thiết lập. Máy chủ truy cập không yêu cầu mật khẩu trong suốt phần còn lại của cuộc gọi. (Tuy nhiên, thiết bị cục bộ có thể phản hồi các yêu cầu như vậy từ các thiết bị khác trong khi gọi.)
Khi PAP được bật, bộ định tuyến từ xa cố gắng kết nối với máy chủ truy cập được yêu cầu gửi yêu cầu xác thực. Nếu tên người dùng và mật khẩu được chỉ định trong yêu cầu xác thực được chấp nhận, phần mềm Cisco IOS XE sẽ gửi xác nhận xác thực.
Sau khi bạn đã bật CHAP hoặc PAP, máy chủ truy cập sẽ yêu cầu xác thực từ các thiết bị từ xa quay số vào máy chủ truy cập. Nếu thiết bị từ xa không hỗ trợ giao thức đã bật, cuộc gọi sẽ bị hủy.
Để sử dụng CHAP hoặc PAP, bạn phải thực hiện các tác vụ sau:
-
Kích hoạt PPP encapsulation.
-
Kích hoạt CHAP hoặc PAP trên giao diện.
-
Đối với CHAP, hãy định cấu hình xác thực tên máy chủ và bí mật hoặc mật khẩu cho từng hệ thống từ xa cần xác thực.
Kích Hoạt Tính Năng Đóng Gói PPP
| Lệnh | Mục đích |
|
Router(config-if)# encapsulation ppp |
Bật PPP trên một giao diện. |
Kích Hoạt PAP Hoặc CHAP
| Lệnh | Mục đích |
|
Router(config-if)# ppp authentication {protocol1 [protocol2… ]} [if-needed ] {default | list-name } [callin ] [one-time ] |
Xác định các giao thức xác thực được hỗ trợ và thứ tự chúng được sử dụng. Trong lệnh này, protocol1, protocol2 đại diện cho các giao thức sau: CHAP, MS-CHAP, và PAP. Xác thực PPP được thử trước tiên bằng cách sử dụng phương thức xác thực đầu tiên, đó là protocol1 . Nếu protocol1 không thể thiết lập xác thực, thì giao thức được định cấu hình tiếp theo sẽ được sử dụng để đàm phán xác thực. |
Nếu bạn định cấu hình ppp authentication ms-chap trên một giao diện, thì tất cả các lệnh gọi đến trên giao diện khởi tạo kết nối PPP đó sẽ phải được xác thực bằng CHAP; tương tự như vậy, nếu bạn định cấu hình ppp authentication pap, tất cả các cuộc gọi đến bắt đầu kết nối PPP sẽ phải được xác thực qua PAP. Nếu bạn cấu hình ppp authentication chap pap, máy chủ truy cập sẽ cố gắng xác thực tất cả các cuộc gọi đến bắt đầu phiên PPP với CHAP. Nếu thiết bị từ xa không hỗ trợ CHAP, máy chủ truy cập sẽ cố gắng xác thực cuộc gọi bằng PAP. Nếu thiết bị từ xa không hỗ trợ CHAP hoặc PAP, quá trình xác thực sẽ không thành công và cuộc gọi sẽ bị hủy. Nếu bạn định cấu hình ppp authentication pap chap, máy chủ truy cập sẽ cố gắng xác thực tất cả các cuộc gọi đến bắt đầu phiên PPP với PAP. Nếu thiết bị từ xa không hỗ trợ PAP, máy chủ truy cập sẽ cố gắng xác thực cuộc gọi bằng CHAP. Nếu thiết bị từ xa không hỗ trợ một trong hai giao thức, quá trình xác thực sẽ không thành công và cuộc gọi sẽ bị hủy. Nếu bạn định cấu hình lệnh ppp authentication bằng từ khóa callin, máy chủ truy cập sẽ chỉ xác thực thiết bị từ xa nếu thiết bị từ xa bắt đầu cuộc gọi.
Danh sách phương thức xác thực và từ khóa one-time chỉ khả dụng nếu bạn đã bật AAA–chúng sẽ không khả dụng nếu bạn đang sử dụng TACACS hoặc TACACS mở rộng. Nếu bạn chỉ định tên của danh sách phương thức xác thực bằng lệnh ppp authentication, PPP sẽ cố gắng xác thực kết nối bằng cách sử dụng các phương thức được xác định trong danh sách phương thức đã chỉ định. Nếu AAA được bật và không có danh sách phương thức nào được xác định theo tên, thì PPP sẽ cố gắng xác thực kết nối bằng cách sử dụng các phương thức được xác định là mặc định. Lệnh ppp authentication với từ khóa one-time cho phép hỗ trợ mật khẩu một lần trong quá trình xác thực.
