Authentication, Authorization y Accounting

2012 Cisco and/or its affiliates. All rights reserved.

 Mtodos:
Solo contraseas Base de datos local Autenticacin Local AAA (AAA autnomo) AAA Basado en servidor

2012 Cisco and/or its affiliates. All rights reserved.

User Access Verification Password: cisco Password: cisco1 Password: cisco12 % Bad passwords

Internet

R1(config)# line vty 0 4 R1(config-line)# password cisco R1(config-line)# login

El acceso al modo Usuario o al modo Privilegiado es limitado y no son escalables.

2012 Cisco and/or its affiliates. All rights reserved. 3

Internet

Welcome to SPAN Engineering User Access Verification User Access Verification Username Admin Username: admin Password: cisco Password: cisco1 % Login invalid Username: Admin Password: cisco12 % Login invalid

R1(config)# username Admin secret Str0ng5rPa55w0rd R1(config)# line vty 0 4 R1(config-line)# login local

Proporciona mayor seguridad que una simple contrasea. Es una solucin de seguridad rentable y fcil de implementar.
2012 Cisco and/or its affiliates. All rights reserved. 4

 El problema es que esta base de datos local tiene que ser

replicada en varios dispositivos

2012 Cisco and/or its affiliates. All rights reserved.

 AAA es un marco arquitectnico para configurar:

A quien se le permite el acceso?

Qu se le permite hacer?

Qu hizo?

2012 Cisco and/or its affiliates. All rights reserved.

Authentication
Quin eres?

Authorization
Cunto puede gastar?

Accounting
En qu es lo que lo gastasts?

2012 Cisco and/or its affiliates. All rights reserved.

 Los Routers Cisco pueden implementar AAA utilizando:

Base de datos local username / password Cisco Secure Access Control Server (ACS)

2012 Cisco and/or its affiliates. All rights reserved.

 Es el mtodo predeterminado de autenticacin:

Los tipos de autenticacin a realizar. La secuencia en la que se llevar.

Debe ser aplicado a una interfaz especfica antes de cualquiera

de los mtodos de autenticacin definidos sea realizado.

2012 Cisco and/or its affiliates. All rights reserved.

 El cliente establece una conexin con el router. El router solicita las credenciales de AAA username/password. El router autentica el username/password usando la base de

datos local, luego el usuario es autorizado a acceder a la red basado en la informacin contenida en la base de datos local.
Router AAA

Cliente Remoto 1

2012 Cisco and/or its affiliates. All rights reserved.

10

 Implementando el Cisco Access Control Server (ACS) es mas

escalable porque el acceso a todos los dispositivos de la infraestructura son validados por un Servidor Central.
Se puede configurar la Tolerancia a Fallas, ya que se pueden configurar mltiples ACS. Es una solucin Empresarial.

El servidor puede ser:

Cisco Secure ACS para Windows Server:
Los servicios de AAA en el router contacta a un ACS para la autenticacin del usuario y del administrador. Los servicios de AAA en el router o NAS (Network Access Server) contactan a un Cisco Secure ACS Solution Engine externo para la autenticacin del usuario y del administrador.

Cisco Secure ACS Solution Engine:

2012 Cisco and/or its affiliates. All rights reserved.

11

1. El cliente establece una conexin con el router. 2. El router AAA solicita al usuario un nombre de usuario y contrasea. 3. El router autentica el nombre de usuario y la contrasea utilizando un servidor

AAA a distancia.
4. El usuario est autorizado a acceder a la red basada en la informacin en el

servidor AAA remoto.

Cliente Remoto 1

Router AAA

Cisco Secure ACS Server

2012 Cisco and/or its affiliates. All rights reserved.

12

 Proporciona el mtodo de control de acceso remoto.

Como la autorizacin de una sola vez o una autorizacin para cada servicio, lista de cuentas por usuario y perfil, admite grupos de usuarios,

Una vez que un usuario se ha autenticado, los servicios de

autorizacin determinan:
Recursos que el usuario puede tener acceso. Operaciones que el usuario est autorizado a realizar.
Por ejemplo, el "Usuario" estudiante "puede acceder a serverxyz host mediante Telnet solamente.

Al igual que con la autenticacin, la autorizacin AAA se

configura mediante la definicin de una lista de mtodos de autorizacin nombrada y aplicando luego esa lista a diversas interfaces.

