Hướng Dẫn Cấu Hình Authorization Trên Router Cisco
AAA AUTHORIZATION TRÊN ROUTER CISCO LÀ GÌ?
AAA Authorization (Ủy quyền AAA) trên các thiết bị Router Cisco cho phép bạn giới hạn các dịch vụ có sẵn cho người dùng. Khi AAA Authorization được bật, network access server sử dụng thông tin được truy xuất từ hồ sơ của người dùng, nằm trong cơ sở dữ liệu người dùng cục bộ hoặc trên máy chủ bảo mật, để định cấu hình phiên của người dùng. Khi điều này được thực hiện, người dùng sẽ chỉ được cấp quyền truy cập vào dịch vụ được yêu cầu nếu thông tin trong hồ sơ người dùng cho phép.
Danh sách các phương pháp dành riêng cho loại ủy quyền được yêu cầu bao gồm:
- Lệnh: Áp dụng cho lệnh chế độ EXEC mà người dùng đưa ra. Ủy quyền lệnh cố gắng ủy quyền cho tất cả các lệnh chế độ EXEC, bao gồm các lệnh cấu hình chung, được liên kết với một mức đặc quyền cụ thể.
- EXEC: Áp dụng cho các thuộc tính được liên kết với phiên cuối EXEC của người dùng.
- Network: Áp dụng cho kết nối mạng. Điều này có thể bao gồm kết nối PPP, SLIP hoặc ARAP.
- Reverse Access: Áp dụng cho các phiên Telnet đảo ngược
Khi bạn tạo một danh sách phương thức được đặt tên, bạn đang xác định một danh sách các phương thức ủy quyền cụ thể cho loại ủy quyền được chỉ định.
Sau khi được xác định, danh sách phương thức phải được áp dụng cho các dòng hoặc giao diện cụ thể trước khi thực hiện bất kỳ phương thức nào đã xác định. Ngoại lệ duy nhất là danh sách phương pháp mặc định (được đặt tên là “default”). Nếu lệnh aaa authorization cho một loại ủy quyền cụ thể được ban hành mà không có danh sách phương thức được đặt tên được chỉ định, thì danh sách phương thức mặc định sẽ tự động được áp dụng cho tất cả các giao diện hoặc dòng ngoại trừ những giao diện hoặc dòng có danh sách phương thức được đặt tên được xác định rõ ràng. (Danh sách phương thức đã xác định sẽ ghi đè danh sách phương thức mặc định.) Nếu không có danh sách phương thức mặc định nào được xác định, ủy quyền cục bộ sẽ diễn ra theo mặc định.
AAA hỗ trợ năm phương thức ủy quyền khác nhau bao gồm:
- TACACS+: Network access server trao đổi thông tin ủy quyền với TACACS+ security daemon. Ủy quyền TACACS+ xác định các quyền cụ thể cho người dùng bằng cách liên kết các cặp thuộc tính-giá trị, được lưu trữ trong cơ sở dữ liệu trên máy chủ bảo mật TACACS+, với người dùng thích hợp.
- If-Authenticated: Người dùng được phép truy cập chức năng được yêu cầu miễn là người dùng đã được xác thực thành công.
- None: Máy chủ truy cập mạng không yêu cầu thông tin ủy quyền; ủy quyền không được thực hiện trên dòng/giao diện này.
- Local: Router hoặc Access Server tham khảo cơ sở dữ liệu cục bộ của nó, được xác định bởi lệnh username, để ủy quyền các quyền cụ thể cho người dùng. Chỉ có thể kiểm soát một bộ chức năng giới hạn thông qua cơ sở dữ liệu cục bộ.
- RADIUS: Máy chủ truy cập mạng yêu cầu thông tin ủy quyền từ máy chủ bảo mật RADIUS. Ủy quyền RADIUS xác định các quyền cụ thể cho người dùng bằng cách liên kết các thuộc tính, được lưu trữ trong cơ sở dữ liệu trên máy chủ RADIUS, với người dùng thích hợp.
CẤU HÌNH AUTHORIZATION TRÊN ROUTER CISCO
Cấu Hình AAA Authorization Bằng Danh Sách Phương Thức Được Đặt Tên Trên Router Cisco
Để cấu hình ủy quyền AAA bằng danh sách phương thức được đặt tên, hãy sử dụng các lệnh sau bắt đầu ở chế độ cấu hình chung:
- Router(config)# aaa authorization {auth-proxy | network | exec | commands level | reverse-access | configuration | ipmobile } {default | list-name } [method1 [method2 …]]
- Thực hiện một trong các hành động sau:
- Router(config)# line [aux | console | tty | vty ] line-number [ending-line-number ]
- Router(config)# interface interface-type interface-number
- Thực hiện một trong các hành động sau:
- Router(config-line)# authorization {arap | commands level | exec | reverse-access } {default | list-name }
- Router(config-line)# ppp authorization {default | list-name }
Các bước chi tiết được thể hiện trong bảng dưới đây:
| Lệnh hoặc Hành động | Mục đích | |
| Bước 1 | Router(config)# aaa authorization {auth-proxy | network | exec | commands level | reverse-access | configuration | ipmobile } {default | list-name } [method1 [method2 …]] | Tạo danh sách phương thức ủy quyền cho một loại ủy quyền cụ thể và bật ủy quyền. |
| Bước 2 | Thực hiện một trong các hành động sau:
|
Nhập chế độ cấu hình line cho các line mà bạn muốn áp dụng danh sách phương thức ủy quyền.
