A partir da CLI – Command Line Interface, de roteadore, switches e access-points Cisco, podemos testar a comunicação com o servidor Radius e/ou Tacacs.
Esta funcionalidade nos permite verificar o status do servidor antes de aplicarmos a configuração de aaa, por exemplo.
Para isso basta, no modo de configuração privilegiado, e com o servidor já cadastrado, usar o comando test aaa group.
Testando a autenticação de dentro de um roteador
BrainGW01#
BrainGW01#test aaa group tacacs+ admin cisco123 new-code
Sending password
User successfully authenticated
USER ATTRIBUTES
username "admin"
reply-message "Password: "
BrainGW01#
Se usarmos um usuário com a senha errada veremos a resposta abaixo.
BrainGW01#
BrainGW01#test aaa group tacacs+ admin cisco1 new-code
Sending password
User rejected
BrainGW01#
Esta funcionalidade foi introduzida na versão 12.2(28)SB, e a partir da versão 12.2(4)T recebeu algumas melhorias, como a possibilidade de criar um profile para associar ao teste.
Mais informações neste link.
Até a próxima.
Cisco, Configuração, Dicas, IOS, Routers, Switches, Wireless
| 
AAA, autenticação, Radius, Tacacs, Test, Test aaa group
Para usar autenticação no RIP, é necessário trabalhar com a versão 2, já que o RIPv1 não tem suporte a esta funcionalidade.
Após habilitar o RIPv2, devemos criar uma key-chain, onde cadastraremos as chaves que serão utilizadas para autenticação, e em seguida, em cada interface que faz parte do processo de roteamento indicaremos qual key-chain utilizar e se a autenticação será em “clear text” ou em “md5”.
Configuração 2801:
!
key chain RIP_CHAIN_NAME
key 1
key-string cisco123
!
interface FastEthernet0/0
ip address 192.168.20.2 255.255.255.252
ip rip authentication mode md5
ip rip authentication key-chain RIP_CHAIN_NAME
!
router rip
version 2
network 1.0.0.0
network 192.168.20.0
!
Configuiração 3750:
!
key chain RIP_CHAIN_NAME
key 1
key-string cisco123
!
interface FastEthernet1/0/1
ip address 172.16.1.6 255.255.255.252
ip rip authentication mode md5
ip rip authentication key-chain RIP_CHAIN_NAME
!
interface FastEthernet1/0/2
ip address 192.168.20.1 255.255.255.252
ip rip authentication mode md5
ip rip authentication key-chain RIP_CHAIN_NAME
!
router rip
version 2
network 172.16.0.0
network 192.168.20.0
!
Configuração 3550:
!
key chain RIP_CHAIN_NAME
key 1
key-string cisco123
!
interface FastEthernet0/1
ip address 172.16.1.1 255.255.255.252
ip rip authentication mode md5
ip rip authentication key-chain RIP_CHAIN_NAME
!
interface FastEthernet0/2
ip address 172.16.1.5 255.255.255.252
ip rip authentication mode md5
ip rip authentication key-chain RIP_CHAIN_NAME
!
router rip
version 2
network 172.16.0.0
network 192.168.1.0
!
As chaves devem ser utilizadas em pares, ou seja, a interface do 2801 e do 3750, por onde se comunicam, devem utilizar a mesma chave. Já as interface do 3750 e do 3550 poderiam ser configuradas com outro key chain.
Outras opções de configuração para o RIP aqui.
Até a próxima.
O básico para autenticação do acesso remoto a um roteador é a senha de enable, e a senha especificada para o método de acesso (console, auxiliar, Telnet, SSH,…). Assim normalmente é configurado o seguinte:
Exemplo: configuração sem a verificação de usuário para acesso Telnet:
! Entre no modo de configuração global
BrainRT01#conf t
! Crie a senha de enable
BrainRT01(config)#enable secret cisco
! Entre na line (onde é configurado o acesso Telnet)
BrainRT01(config)#line vty 0 4
! Cadastre a senha que será usada para telnet
BrainRT01(config-line)#password 123cisco
BrainRT01(config-line)#end
BrainRT01#
No entanto, com a configuração acima o usuário seria indagado apenas sobre a senha de acesso (que foi configurada na line) e a senha de enable, que é utilizada para entrar no modo de configuração privilegiado. Observe que o roteador não perguntou o nome do usuário para o acesso.
Para configurar o equipamento para pedir o usuário e senha, além do enable, precisamos primeiro criar no roteador um usuário (neste exemplo será configurada autenticação local). Depois basta ativar o AAA (authentication, authorization e accounting), e especificar o método de autenticação. Com estas configurações o roteador passará a solicitar usuário a quem estiver realizando o acesso.
Exemplo: Configurando usuário e senha para o roteador
! Entre no modo de configuração global
BrainRT01#conf t
! Crie um usuário e sua respectiva senha (neste exemplo o usário tem privilégio total – 15)
BrainRT01(config)#username brainwork privilege 15 password cisco123
! Habilite o aaa
BrainRT01(config)#aaa new-model
! Especifique que para o login deve ser usada a base de autenticação local
BrainRT01(config)#aaa authentication login default local
BrainRT01(config)#end
BrainRT01#
Com esta configuração o equipamento passará a pedir usuário e senha, quando o acesso remoto for realizado e ter um usuário e senha para cada usuário que acessa o equipamento.
Com a diferenciação entre os usuários podemos ter níveis de acesso diferenciado (authorization) e monitorar quem logou no equipamento, quando e o que fez (accounting). E além da base de usuário local, também podemos usar um servidor externo Radius ou TACACS para o AAA.
Até a próxima.
Seja o primeiro a comentar 