2012 Cisco and/or its affiliates. All rights reserved.

13

Cliente Remoto

Router AAA 1 2 3

Cisco Secure ACS Server

1.El usuario autenticado y una sesin se ha establecido con el servidor AAA. 2.Cuando el usuario intenta introducir comandos del modo EXEC privilegiado, el router solicita la autorizacin a un servidor AAA para verificar que el usuario tiene el derecho de usarlo. 3.El servidor AAA devuelve un respuesta "PASS / FAIL.

2012 Cisco and/or its affiliates. All rights reserved.

14

 Proporciona el mtodo para la recogida y el envo de informacin

de seguridad del servidor.

Se utiliza para el detalle, auditora y presentacin de informes,

tales como las identidades de usuario, inicio y detencin, rdenes ejecutadas, el nmero de paquetes / bytes
Con AAA activado, el router informa de la actividad del usuario en

el servidor TACACS+ de forma de registros contables.

El accounting se configura mediante la definicin de una lista de

mtodos nombradas de contabilidad y luego se aplicar la lista a diversas interfaces.

2012 Cisco and/or its affiliates. All rights reserved.

15

Cliente Remoto

Router AAA 1 2

Cisco Secure ACS Server

1. Cuando un usuario se ha autenticado, el proceso de contabilidad AAA genera un mensaje de inicio para iniciar el proceso de contabilidad. 2. Cuando el usuario cierra la sesin, un mensaje de detencin se registra y se termina el proceso de contabilidad.

2012 Cisco and/or its affiliates. All rights reserved.

16

 Incrementa la flexibilidad y controla el acceso a la configuracion Escalabilidad Mltiples sistemas de respaldo Mtodos de autenticacin estandarizados
RADIUS, TACACS+ y Kerberos

2012 Cisco and/or its affiliates. All rights reserved.

17

 AAA es tpicamente implementado usando un ACS server

dedicado para almacenar usernames/passwords en una base de datos centralizada.

La

informacin est centralizada ingresado/actualizado a diferencia de una base de datos local que se debe configurar en cada router.

2012 Cisco and/or its affiliates. All rights reserved.

18

 La tolerancia a fallos se puede configurar en una secuencia

recurrente.
Se consulta con un servidor de seguridad Si se produce un error, se consulta la base de datos local

2012 Cisco and/or its affiliates. All rights reserved.

19

 TACACS+
Terminal Access Controller Access Control System Plus

RADIUS
Remote Authentication Dial-In User Service

2012 Cisco and/or its affiliates. All rights reserved.

20

Implementacion de Autenticacion Local AAA

2012 Cisco and/or its affiliates. All rights reserved.

21

1.

Habilitar AAA :

aaa new-model

2.

Definir el mtodo de autenticacin:

aaa autenticacin

3.

Aplicar el mtodo seleccionado a una interface o lnea particular

(si se requiere).

2012 Cisco and/or its affiliates. All rights reserved.

22

 El comando aaa new-model habilita la caracteristica de AAA.

Los comandos de AAA pueden ser configurados ahora. Para deshabilitar AAA, use el comando no aaa new-model.

Precaucin:
No ejecute el comando a menos que est preparado para configurar la autenticacin AAA. Si lo hace, podra obligar a los usuarios de Telnet a autenticarse con un nombre de usuario, incluso si no hay base de datos de nombre de usuario o mtodo de autenticacin.
R1(config)# aaa new-model

2012 Cisco and/or its affiliates. All rights reserved.

23

 Se debe especificar cual tipo de autenticacin se desea configurar:

Login habilita AAA para TTY, VTYs y con 0. Enable - habilita AAA para los modos EXEC. PPP - habilita AAA para PPP.
2012 Cisco and/or its affiliates. All rights reserved. 24

 El mtodo por Default es automticamente aplicado a todas las

interfaces, si no se define otro mtodo.

Las listas nombradas pueden ser aplicadas a una interface especifica

antes que cualquier mtodo autenticacin sea automticamente aplicado.

