GNS3+VMware做AAA授权，审计实验

 实验环境，拓扑图见这个认证实验http://3824597.blog.51cto.com/3814597/1172212

授权一般是在认证配置好了的前提下在配置的！

ACS上的客服端 服务器配置见认证实验文章！

 

接下来点击“group  setup”，将“group  1”重命名为“normal”，将“group  2”重命名 为“super”。

然后点击“user setup”添加用户 user1 和 user2，其中 user1 属于“normal”组，user2 属于“super”组。

再然后在路由器上配置授权

Router(config)#  aaa  authorization  exec  default  group  tacacs+  local

Router(config)#  aaa  authorization  commands  1  default  group  tacacs+  none

！对等级 1 的命令进行授权

Router(config)#  aaa  authorization  commands  15  default  group  tacacs+  none

！对等级 15 的命令进行授权

接着在 Cisco  Secure  ACS 的“group  setup”中按照要求设置组的权限。 点击“group  setup”，选择“normal”组，点击“Edit  Settings”

 

如上图所示，在  TACACS  +选项组中选择“shell（exec）”，并且将“privilege  Level”设 置为 15。

 

如上图所示，在“Shell  Command  Authorization  Set”中设置该组所能执行的命令以及参 数，最后点击“Submit  +  Restart”。

“super ”组 的权限设置 和“normal ”组基本类 似，唯独不 同的就是“ Shell  Command 

Authorization  Set”部分，下图显示了 normal 组的“Shell  Command  Authorization  Set”设置

 

OK，一切准备OK，该测试了！

当user1登录时

R1#show interface

FastEhernet0/0 is up, line protocol is up 

R1#show ip route

 192.168.17.0/24 is directly connected, FastEthe

 192.168.16.0/24 is directly connected, FastEthe

R1#show run

command authorization failed

可以看到在group中没有允许的命令就不能用！

然后用user2测试，所有命令都能用，这里俺就不贴图了

 

然后就是审计实验

Router(config)#  aaa  accounting  exec  default  start-stop  group  tacacs+

//对用户的登陆进行审计

Router(config)#  aaa  accounting  commands  1  default  start-stop  group  tacacs+ Router(config)#  aaa  accounting  commands  15  default  start-stop  group  tacacs+

//对用户所使用的命令进行审计

完成设置后，在 ACS 的管理页面上点击“Report  and  activity”，可以看到以下界面：

 

其中“TACACS  +  Accounting”中记录了用户登陆的记录，“TACACS  +  Administration”中 记录了用户曾经使用的命令记录，如下图所示：

 

 

OK实验完毕