CISCO AAA 认证配置

三个Security Server Protocols的区别

RADIUS	TACACS+	Kerberos
distributed client/server AAA system	普通AAA	提供AAA service的secret-key network authentication protocol
UDP 1645（认证） 1646（accounting）	TCP (49)

  
AAA配置五大部分：

1.enable	aaa new-model
2.security protocol server	radius-server host ... tacacs-server host ... 相关配置，radius-server key ,timeout 等
3.aaa list	aaa authetication ppp/login listname/default .... aaa authorication network/exec default ... aaa accouting network default ...
4.aaa list引用	line 0-16 /line vty 0 4  login authentication ...  login     int serial 0  encap ppp  ppp authentication pap/chap/pap chap ...  ppp authentication pap/chap/pap chap

   
   radius-server host

radius-server host {hostname | ip-address} [auth-port port-number] [acct-port port-number] [timeout seconds] [retransmit retries] [key string] [alias {hostname | ip address}]

ip-add,key ,udp-port,timeout,retransmit，都是具体UNIX SERVER上的配置,一定要和UNIX SERVER的KEY匹配 auth-port/acct-port: 是udp port 缺省是 authentication port (1645) and accounting port (1646):

 radius-server key加密

radius-server key {0 string | 7 string | string}

0表示 不加密
7表示 加密

定义认证串的时候，不能直接引用radius server,必须group radius 或者group aaa-group-name

aaa authentication ppp dialins group radius local
aaa authentication login default group radius local

RADIUS Server Group Examples

aaa new-model aaa authentication ppp default group group1 aaa authentication login default group group2 !

aaa group server radius group1     (进入（config-sg）#模式)  server 1.1.1.1 auth-port 1645 acct-port 1646  server 2.2.2.2 auth-port 2000 acct-port 2001  deadtime 1 ! aaa group server radius group2  server 2.2.2.2 auth-port 2000 acct-port 2001  server 3.3.3.3 auth-port 1645 acct-port 1646  deadtime 2 !

radius-server host 1.1.1.1 auth-port 1645 acct-port 1646 radius-server host 2.2.2.2 auth-port 2000 acct-port 2001 radius-server host 3.3.3.3 auth-port 1645 acct-port 1646 aaa group server定义，同时也要有radius-server定义。二者不能混淆。 本例中radius-server 2.2.2.2为两个group server服务

 

Authentication define

aaa authentication login default enable	用enable密码作为用户telnet login的密码
aaa authentication login default line   ! line vty 0 4      password 3333	line: 采用line下的password指令的密码
aaa authentication enable default group radius	enable 密码在RADIUS上设 enable的串都是default的 （用户输入enable的时候，router发request包 到RADIUS server，username是 "$enab15$."）

authentication 的Line 引用

Line vty 0 4    login authentication list-name    login authentication default    login authentication

    改变aaa认证显示    authentication prompt

aaa new-model aaa authentication banner *input your name and pass* aaa authentication fail-message *Failed login. Try again.* aaa authentication login default group radius

将显示如下 input your name and pass Username: Failed login. Try again

aaa authentication password-prompt  text-string   
改变输入password的prompt

aaa authorization exec default group radius if-authenticated  
 一旦前面的authenticaion成功，立刻就获得authorization