25

2012 Cisco and/or its affiliates. All rights reserved.

 Los mtodos enumeran los tipos de autenticacin a realizar y la

secuencia en la cual se ejecutaran, tales como:

Contraseas Pre-definidas (por ejem., local, enable, o line) Consultando un servidor TACACS+ / RADIUS / Kerberos.
2012 Cisco and/or its affiliates. All rights reserved. 26

Mtodos
enable line local local-case none cache group-name group radius group tacacs+ group group-name

Descripcin
Utiliza la contrasea de enable para la autenticacin. Utiliza la contrasea de lnea para la autenticacin. Utiliza el nombre de usuario de base de datos local para la autenticacin. Utiliza el nombre de usuario local case-sensitive para la autenticacin No usa autenticacin. Utiliza un grupo servidor de cache para la autenticacin Utiliza la lista de los servidores RADIUS para la autenticacin. Uses la lista de los servidores TACACS+ para la autenticacin Utiliza un subconjunto de servidores RADIUS o TACACS+ para la autenticacin segn lo definido por el comando aaa group server radius o aaa group server tacacs+ .
27

2012 Cisco and/or its affiliates. All rights reserved.

 aaa local authentication attempts max-fail number-ofunsuccessful-attempts

Router(config)# aaa local authentication attempts max-fail [number-of-unsuccessful-attempts]

2012 Cisco and/or its affiliates. All rights reserved.

28

 Este comando bloquea la cuenta de usuario si falla la

autenticacin, la cuenta permanece bloqueada hasta que se desbloquea a travs de un administrador mediante el comando:
clear aaa local user lockout {username username | all}

2012 Cisco and/or its affiliates. All rights reserved.

29

 Agregue los usernames / passwords en la base de datos local del

router para que aquellos usuarios que necesitan acceso administrativo al router.
Habilite AAA globalmente en el router. Configure los parmetros de AAA necesarios. Confirme y corrija la configuracin de AAA de ser necesario.
R1# conf t R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# username JR-ADMIN secret Str0ngPa55w0rd username ADMIN secret Str0ng5rPa55w0rd aaa new-model aaa authentication login default local-case aaa local authentication attempts max-fail 10

2012 Cisco and/or its affiliates. All rights reserved.

30

 Se puede usar la lista default o defina una lista nombrada.

La lista default es automticamente aplicada a todas las interfaces si no se define otro mtodo. Debe aplicarse una lista nombrada a una interface especifica antes de que cualquier lista nombrada sea implementada como mtodo de autenticacin.

R1# conf t R1(config)# username JR-ADMIN secret Str0ngPa55w0rd R1(config)# username ADMIN secret Str0ng5rPa55w0rd R1(config)# aaa new-model R1(config)# aaa authentication login default local-case enable R1(config)# aaa authentication login TELNET-LOGIN local-case R1(config)# line vty 0 4 R1(config-line)# login authentication TELNET-LOGIN

2012 Cisco and/or its affiliates. All rights reserved.

31

R1# show aaa local user lockout Local-user JR-ADMIN Lock time 04:28:49 UTC Sat Dec 27 2008

R1# show aaa sessions Total sessions since last reload: 4 Session Id: 1 Unique Id: 175 User Name: ADMIN IP Address: 192.168.1.10 Idle Time: 0 CT Call Handle: 0

2012 Cisco and/or its affiliates. All rights reserved.

32

R1# debug aaa ? accounting administrative api attr authentication authorization cache coa db dead-criteria id ipc mlist-ref-count mlist-state per-user pod protocol server-ref-count sg-ref-count sg-server-selection subsys testing R1# debug aaa

Accounting Administrative AAA api events AAA Attr Manager Authentication Authorization Cache activities AAA CoA processing AAA DB Manager AAA Dead-Criteria Info AAA Unique Id AAA IPC Method list reference counts Information about AAA method list state change and notification Per-user attributes AAA POD processing AAA protocol processing Server handle reference counts Server group handle reference counts Server Group Server Selection AAA Subsystem Info. about AAA generated test packets