Ngoài ra, hãy vào chế độ cấu hình giao diện cho các giao diện mà bạn muốn áp dụng danh sách phương thức ủy quyền. |
| Bước 3 | Thực hiện một trong các hành động sau:
|
Áp dụng danh sách ủy quyền cho một line hoặc tập hợp các line. Ngoài ra, |
Vô Hiệu Hóa Authorization Cho Các Lệnh Cấu Hình Global Trên Router Cisco
Lệnh aaa authorization với từ khóa commands cố gắng ủy quyền cho tất cả các lệnh chế độ EXEC, bao gồm các lệnh cấu hình chung, được liên kết với một mức đặc quyền cụ thể. Do đó, các lệnh cấu hình giống hệt với một số lệnh EXEC, nên có thể có một số nhầm lẫn trong quá trình cấp phép. Sử dụng no aaa authorization config-commands để ngăn máy chủ truy cập mạng thử ủy quyền lệnh cấu hình.
Để tắt ủy quyền AAA cho tất cả các lệnh cấu hình chung, hãy sử dụng lệnh sau trong chế độ cấu hình chung:
| Lệnh | Mục đích |
|
Device(config)# no aaa authorization config-commands |
Vô hiệu hóa ủy quyền cho tất cả các lệnh cấu hình chung |
Để tắt ủy quyền AAA trên console, hãy sử dụng lệnh sau trong chế độ cấu hình chung
| Lệnh | Mục đích |
|
Device(config)# no aaa authorization console |
Vô hiệu hóa ủy quyền trên console. |
Cấu Hình Ủy Quyền Cho Reverse Telnet Trên Router Cisco
Để định cấu hình máy chủ truy cập mạng nhằm yêu cầu thông tin ủy quyền từ máy chủ TACACS+ hoặc RADIUS trước khi cho phép người dùng thiết lập phiên Telnet đảo ngược, hãy sử dụng lệnh sau trong chế độ cấu hình chung:
| Lệnh | Mục đích |
|
Router(config)# aaa authorization reverse-access method1 [method2 … ] |
Cấu hình máy chủ truy cập mạng để yêu cầu thông tin ủy quyền trước khi cho phép người dùng thiết lập phiên Telnet đảo ngược |
ĐỊA CHỈ PHÂN PHỐI ROUTER CISCO CHÍNH HÃNG GIÁ TỐT NHẤT
ANBINHNET ™ là nhà phân phối Cisco chính hãng, uy tín hàng đầu tại Việt Nam. Đến với chúng tôi, quý khách hàng sẽ nhận được những thông tin chính xác về nguồn gốc xuất xứ, giấy tờ, chứng chỉ, với mức giá Discount theo quy định của Cisco, đặc biệt hơn là hàng luôn sẵn kho số lượng lớn để đáp ứng nhu cầu của khách hàng.
ANBINHNET ™ có văn phòng giao dịch tại 2 thành phố lớn nhất là Hà Nội và Hồ Chí Minh (Sài Gòn), giúp mang lại sự thuận tiện cho khách hàng có nhu cầu mua thiết bị Bộ định tuyến Cisco Chính Hãng có thể đến trực tiếp văn phòng của chúng tôi, cũng như rút ngắn thời gian giao hàng các sản phẩm Cisco Router Giá Tốt đến với khách hàng.
Để Nhận Thông Tin Hỗ Trợ Báo Giá Dự Án, Đặt Hàng, Giao Hàng, Bảo Hành, Khuyến Mại, Hỗ Trợ Kỹ Thuật của các sản phẩm Router Cisco, Hãy Chát Ngay với chúng tôi ở khung bên dưới hoặc gọi điện tới số hotline hỗ trợ 24/7 của ANBINHNET ™. Hoặc quý khách có thể liên hệ tới văn phòng của chúng tôi tại theo thông tin sau:
Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Hà Nội
- Địa chỉ: Số 59 Võ Chí Công, Phường Nghĩa Đô, Quận Cầu Giấy, TP Hà Nội.
- Hotline/Zalo: 0936.366.606
- Email: info@anbinhnet.com.vn
- Website: https://anbinhnet.com.vn/
Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Sài Gòn
- Địa chỉ: Số 736/182 Lê Đức Thọ, Phường 15, Quận Gò Vấp, TP Hồ Chí Minh
- Hotline/Zalo: 0936.366.606
- Email: info@anbinhnet.com.vn
- Website: https://anbinhnet.com.vn/