Từ khóa if-needed chỉ khả dụng nếu bạn đang sử dụng TACACS hoặc TACACS mở rộng. Lệnh ppp authentication với từ khóa if-needed có nghĩa là PPP sẽ chỉ xác thực thiết bị từ xa thông qua PAP hoặc CHAP nếu chúng chưa được xác thực trong suốt cuộc gọi hiện tại. Nếu thiết bị từ xa được xác thực thông qua quy trình đăng nhập tiêu chuẩn và bắt đầu PPP từ lời nhắc EXEC, thì PPP sẽ không xác thực qua CHAP nếu ppp authentication chap if-needed được định cấu hình trên giao diện.
Xác Thực Inbound Và Outbound
PPP hỗ trợ xác thực hai chiều. Thông thường, khi một thiết bị từ xa quay số vào một máy chủ truy cập, máy chủ truy cập sẽ yêu cầu thiết bị từ xa chứng minh rằng nó được phép truy cập. Điều này được gọi là xác thực inbound. Đồng thời, thiết bị từ xa cũng có thể yêu cầu máy chủ truy cập chứng minh rằng đó là người mà nó nói. Điều này được gọi là xác thực outbound. Một máy chủ truy cập cũng thực hiện xác thực bên ngoài khi nó bắt đầu cuộc gọi đến một thiết bị từ xa.
Kích Hoạt Xác Thực Outbound PAP
Để bật xác thực PAP outbound, hãy sử dụng lệnh sau trong chế độ cấu hình giao diện:
| Lệnh | Mục đích |
| Router(config-if)# ppp pap sent-username username password password | Cho phép outbound PAP authentication. |
Từ Chối Yêu Cầu Xác Thực PAP
Để từ chối xác thực PAP từ các peer yêu cầu, nghĩa là xác thực PAP bị tắt đối với tất cả các cuộc gọi, hãy sử dụng lệnh sau trong chế độ cấu hình giao diện:
| Command | Purpose |
| Router(config-if)# ppp pap refuse | Từ chối xác thực PAP từ các peer yêu cầu xác thực PAP. |
Tạo Mật Khẩu CHAP Common
Chỉ dành cho xác thực CHAP từ xa, bạn có thể định cấu hình bộ định tuyến của mình để tạo mật khẩu bí mật CHAP chung để sử dụng nhằm đối phó với các thách thức từ một peer không xác định; ví dụ: nếu Router Cisco của bạn gọi một loạt các bộ định tuyến (từ nhà cung cấp khác hoặc chạy phiên bản cũ hơn của phần mềm Cisco IOS) mà một bộ định tuyến mới (nghĩa là không xác định) đã được thêm vào. Lệnh ppp chap password cho phép bạn thay thế một số lệnh cấu hình tên người dùng và mật khẩu bằng một bản sao duy nhất của lệnh này trên bất kỳ giao diện trình quay số hoặc giao diện nhóm không đồng bộ nào.
Để kích hoạt bộ định tuyến gọi một bộ định tuyến để định cấu hình mật khẩu bí mật CHAP common, hãy sử dụng lệnh sau trong chế độ cấu hình giao diện:
| Lệnh | Mục đích |
| Router(config-if)# ppp chap password secret | Cho phép bộ định tuyến gọi một tập hợp các bộ định tuyến để định cấu hình mật khẩu bí mật common CHAP |
Từ Chối Yêu Cầu Xác Thực CHAP
Để từ chối xác thực CHAP từ các peer yêu cầu, nghĩa là xác thực CHAP bị tắt đối với tất cả các cuộc gọi, hãy sử dụng lệnh sau trong chế độ cấu hình giao diện:
| Lệnh | Mục đích |
| Router(config-if)# ppp chap refuse [callin ] | Từ chối xác thực CHAP từ các peer yêu cầu xác thực CHAP. |
Nếu từ khóa callin được sử dụng, bộ định tuyến Cisco sẽ từ chối trả lời các thử thách xác thực CHAP nhận được từ thiết bị ngang hàng, nhưng sẽ vẫn yêu cầu thiết bị ngang hàng trả lời bất kỳ thử thách CHAP nào mà bộ định tuyến gửi.
Nếu PAP gửi đi đã được bật (sử dụng lệnh ppp pap sent-username), PAP sẽ được đề xuất làm phương thức xác thực trong gói từ chối.
Trì Hoãn Xác Thực CHAP Cho Đến Khi Xác Thực Ngang Hàng
Để chỉ định rằng Router Cisco sẽ không xác thực với một thiết bị ngang hàng yêu cầu xác thực CHAP cho đến sau khi thiết bị ngang hàng đó đã tự xác thực với bộ định tuyến, hãy sử dụng lệnh sau trong chế độ cấu hình giao diện:
| Lệnh | Mục đích |
| Router(config-if)# ppp chap wait secret | Cấu hình bộ định tuyến để trì hoãn xác thực CHAP cho đến sau khi thiết bị ngang hàng đã tự xác thực với bộ định tuyến. |
Sử Dụng MS-Chap Trên Router Cisco
Giao thức Microsoft Challenge Handshake Authentication Protocol (MS-CHAP) là phiên bản CHAP của Microsoft và là phần mở rộng của RFC 1994. Giống như phiên bản CHAP tiêu chuẩn, MS-CHAP được sử dụng để xác thực PPP; trong trường hợp này, quá trình xác thực diễn ra giữa một PC sử dụng Microsoft Windows NT hoặc Microsoft Windows 95 và một thiết bị Router Cisco hoặc máy chủ truy cập đóng vai trò là máy chủ truy cập mạng.