2012 Cisco and/or its affiliates. All rights reserved.

33

R1# debug aaa authentication 113123: Feb 4 10:11:19.305 CST: AAA/MEMORY: create_user (0x619C4940) user='' ruser='' port='tty1' rem_addr='async/81560' authen_type=ASCII service=LOGIN priv=1 113124: Feb 4 10:11:19.305 CST: AAA/AUTHEN/START (2784097690): port='tty1' list='' action=LOGIN service=LOGIN 113125: Feb 4 10:11:19.305 CST: AAA/AUTHEN/START (2784097690): using "default" list 113126: Feb 4 10:11:19.305 CST: AAA/AUTHEN/START (2784097690): Method=LOCAL 113127: Feb 4 10:11:19.305 CST: AAA/AUTHEN (2784097690): status = GETUSER 113128: Feb 4 10:11:26.305 CST: AAA/AUTHEN/CONT (2784097690): continue_login (user='(undef)') 113129: Feb 4 10:11:26.305 CST: AAA/AUTHEN (2784097690): status = GETUSER 113130: Feb 4 10:11:26.305 CST: AAA/AUTHEN/CONT (2784097690): Method=LOCAL 113131: Feb 4 10:11:26.305 CST: AAA/AUTHEN (2784097690): status = GETPASS 113132: Feb 4 10:11:28.145 CST: AAA/AUTHEN/CONT (2784097690): continue_login (user='diallocal') 113133: Feb 4 10:11:28.145 CST: AAA/AUTHEN (2784097690): status = GETPASS 113134: Feb 4 10:11:28.145 CST: AAA/AUTHEN/CONT (2784097690): Method=LOCAL 113135: Feb 4 10:11:28.145 CST: AAA/AUTHEN (2784097690): status = PASS

2012 Cisco and/or its affiliates. All rights reserved.

34

AAA esta desactivado por defecto en CCP.

2012 Cisco and/or its affiliates. All rights reserved.

35

 2012 Cisco and/or its affiliates. All rights reserved.

36

 2012 Cisco and/or its affiliates. All rights reserved.

37

Implementar autenticacin AAA basada en servidor

2012 Cisco and/or its affiliates. All rights reserved.

38

1. El cliente establece una conexin con el router. 2. El router AAA solicita al usuario un nombre de usuario y contrasea. 3. El router autentica el nombre de usuario y la contrasea utilizando el ACS. 4. El ACS autentica al usuario. El usuario est autorizado a acceder al router (acceso administrativo) o a la red,

basado en la informacin encontrada en el ACS.

2012 Cisco and/or its affiliates. All rights reserved.

39

La familia del Cisco ACS soporta:

Terminal Access Control Access Control Server Plus (TACACS+) Remote Dial-in User Services (RADIUS)

2012 Cisco and/or its affiliates. All rights reserved.

40

 Ambos protocolos pueden ser usados para la comunicacin entre

el cliente y los servidores de AAA.

TACACS+ es considerado el protocolo mas seguro porque todos

los intercambios de datos se cifran.

Radius solo encripta el password del usuario.

2012 Cisco and/or its affiliates. All rights reserved.

41

Connect Username? JR-ADMIN

Username prompt? Use Username JR-ADMIN Password prompt?

Password? Str0ngPa55w0rd

Use Password Str0ngPa55w0rd Accept/Reject

2012 Cisco and/or its affiliates. All rights reserved.

42

 RADIUS usa los puertos UDP 1645 o 1812 para autenticacin y

los puertos 1646 o 1813 para accounting.

Access-Request JR-ADMIN Password? Str0ngPa55w0rd Access-Accept

Username?

(JR_ADMIN, Str0ngPa55w0rd )

2012 Cisco and/or its affiliates. All rights reserved.

43

Feature

TACACS+
Separa AAA segn la arquitectura AAA, lo que permite la modularidad de la implementacin del servidor de seguridad Mayormente soportado por Cisco

RADIUS
Combina la autenticacin y la autorizacin, pero se separa de contabilidad, lo que permite menos flexibilidad en la aplicacin de TACACS+. Abierto / estndar RFC UDP 1645 o 1812 para autenticacin UDP 1646 o 1813 para accounting

Funcionalidad

Estndar

Protocolos de Transporte

TCP 49

CHAP

Reto bidireccional y respuestas tal como lo usa CHAP Soporte de Multiprotocolo Se cifra todo el paquete Proporciona autorizacin de comandos del router en una base por usuario o por grupo. Limitada

Reto unidireccional

Protocolos Soportados Confidencialidad

No ARA, no NetBEUI Solo se encriptan las contraseas No tiene opcin de autorizar comandos del router en una base por usuario o por grupo. Extensivo

Customizacin

Accounting

2012 Cisco and/or its affiliates. All rights reserved.

44

Cisco Secure ACS

2012 Cisco and/or its affiliates. All rights reserved.

45

 Many enterprise-level authentication servers are on the market

today including:
Funk's Steel-Belted RADIUS server Livingston Enterprises' RADIUS Authentication Billing Manager Merit Networks' RADIUS Cisco Secure ACS for Windows Server (ACS)

Cisco ACS is a single solution that offers AAA services using

TACACS+ or RADIUS.

