A partir da CLI – Command Line Interface, de roteadore, switches e access-points Cisco, podemos testar a comunicação com o servidor Radius e/ou Tacacs.
Esta funcionalidade nos permite verificar o status do servidor antes de aplicarmos a configuração de aaa, por exemplo.
Para isso basta, no modo de configuração privilegiado, e com o servidor já cadastrado, usar o comando test aaa group.
Testando a autenticação de dentro de um roteador
BrainGW01#
BrainGW01#test aaa group tacacs+ admin cisco123 new-code
Sending password
User successfully authenticated
USER ATTRIBUTES
username "admin"
reply-message "Password: "
BrainGW01#
Se usarmos um usuário com a senha errada veremos a resposta abaixo.
BrainGW01#
BrainGW01#test aaa group tacacs+ admin cisco1 new-code
Sending password
User rejected
BrainGW01#
Esta funcionalidade foi introduzida na versão 12.2(28)SB, e a partir da versão 12.2(4)T recebeu algumas melhorias, como a possibilidade de criar um profile para associar ao teste.
Mais informações neste link.
Até a próxima.
Cisco, Configuração, Dicas, IOS, Routers, Switches, Wireless
| 
AAA, autenticação, Radius, Tacacs, Test, Test aaa group
Fala galera!!! Neste post em flash, estarei mostrando como autenticar os usuários que acessam o console, SSh, telnet, e HTTP do PIX, através do IAS (Internet Authentication Service) do Windows, integrado com o AD (Active Directory).
O básico para autenticação do acesso remoto a um roteador é a senha de enable, e a senha especificada para o método de acesso (console, auxiliar, Telnet, SSH,…). Assim normalmente é configurado o seguinte:
Exemplo: configuração sem a verificação de usuário para acesso Telnet:
! Entre no modo de configuração global
BrainRT01#conf t
! Crie a senha de enable
BrainRT01(config)#enable secret cisco
! Entre na line (onde é configurado o acesso Telnet)
BrainRT01(config)#line vty 0 4
! Cadastre a senha que será usada para telnet
BrainRT01(config-line)#password 123cisco
BrainRT01(config-line)#end
BrainRT01#
No entanto, com a configuração acima o usuário seria indagado apenas sobre a senha de acesso (que foi configurada na line) e a senha de enable, que é utilizada para entrar no modo de configuração privilegiado. Observe que o roteador não perguntou o nome do usuário para o acesso.
Para configurar o equipamento para pedir o usuário e senha, além do enable, precisamos primeiro criar no roteador um usuário (neste exemplo será configurada autenticação local). Depois basta ativar o AAA (authentication, authorization e accounting), e especificar o método de autenticação. Com estas configurações o roteador passará a solicitar usuário a quem estiver realizando o acesso.
Exemplo: Configurando usuário e senha para o roteador
! Entre no modo de configuração global
BrainRT01#conf t
! Crie um usuário e sua respectiva senha (neste exemplo o usário tem privilégio total – 15)
BrainRT01(config)#username brainwork privilege 15 password cisco123
! Habilite o aaa
BrainRT01(config)#aaa new-model
! Especifique que para o login deve ser usada a base de autenticação local
BrainRT01(config)#aaa authentication login default local
BrainRT01(config)#end
BrainRT01#
Com esta configuração o equipamento passará a pedir usuário e senha, quando o acesso remoto for realizado e ter um usuário e senha para cada usuário que acessa o equipamento.
Com a diferenciação entre os usuários podemos ter níveis de acesso diferenciado (authorization) e monitorar quem logou no equipamento, quando e o que fez (accounting). E além da base de usuário local, também podemos usar um servidor externo Radius ou TACACS para o AAA.
Até a próxima.
Seja o primeiro a comentar 
