DynagenでCCIEを目指す
20100831 Authentication
最終更新:
it_certification
-
view
1. 目的
- 認証(Authentication)を設定する方法を確認します。
2. 構成
2.1. 設定概要
- ルータの初期設定はIPアドレスのみです。
- トップページ/手順書 サーバ系/TACACS+ インストール手順に基づいて、TACCAS+がインストールされているものとします。
- トップページ/手順書 サーバ系に基づいて、coLinuxが設定されているものとします。
2.2. 構成図
2.3. netファイル
model = 3660
[localhost]
[[3660]]
image = C:\Program Files\Dynamips\images\c3660-ik9o3s-mz.124-6.T.bin
ram = 128
[[ROUTER R1]]
f0/0 = NIO_gen_eth:\Device\NPF_{Host OS Loopback}
f0/1 = NIO_gen_eth:\Device\NPF_{Guest OS eth1}
2.4. 初期設定
- R1
! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! ! no aaa new-model ! resource policy ! memory-size iomem 5 ! ! ip cef no ip domain lookup ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface FastEthernet0/0 ip address 192.168.200.1 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 192.168.201.1 255.255.255.0 duplex auto speed auto ! ip http server no ip http secure-server ! ! ! no cdp run ! ! ! control-plane ! ! ! ! ! ! ! ! ! line con 0 line aux 0 line vty 0 4 ! ! end
2.5. tac_plus.conf
* 一部のみの抜粋です
user=tac15 {
login = cleartext tac15
}
user=tac07 {
login = cleartext tac07
}
user=tac01 {
login = cleartext tac01
}
3. [検証] 認証基本設定
3.1. ローカルユーザの作成
以下のローカルユーザを作成します。
R1(config)#username local01 privilege 1 secret local01 R1(config)#username local07 privilege 7 secret local07 R1(config)#username local15 privilege 15 secret local15
3.2. AAAの有効化
AAAを有効にします。
R1(config)#aaa new-model
3.3. 認証の設定
ログイン時にローカルユーザによる認証を行うように設定します。なお、「default」は全回線に対して認証を行うという意味であり、「local-case」はローカルユーザによる認証を行うという意味です。
(「local-case」は大文字小文字を区別します。「local」は大文字小文字を区別しません。)
(「local-case」は大文字小文字を区別します。「local」は大文字小文字を区別しません。)
R1(config)#aaa authentication login default local-case
3.4. 認証の確認
ローカルユーザでログインできる事を確認します。
なお、ログインした時点でのprivilegeは1です。privilegeの設定を反映させるためには、トップページ/動作検証 ネットワーク系/20100904 Authorizationで記載された認可の設定を行う必要があります。
なお、ログインした時点でのprivilegeは1です。privilegeの設定を反映させるためには、トップページ/動作検証 ネットワーク系/20100904 Authorizationで記載された認可の設定を行う必要があります。
[root@localhost etc]# telnet 192.168.201.1 Trying 192.168.201.1... Connected to 192.168.201.1. Escape character is '^]'. User Access Verification Username: local07 Password: R1>show privilege Current privilege level is 1 R1>
4. [検証] 複数認証方式の指定
4.1. 認証の設定
TACACSとローカルユーザによる認証を設定します。以下のような設定を投入した場合、TACACSサーバに接続できない(「サーバがRSTを返す」「サーバへの疎通が不可能」など)場合のみローカルユーザで認証を行うようになります。
R1(config)#no aaa authentication login default local-case R1(config)#aaa authentication login default group tacacs+ local
4.2. TACACSサーバの指定
TACACSサーバを指定します。
R1(config)#tacacs-server host 192.168.201.101
4.3. 正常時 認証確認
TACACSサーバで定義されたユーザでログインできる事を確認します。
[root@localhost ~]# telnet 192.168.201.1 Trying 192.168.201.1... Connected to 192.168.201.1. Escape character is '^]'. User Access Verification Username: tac15 Password: R1>
4.4. エラー時 認証確認
TACACSサーバがエラーを返す場合の挙動について確認します。まず、サーバ側でTACACSを停止させます。
[root@localhost ~]# /etc/init.d/tac_plus stop Shutting down tacacs+: [ OK ] [root@localhost ~]#
TACACSで定義されたユーザではログインできませんが、ローカルユーザではログインできる事を確認します。
C:\>telnet 192.168.200.1 接続中: 192.168.200.1... User Access Verification Username: tac15 Password: % Authentication failed Username: local15 Password: R1>
5. [検証] 回線毎の認証方式
5.1. 認証の設定
回線毎に異なる認証方式を定義する事も可能です。以下はコンソールではローカルユーザ、VTYではTACACSユーザを使用するように設定した例です。
R1(config)#no aaa authentication login default group tacacs+ local R1(config)#aaa authentication login LOGIN_VTY group tacacs+ R1(config)#aaa authentication login LOGIN_CONSOLE local R1(config)# R1(config)# R1(config)#line vty 0 4 R1(config-line)#login authentication LOGIN_VTY R1(config-line)#exit R1(config)# R1(config)# R1(config)#line console 0 R1(config-line)#login authentication LOGIN_CONSOLE
5.2. コンソールの設定確認
コンソールで接続する場合は、ローカルユーザでログインできる事を確認します。
R1 con0 is now available Press RETURN to get started. User Access Verification Username: tac15 Password: % Authentication failed <- TACACSユーザでログインする事はできません。 User Access Verification Username: local01 <- ローカルユーザではログインする事ができます。 Password: R1>
5.3. VTYの接続確認
VTYで接続する場合は、TACACSユーザでログインできる事を確認します。
C:\>telnet 192.168.200.1 接続中: 192.168.200.1... User Access Verification Username: local15 Password: % Authentication failed <- ローカルユーザではログインする事ができません。 User Access Verification Username: tac01 <- TACACSユーザでログインする事ができます。 Password: R1>
添付ファイル