2012 Cisco and/or its affiliates. All rights reserved.

46

Ease of use

A web-based user interface simplifies the configuration for user profiles, group profiles, and ACS configuration. ACS is built to provide large networked environments including redundant servers, remote databases, and database replication and backup services. Supports the authentication of user profiles that are stored in directories from leading directory vendors, including Sun, Novell, and Microsoft. Active Directory support consolidates username and password management. Ability to group network devices together make it easier and more flexible to control the enforcement and changes for all devices in a network. Cisco Secure ACS is available in three options: Cisco Secure ACS Solution Engine, Cisco Secure ACS Express, and Cisco Secure ACS for Windows. Tight coupling with Cisco IOS routers and VPN solutions. Cisco Secure ACS offers token server support for any one-time password (OTP) vendor that provides an RFC-compliant RADIUS interface, such as RSA, PassGo, Secure Computing, ActiveCard, Vasco, or CryptoCard. Provides dynamic quotas to restrict access based on the time of day, network use, number of logged sessions, and the day of the week.

Scalability

Extensibility

Management

Administration Product flexibility Integration Third-party support Control

2012 Cisco and/or its affiliates. All rights reserved.

47

Cisco Secure ACS Express 5.0

Nivel de entrada de ACS con un conjunto de caractersticas simplificadas Admite hasta 50 dispositivos AAA y hasta 350 conexiones nicas de usuario en un periodo de 24 horas

Cisco Secure ACS for Windows puede ser instalado en:

Windows 2000 Server con Service Pack 4 Windows 2000 Advanced Server con Service Pack 4 Windows Server 2003 Standard o Enterprise Edition Windows Server 2008 Standard o Enterprise Edition

Cisco Secure ACS Solution Engine

Una plataforma dedicada altamente escalable que sirve como un ACS de alto rendimiento Montable en rack - 1RU Preinstalado con un software de seguridad en Windows, Cisco Secure ACS Soporte para mas de 350 usuarios.

2012 Cisco and/or its affiliates. All rights reserved.

48

 2012 Cisco and/or its affiliates. All rights reserved.

49

 2012 Cisco and/or its affiliates. All rights reserved.

50

 2012 Cisco and/or its affiliates. All rights reserved.

51

 2012 Cisco and/or its affiliates. All rights reserved.

52

 2012 Cisco and/or its affiliates. All rights reserved.

53

 2012 Cisco and/or its affiliates. All rights reserved.

54

 ACSv5 Demo
http://www.cisco.com/assets/cdc_content_elements/flash/netman/acsv5tacac s/player.html

2012 Cisco and/or its affiliates. All rights reserved.

55

Configuracin de Autenticacin AAA Basada en Servidor

2012 Cisco and/or its affiliates. All rights reserved.

56

1.

Habilite AAA de forma global:

aaa new-model

2.

Configure los parmetros del protocolo de seguridad:

Server IP address and Key aaa authentication

3.

Defina la lista de autenticacin a usar:

4. 5.

Aplique la lista a una interface particular o lnea (si se requiere). Si desea configurar la autorizacin:

aaa authorization

6.

Opcionalmente, configure accounting usando el comando:

aaa accounting

2012 Cisco and/or its affiliates. All rights reserved.

57

192.168.1.100

R1
Cisco Secure ACS for Windows using RADIUS

192.168.1.101

Cisco Secure ACS Solution Engine using TACACS+

R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# R1(config)#

aaa new-model tacacs-server host 192.168.1.101 single-connection tacacs-server key TACACS+Pa55w0rd radius-server host 192.168.1.100 radius-server key RADIUS-Pa55w0rd

2012 Cisco and/or its affiliates. All rights reserved.

58

R1(config)# aaa authentication login default ? enable Use enable password for authentication. group Use Server-group krb5 Use Kerberos 5 authentication. krb5-telnet Allow logins only if already authenticated via Kerberos V Telnet. line Use line password for authentication. local Use local username authentication. local-case Use case-sensitive local username authentication. none NO authentication. passwd-expiry enable the login list to provide password aging support R1(config)# aaa authentication login default group ? WORD Server-group name radius Use list of all Radius hosts. tacacs+ Use list of all Tacacs+ hosts.

