Login

Benvenuto, Ospite
Nome utente: Password: Ricordami
Dimenticato la password? Dimenticato il nome utente?
Forum
Corsi di Preparazione alle Certificazioni Cisco
CCNA Security
Chiarimento AAA Authentication
  • Pagina:
  • 1

ARGOMENTO:

Chiarimento AAA Authentication 9 Anni 6 Mesi fa #1

  • paolo.postorino
  • Avatar di paolo.postorino Autore della discussione
  • Offline
  • Elite Member
  • Elite Member
  • Messaggi: 86
  • Ringraziamenti ricevuti 8
Ancora non rivedo bene il capitolo 3 e non mi dedico ai laboratori, ma vi chiedo aiuto nel capire quanto sono vicino ad alcuni concetti per quanto riguarda l'implementazione. Faccio alcuni esempi.

R1(config)#aaa authentication login default group tacacs+
crea regola di default per AAA Authentication del login usando la lista di tutti gli host Tacacs+, la quale si produce così:
R1(config)#tacacs-server host 192.168.1.101 single-connection
R1(config)#tacacs-server key tacacs_password...

R1(config)#aaa authentication login default group ACS
qui la regola di default per AAA Authentication del login usa il gruppo denominato (arbitrariamente) ACS. Questo gruppo si crea così:
R1(config)#aaa group server tacacs+ ACS
R1(config-sg-tacacs+)#server-private 172.16.1.100 key cisco
R1(config-sg-tacacs+)#ip tacacs source-interface Loopback 0
ci sono altri metodi per formare gruppi?

R1(config)#aaa authentication login PROVA line
R1(config)#line con 0
R1(config-line)#password prova
R1(config-line)#login authentication PROVA
qui si crea la regola PROVA che permette il login con password di linea;
una volta creata la password di linea per la console proprio a quest'ultima si applica la regola
PROVA: per accedere in console quindi verrà chiesta una password e questa dovrà essere "prova"

Sbaglio qualcosa o manca qualcosa?

Si prega Accedi a partecipare alla conversazione.

Ultima Modifica: da paolo.postorino.

Chiarimento AAA Authentication 9 Anni 6 Mesi fa #2

  • instructor
  • Offline
  • Administrator
  • Administrator
  • Messaggi: 1385
  • Ringraziamenti ricevuti 172
Ciao Paolo,
tutto correttissimo, rettifico soltanto che nel caso del gruppo
R1(config)#aaa group server tacacs+ ACS
R1(config-sg-tacacs+)#server-private 172.16.1.100 key cisco
R1(config-sg-tacacs+)#ip tacacs source-interface Loopback 0

il comando che seleziona l'interfaccia di uscita è equivalente a quello per il server di default se dai il comando
R1(config)#ip tacacs source-interface Loopback 0
Questo comando non è obbligatorio, se non viene dato in default o in gruppo semplicemente il router si presenta con l'interfaccia più vicina al server.

Esistono altri modi per creare gruppi se cambi protocollo, tipo
R1(config)#aaa group server radius ISE
R1(config-sg-tacacs+)#server-private 172.16.1.100 key cisco
R1(config-sg-tacacs+)#ip tacacs source-interface Loopback 0

Ultima considerazione, evitare di configurare una regola di default login che non faccia fallback su una regola locale o none perchè si rischia di dover avviare la procedura di password recovery se il server diventa non raggiungibile, quindi potrebbe essere preferibile una regola del tipo:
R1(config)#aaa authentication login default group tacacs+ line

Si prega Accedi a partecipare alla conversazione.

Ultima Modifica: da instructor.

Chiarimento AAA Authentication 9 Anni 6 Mesi fa #3

  • paolo.postorino
  • Avatar di paolo.postorino Autore della discussione
  • Offline
  • Elite Member
  • Elite Member
  • Messaggi: 86
  • Ringraziamenti ricevuti 8
Grazie Virgilio,
avevo davvero bisogno di mettere un po' d'ordine.

PS come avevi predetto la pausa del corso arriva come una benedizione. Almeno per me.

Si prega Accedi a partecipare alla conversazione.
  • Pagina:
  • 1
Moderatori: jpalombi
Forum
Corsi di Preparazione alle Certificazioni Cisco
CCNA Security
Chiarimento AAA Authentication