MS-CHAP khác với CHAP tiêu chuẩn như sau:
- MS-CHAP được bật bằng cách đàm phán CHAP Algorithm 0x80 trong LCP option 3, Authentication Protocol.
- Gói MS-CHAP Response có định dạng được thiết kế để tương thích với Microsoft Windows NT 3.5 và 3.51, Microsoft Windows 95 và Microsoft LAN Manager 2.x . Định dạng này không yêu cầu trình xác thực lưu trữ mật khẩu được mã hóa rõ ràng hoặc có thể đảo ngược.
- MS-CHAP cung cấp cơ chế thử lại xác thực do người xác thực kiểm soát.
- MS-CHAP cung cấp cơ chế thay đổi mật khẩu do trình xác thực kiểm soát.
- MS-CHAP định nghĩa một tập hợp các mã “reason-for failure” được trả về trong trường thông báo gói tin Failure.
Tùy thuộc vào các giao thức bảo mật mà bạn đã triển khai, xác thực PPP sử dụng MS-CHAP có thể được sử dụng có hoặc không có dịch vụ bảo mật AAA. Nếu bạn đã bật AAA, xác thực PPP bằng MS-CHAP có thể được sử dụng cùng với cả TACACS+ và RADIUS. Bảng bên dưới liệt kê các thuộc tính RADIUS dành riêng cho nhà cung cấp (Thuộc tính IETF 26) cho phép RADIUS hỗ trợ MS-CHAP.
| Vendor-ID
Number |
Vendor-Type
Number |
Vendor-Proprietary Attribute | Mô tả |
| 311 | 11 | MSCHAP-Challenge | Chứa thách thức được gửi bởi máy chủ truy cập mạng tới người dùng MS-CHAP. Nó có thể được sử dụng trong cả gói Access-Request và Access-Challenge. |
| 211 | 11 | MSCHAP-Response | Chứa giá trị phản hồi do người dùng PPP MS-CHAP cung cấp để phản hồi thách thức. Nó chỉ được sử dụng trong các gói Access-Request. Thuộc tính này giống với PPP CHAP Identifier. |
Xác Định Xác Thực PPP Bằng MS-CHAP
| Lệnh hoặc Hành động | Mục đích | |
| Bước 1 | Router(config-if)# encapsulation ppp | Cho phép PPP encapsulation. |
| Bước 2 | Router(config-if)# ppp authentication ms-chap [if-needed ] [list-name | default ] [callin ] [one-time ] | Xác định xác thực PPP bằng MS-CHAP. |
ĐỊA CHỈ PHÂN PHỐI ROUTER CISCO CHÍNH HÃNG GIÁ TỐT NHẤT
ANBINHNET ™ là nhà phân phối Cisco chính hãng, uy tín hàng đầu tại Việt Nam. Đến với chúng tôi, quý khách hàng sẽ nhận được những thông tin chính xác về nguồn gốc xuất xứ, giấy tờ, chứng chỉ, với mức giá Discount theo quy định của Cisco, đặc biệt hơn là hàng luôn sẵn kho số lượng lớn để đáp ứng nhu cầu của khách hàng.
ANBINHNET ™ có văn phòng giao dịch tại 2 thành phố lớn nhất là Hà Nội và Hồ Chí Minh (Sài Gòn), giúp mang lại sự thuận tiện cho khách hàng có nhu cầu mua thiết bị Router Cisco Chính Hãng có thể đến trực tiếp văn phòng của chúng tôi, cũng như rút ngắn thời gian giao hàng các sản phẩm Cisco Router Giá Tốt đến với khách hàng.
Để Nhận Thông Tin Hỗ Trợ Báo Giá Dự Án, Đặt Hàng, Giao Hàng, Bảo Hành, Khuyến Mại, Hỗ Trợ Kỹ Thuật của các sản phẩm Router Cisco, Hãy Chát Ngay với chúng tôi ở khung bên dưới hoặc gọi điện tới số hotline hỗ trợ 24/7 của ANBINHNET ™. Hoặc quý khách có thể liên hệ tới văn phòng của chúng tôi tại theo thông tin sau:
Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Hà Nội
- Địa chỉ: Số 59 Võ Chí Công, Phường Nghĩa Đô, Quận Cầu Giấy, TP Hà Nội.
- Hotline/Zalo: 0936.366.606
- Email: info@anbinhnet.com.vn
- Website: https://anbinhnet.com.vn/
Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Sài Gòn
- Địa chỉ: Số 736/182 Lê Đức Thọ, Phường 15, Quận Gò Vấp, TP Hồ Chí Minh
- Hotline/Zalo: 0936.366.606
- Email: info@anbinhnet.com.vn
- Website: https://anbinhnet.com.vn/