2012 Cisco and/or its affiliates. All rights reserved.

59

192.168.1.100

R1
Cisco Secure ACS for Windows using RADIUS

192.168.1.101

Cisco Secure ACS Solution Engine using TACACS+

R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# R1(config)#

aaa new-model tacacs-server host 192.168.1.101 single-connection tacacs-server key TACACS+Pa55w0rd radius-server host 192.168.1.100 radius-server key RADIUS-Pa55w0rd aaa authentication login default group tacacs+ group radius local-case

2012 Cisco and/or its affiliates. All rights reserved.

60

R1# debug aaa authentication AAA Authentication debugging is on R1# 14:01:17: AAA/AUTHEN (567936829): Method=TACACS+ 14:01:17: TAC+: send AUTHEN/CONT packet 14:01:17: TAC+ (567936829): received authen response status = PASS 14:01:17: AAA/AUTHEN (567936829): status = PASS

2012 Cisco and/or its affiliates. All rights reserved.

61

R1# debug tacacs ? accounting TACACS+ protocol accounting authentication TACACS+ protocol authentication authorization TACACS+ protocol authorization events TACACS+ protocol events packet TACACS+ packets <cr>

R1# debug radius ? accounting RADIUS accounting packets only authentication RADIUS authentication packets only brief Only I/O transactions are recorded elog RADIUS event logging failover Packets sent upon fail-over local-server Local RADIUS server retransmit Retransmission of packets verbose Include non essential RADIUS debugs <cr> R1# debug radius

2012 Cisco and/or its affiliates. All rights reserved.

62

R1# debug tacacs TACACS access control debugging is on R1# 13:53:35: TAC+: Opening TCP/IP connection to 192.168.1.101 using source 192.48.0.79 13:53:35: TAC+: Sending TCP/IP packet number 416942312-1 to 192.168.1.101 (AUTHEN/START) 13:53:35: TAC+: Receiving TCP/IP packet number 416942312-2 from 192.168.60.15 13:53:35: TAC+ (416942312): received authen response status = GETUSER 13:53:37: TAC+: send AUTHEN/CONT packet 13:53:37: TAC+: Sending TCP/IP packet number 416942312-3 to 192.168.1.101 (AUTHEN/CONT) 13:53:37: TAC+: Receiving TCP/IP packet number 416942312-4 from 192.168.60.15 13:53:37: TAC+ (416942312): received authen response status = GETPASS 13:53:38: TAC+: send AUTHEN/CONT packet 13:53:38: TAC+: Sending TCP/IP packet number 416942312-5 to 192.168.1.101 (AUTHEN/CONT) 13:53:38: TAC+: Receiving TCP/IP packet number 416942312-6 from 192.168.60.15 13:53:38: TAC+ (416942312): received authen response status = FAIL 13:53:40: TAC+: Closing TCP/IP connection to 192.168.60.15

2012 Cisco and/or its affiliates. All rights reserved.

63

 2012 Cisco and/or its affiliates. All rights reserved.

64

 2012 Cisco and/or its affiliates. All rights reserved.

65

 2012 Cisco and/or its affiliates. All rights reserved.

66

Autorizacion basado en Servidor

2012 Cisco and/or its affiliates. All rights reserved.

67

 Si usa para limitar los servicios disponibles para un usuario. El router utiliza la informacin del perfil del usuario, que se

encuentra ya sea en la base de datos local o en el servidor de seguridad, para configurar la sesin del usuario.
El usuario tiene acceso a un servicio solicitado, si la informacin

en el perfil de usuario lo permite.

