在一些大型企业中，管理员希望通过TACACS+或RADIUS服务器对各种网络设备的管理接入进行AAA认证，以实现对管理员帐号的集中管理。A10的AX系列负载均衡交换机支持这两种常见的认证方式。

　　由于TACACS+是Cisco的一个私有协议，因此，如果希望实现对管理员命令行操作的授权访问，需要在TACACS+上进行进一步的配置。因此，本文除了介绍如何在AX上配置实现TACACS+的AAA认证，还将介绍如何在Cisco的ACS服务器上配置实现AX的授权访问。

　　1. AX的AAA基本功能介绍

　　通常情况下，我们所说的AAA是三个英文单词的缩写，分别是：认证(Authentication)、授权(Authorization)和审计(Accounting)。下面将分别进行介绍：

　　1.1 认证(Authentication)

　　在默认情况下，当管理账户需要登陆到AX设备时，AX设备根据用户输入的用户名和密码检查本地的管理员数据库。如果输入的用户名和密码在本地数据库中，则登陆成功，否则，登陆用户被拒绝访问。

　　我们可以为AX设备配置一个外部的TACACS+服务器，用于管理账户的认证。在这种情况下，AX仍然会优先检查本地数据库，以进行认证。

　　如果AX设备的本地管理员数据库有这个用户名和密码，则用户通过认证，获得访问系统的权限。

　　如果AX设备的本地管理员数据库有这个用户名，但密码错误，则AX设备会拒绝该访问。

　　如果AX设备的本地管理员数据库没有这个用户名，并且配置了TACACS+服务器，则AX采用这些服务器上的数据库进行认证。

　　1.2 授权(Authorization)

　　在AX上配置TACACS+授权时，可以授权管理帐号执行以下几个级别的CLI命令。

　　15(admin)：允许执行所有级别的CLI命令。

　　14(config)：可以执行除了修改管理员账号的其他CLI命令。

　　1(Privileged EXEC)：可以执行特权模式或用户模式下的所有命令。

　　0(User EXEC)：可以执行用户模式下的所有命令。

　　注：配置为2-13等同于1这个级别。

　　1.3 审计(Accounting)

　　你可以为AX设备配置外部TACACS+服务器实现审计功能。通过审计功能，你可以追踪管理帐号登陆以后的所有活动。

　　你可以配置以下审计内容：

　　Login/Logoff 活动

　　命令

　　你可以配置以下几个级别的审计，来追踪管理员执行命令的情况：

　　15(admin)：审计所有级别的CLI命令的执行情况。

　　14(config)：审计除了修改管理员账号的其他CLI命令。

　　1(Privileged EXEC)：审计特权模式或用户模式下的所有命令。

　　0(User EXEC)：审计用户模式下的所有命令。

　　2. 为AX配置TACACS+的AAA认证

　　为AX配置TACACS+的AAA的方式很简单，只需要几条命令即可实现。基本上，配置命令可以简单的分为几个部分：

　　1) 在AX上配置TACACS+服务器信息。通常情况下，建议配置第二台TACACS+作为备份服务器。

　　tacacs-server host 192.168.103.101 secret tacacs_secret //设定TACACS+服务器，及共享密钥 authentication type local tacplus //设定认证服务器类型

　　2) 配置是否需要进行授权控制。

　　authorization commands 15 method tacplus //设定授权的命令行等级

　　3) 配置审计方式和内容。

　　accounting exec start-stop tacplus //设定审计管理帐号login/logoff行为 accounting commands 15 stop-only tacplus //设定对命令行的审计等级

　　3. Cisco ACS服务器上的配置方式

　　由于TACACS+是Cisco的私有协议，因此，在默认配置方式下，如果在AX上配置了授权(Authorization)控制，需要在TACACS+上进行一些额外的配置，以实现对AX的授权控制。否则，AX上可能会出现类似以下的告警日志：

　　Nov 30 2011 17:43:53 Error [SYSTEM]:tacplus_read_response: authorization failed with TACACS+ server 192.168.103.101以下以Cisco ACS 4.2为例，说明TACACS+的配置方式：

　　1) 在“Shared Profile Components”下，设置“Shell Command Authorization Set”。

　　在“Unmatched Commands”中，如果默认拒绝执行所有命令，你需要将允许执行的命令添加至列表中，并选择“Permit Unmatched Args”。

　　2) 在“Network Configuration”中，将AX添加为“AAA Clients”。

　　如上图所示，你需要指定AX的管理地址及共享密钥。添加后，选择“Submit+Apply”，以使配置生效。

　　3) 在“Group Setup”中，选择相应的组并按照下图对组设置进行编辑。

　　4) 将管理帐号与组进行关联。

　　至此，完成ACS上的TACACS+配置。

　　推荐阅读

　　雷士拒绝吴长江回归

雷士照明日前发布公告称，考虑到调查小组的发现，认为重新委任吴长江为董事长及董事并不妥当。公司已设立临时管理委员会加强对日常运营的管理。委员会由三位副总裁穆宇、王明华及谈鹰组成，相信亦有助履行因李瑞及李>>>详细阅读

本文标题：A10负载均衡交换机AX认证方式详解

地址：http://www.lgo100.com/a/22/20120817/81128.html

 1/2    1  2 下一页