CCNA  Security, Módulo 3: AAA

                        Clase: 28 de Abril del 2010 Instructor: Ernesto Vilarrasa

 

-este documento es un borrador--este documento es un borrador--este documento es un borrador-

 

Para autenticar, autorizar y arquear en TACACS+ :

 

Configuración en los equipos:

 

!

aaa new-model habilita AAA

aaa authentication login default group tacacs+ local  autenticacion por consola

aaa authentication login telnet_lines group tacacs+ local local significa que si no encuentra servidor AAA,

aaa authorization exec default group tacacs+ local        permite la autenticacion local, si se omite,

aaa authorization configuration default group tacacs+     el login no se realiza.

aaa authorization commands 15 default group tacacs+  autoriza (o no)cada comando ingresado

aaa accounting commands 15 default start-stop group tacacs+ contabiliza cada comando ingresado

!

tacacs-server host 10.0.0.3 key Cisco5ecret

username local privilege 15 secret Local12345 este usuario se utiliza

!                                             de no encontrarse el server AAA

line con 0

 login indica autenticacion por default (tacacs+ ver línea 2)

line vty 0 4

 login authentication telnet_lines indica el grupo de AAA de login (ver línea 3)

 transport input ssh

!

end

 

Configuración en el ACS:

 

Dentro de Win2k3, abrir un browser e ingresar a http://127.0.0.1:2002 y seleccionar Network Configuration y Add Entry

 

 

 

 

 

 

 

Accounting en Passed Authentications (\\win2k3\Accounting\Passed Authentications):

 

Date        Time       Message-Type  User-Name       Caller-ID   NAS-Port    NAS-IP-Address

28/04/2010  21:23:23    Authen OK   user  Group 1     async tty0  10.0.0.203

28/04/2010  21:23:28    Authen OK   user  Group 1     10.0.0.35   tty194      10.0.0.203

28/04/2010  21:28:41    Authen OK   user  Group 1     async tty0  10.0.0.204

28/04/2010  21:30:39    Authen OK   user  Group 1     10.0.0.14   tty195      10.0.0.202

28/04/2010  21:30:40    Authen OK   user  Group 1     async tty0  10.0.0.203

28/04/2010  21:31:19    Authen OK   user  Group 1     10.0.0.35   tty194      10.0.0.203

28/04/2010  21:31:28    Authen OK   user  Group 1     10.0.0.14   tty194      10.0.0.202

 

Accounting en Failed Attemps (\\win2k3\Accounting\Passed Attemps):

 

28/04/2010  21:43:08    Unknown NAS   10.0.0.201

28/04/2010  21:47:06    Authen failed (Default) CS user unknown               10.0.0.202

28/04/2010  21:50:31    Author failed 10.0.0.33 (Default)   Service denied      10.0.0.203

28/04/2010  21:50:44    Author failed 10.0.0.33 (Default)   Service denied      10.0.0.203

28/04/2010  21:54:12    Authen failed 10.0.0.55 (Default)   password invalid  10.0.0.204

 

Accounting en TACACS+ Administration (\\win2k3\Accounting\TACACS+ Administration):

 

Aquí se verifican todos los comandos ingresados ( y previamente autorizados )

 

 

 

-este documento es un borrador--este documento es un borrador--este documento es un borrador-