Router(config)# aaa authorization type { default | list-name } method1 [method4]

2012 Cisco and/or its affiliates. All rights reserved.

68

show version Display show version output

JR-ADMIN

Command authorization for user JR-ADMIN, command show version? Accept Command authorization for user JR-ADMIN, command config terminal? Reject

configure terminal Do not permit configure terminal

2012 Cisco and/or its affiliates. All rights reserved.

69

R1(config)# aaa authorization ? auth-proxy For Authentication Proxy Services cache For AAA cache configuration commands For exec (shell) commands. config-commands For configuration mode commands. configuration For downloading configurations from AAA server console For enabling console authorization exec For starting an exec (shell). ipmobile For Mobile IP services. multicast For downloading Multicast configurations from an AAA server network For network services. (PPP, SLIP, ARAP) prepaid For diameter prepaid services. reverse-access For reverse access connections template Enable template authorization R1(config)# aaa authorization exec ? WORD Named authorization list. default The default authorization list. R1(config)# aaa authorization exec default ? group Use server-group. if-authenticated Succeed if user has authenticated. krb5-instance Use Kerberos instance privilege maps. local Use local database. none No authorization (always succeeds). R1(config)# aaa authorization exec default group ? WORD Server-group name radius Use list of all Radius hosts. tacacs+ Use list of all Tacacs+ hosts.

2012 Cisco and/or its affiliates. All rights reserved.

70

R1# conf t R1(config)# username JR-ADMIN secret Str0ngPa55w0rd R1(config)# username ADMIN secret Str0ng5rPa55w0rd R1(config)# aaa new-model R1(config)# aaa authentication login default group tacacs+ R1(config)# aaa authentication login TELNET-LOGIN local-case R1(config)# aaa authorization exec default group tacacs+ R1(config)# aaa authorization network default group tacacs+ R1(config)# line vty 0 4 R1(config-line)# login authentication TELNET-LOGIN R1(config-line)# ^Z

2012 Cisco and/or its affiliates. All rights reserved.

71

 2012 Cisco and/or its affiliates. All rights reserved.

72

 2012 Cisco and/or its affiliates. All rights reserved.

73

Accounting basada en servidor

2012 Cisco and/or its affiliates. All rights reserved.

74

 Define el modo de contabilidad que se realiza y la secuencia en

la que se realizan.
Las listas con nombre permiten designar un protocolo de

seguridad especial para ser utilizado en lneas especficas o interfaces para los servicios de contabilidad.
Router(config)# aaa accounting type { default | list-name } record-type method1 [method2]

2012 Cisco and/or its affiliates. All rights reserved.

75

R1(config)# aaa accounting ? auth-proxy For authentication proxy events. commands For exec (shell) commands. connection For outbound connections. (telnet, rlogin) delay-start Delay PPP Network start record until peer IP address is known. exec For starting an exec (shell). gigawords 64 bit interface counters to support Radius attributes 52 & 53. multicast For multicast accounting. nested When starting PPP from EXEC, generate NETWORK records before EXEC-STOP record. network For network services. (PPP, SLIP, ARAP) resource For resource events. send Send records to accounting server. session-duration Set the preference for calculating session durations suppress Do not generate accounting records for a specific type of user. system For system events. update Enable accounting update records. R1(config)# aaa accounting exec ? WORD Named Accounting list. default The default accounting list. R1(config)# aaa accounting exec default ? none No accounting. start-stop Record start and stop without waiting stop-only Record stop when service terminates. R1(config)# aaa accounting exec default start-stop? broadcast Use Broadcast for Accounting group Use Server-group R1(config)# aaa accounting exec default start-stop group ? WORD Server-group name radius Use list of all Radius hosts. tacacs+ Use list of all Tacacs+ hosts.

2012 Cisco and/or its affiliates. All rights reserved.

76

R1# conf t R1(config)# username JR-ADMIN secret Str0ngPa55w0rd R1(config)# username ADMIN secret Str0ng5rPa55w0rd R1(config)# aaa new-model R1(config)# aaa authentication login default group tacacs+ R1(config)# aaa authentication login TELNET-LOGIN local-case R1(config)# aaa authorization exec group tacacs+ R1(config)# aaa authorization network group tacacs+ R1(config)# aaa accounting exec start-stop group tacacs+ R1(config)# aaa accounting network start-stop group tacacs+ R1(config)# line vty 0 4 R1(config-line)# login authentication TELNET-LOGIN R1(config-line)# ^Z

2012 Cisco and/or its affiliates. All rights reserved.

77