Montag, 4. April 2016

Команды TACACS+ на Cisco


Здесь собраны команды которые применяются у меня на устройствах, с кратким пояснением.

aaa authentication login default group TAC_PLUS local - эта команда говорит, что аутентификацию производится на сервере (серверах) группы TAC_PLUS, если серверы аутентификации не доступны, искать пользователя в локальной базе

aaa authorization exec default group TAC_PLUS local - без этой команды необходимо будет набирать локальный пароль для входа в enable.


aaa authorization config-commands - для каждой конфиг-команды (в режиме conf t) проверяется разрешение на сервере (позволяет очень гибко назначать разрешения определенным пользователям на команды например можно разрешить пользователю только изменять description на интерфейсах)

aaa authorization commands 15 default group TAC_PLUS local для каждой команды в режиме enable (не путать с conf t) проверяется разрешение на сервере (позволяет очень гибко назначать разрешения определенным пользователям на команды, например разрешить только команды sh interface)

aaa accounting commands 15 default stop-only group TAC_PLUS - на сервер логирования будут записываться команды вводимые пользователем уже после их выполнения уровень привилегий команд 15

aaa accounting exec default start-stop group TAC_PLUS - на сервере будет создано два лог сообщения, одно когда пользователь запустит сессию и другое по её окончанию

По аккаутингу есть хорошее описание в статье: https://www.opennet.ru/base/cisco/cisco_logging.txt.html 

AAA Accounting

AAA accounting позволит Вам получить дополнительную лог информацию с маршрутизатора. Используя Cisco TACACS+, AAA accounting сможет например, сохранить информацию о каждой команде выполненной на маршрутизаторе при помощи Network Access Server (NAS).

Методы AAA Accounting

Существует пять методов сбора статистики при помощи AAA accounting - EXEC, System, Command, Connection, и Network. Краткое описание этих методов:
  • EXEC accounting - сохраняет информацию о каждом EXEC или Shell сеансе на маршрутизаторе, при этом записывается информация о имени пользователя, дате, времени, и IP адресе системы подключавшейся к маршрутизатору;
  • System accounting - этот метод будет сохранять информацию о системных событиях маршрутизатора, таких как перезагрузки системы, выключение питания итд;
  • Command accounting - сохраняет информацию о командах вводимых в EXEC или Shell сессиях. Записывается информация о том какая команда выполнялась, кто запускал эту команду, когда она запускалась, и с каким уровнем привилегий.
  • Connection accounting - записывает информацию о исходящих соединениях сделанных с маршрутизатора, таких как telnet, rlogin, LAT;
  • Network accounting - сохраняет информацию о PPP, SLIP, и ARAP сессиях.

Типы AAA Accounting

Для логирования наиболее возможного количества полезной информации следует  использовать все пять методов AAA accounting. Каждый метод поддерживает три типа логирования:
  • start-stop -  позволяет настроить маршрутизатор посылать лог сообщения когда сервис запускается и останавливается.Например если указать параметр start-stop для EXEC, то будет создано два лог сообщения, одно когда пользователь запустит сессию и другое по её окончанию;
  • stop-only - этот параметр заставит маршрутизатор создать сообщение только при окончании работы сервиса. Для EXEC accounting этот параметр создаст запись о том когда пользователь закончил работу с маршрутизатором;
  • wait-start - этот параметр откладывает запуск сервиса до тех пор, пока с сервера NAS не будет получено подтверждение о том что лог сообщение о этом событии получено. Этот параметр применяют для особо важных действий, когда каждое соединение и команда выполненная на маршрутизаторе должна быть обязательно записана. Если NAS сервер не пошлет уведомление о том что лог запись была успешно создана, маршрутизатор не запустит этот сервис или не будет выполнять данную команду.

Настройка AAA Accounting

Рекомендуемые начальные настройки для каждого метода показаны ниже:

EXEC start-stop
Этот метод позволит проще всего определить когда кто то подключался к маршрутизатору.
System stop-only 
Для системных событий как правило достаточно типа stop-only.
Command stop-only
Команды как правило выполняются в коротком промежутке времени, и этот параметр позволит избежать дублирования сообщений о каждой выполненной команде.
Connection start-stop 
Учет времени начала и конца исходящих соединений с маршрутизатора, позволит иметь полную статистику и проще анализировать логи.
Network start-stop
Для облегчения разбора лог сообщений, также следует использовать параметр start-stop.

Примеры конфигурирования вышеперечисленных методов сбора статистики
приведены ниже:

Accounting с помощью TACACS+

Если Вы используете сервер TACACS для работы AAA, включить EXEC, System, Command, Connection, и Network аккаунтинг на Ваш NAS сервер можно следующим образом:
RouterOne#config terminal
RouterOne(config)#aaa accounting exec default start-stop group tacacs+ 
RouterOne(config)#aaa accounting system default stop-only group tacacs+ 
RouterOne(config)#aaa accounting connection default start-stop group tacacs+ RouterOne(config)#aaa accounting network default start-stop group tacacs+
Для настройки Command accounting следует также указать уровень привилегий для которых требуется сбор информации на сервер, например так:
RouterOne#config terminal 
RouterOne(config)#aaa accounting commands 1 default stop-only group tacacs+ 
RouterOne(config)#aaa accounting commands 15 default stop-only group tacacs+
Eingestellt von um
Labels: , ,

Keine Kommentare:

Kommentar veröffentlichen

Abonnieren Kommentare zum Post (Atom)