AAA Authentication and authorization privilege level Telnet switch

[root]

Authentication local user and authorization privilege level Telnet switch

- Có thể xem thêm các bài lý thuyết và Lab cisco aaa configuration
http://svuit.vn/threads/tong-hop-lab-cisco-aaa-1225/

- Download file cấu hình bài lab: DOWNLOAD

- Các bạn có thể xem video cấu hình lab tại đây

- Tam khảo thêm bài lab AAA local sử dụng Parser View tại đây:
http://svuit.vn/threads/config-parser-view-on-cisco-1247/

- Có thể xem thêm các bài lý thuyết và Lab cisco aaa configuration
http://svuit.vn/threads/tong-hop-lab-cisco-aaa-1225/

I/ Authentication and authorization privilege level Telnet switch

Yêu cầu:
- Tạo username và password local trên Switch 2960 và phân quyền (privilege level) cho user đó .

• Username “svuit-admin” có privilege level 10.
• Username “svuit-staff” có privilege level 5.

- Khi người dùng telnet vào Switch thì nó sẽ yêu cầu người dùng chứng thực với username và password local trên Switch.
- cấu hình authorization cho các user tương ứng:

• Username “svuit-staff” có quyền ping và show ip
• Username “svuit-admin” có quyền “show run”, có thể vào mode “config” của switch. Ngoài ra user “svuit-admin” có thêm các quyền hạn của “svuit-staff”.

II. Cấu hình telnet authentication and Authorization

Cấu hình authentication telnet switch. Khi người dùng authentication thành công thì chúng ta sẽ cấp quyền (authorization) cho user đó theo cấp độ quyền (privilege level) mà user đó thuộc.

- Đặt IP cho interface vlan 1

Switch(config)# interface vlan 1
Switch(config-if)# ip address 10.123.10.250 255.255.255.0

- Bật tính năng AAA trên Switch

Switch(config)# aaa new-model

- Tạo username và password local trên switch cùng với Privilege Levels.

• Tạo user “svuit-admin” có privilege là 10
  
• Tạo user “svuit-staff” có privilege là 5

Switch(config)# username svuit-admin privilege 10 password 0 svuit.vn
Switch(config)# username svuit-staff privilege 5 password 0 svuit.vn

- Cấu hình yêu cầu chứng thực khi người dùng login vào thiết bị. Khi các bạn telnet vào switch nó sẽ yêu cầu chứng thực với username và password local trên Switch mà chúng ta đã cấu hình ở trên

Switch(config)# aaa authentication login default local
Switch(config)# aaa authorization exec default local

- Cấu hình cấp quyền cho các username và password local trên switch tương ứng với các privilege mà user đó thuộc.

Switch(config)# aaa authorization commands 5 default local
Switch(config)# aaa authorization commands 10 default local

- Cấu hình cấp quyền cho user “svuit-staff” chỉ có thể sử dụng lệnh “ping” và “show ip”.

Switch(config)# privilege exec level 5 ping
Switch(config)# privilege exec level 5 show ip
Switch(config)# privilege exec level 5 show privilege

- Cấu hình cấp quyền cho user “svuit-admin” chỉ có thể sử dụng lệnh “show run” và vào trong mode config của Switch. Ngoài ra user “svuit-admin” có privilege cao hơn user “svuit-staff” nên được thừa hưởng các quyền của user “svuit-staff”.

Switch(config)# privilege exec level 10 show run
Switch(config)# privilege exec level 10 configure terminal

III. kiểm tra Telnet switch and authorization privilege level

- Các bạn thực hiện telnet vào switch và chứng thực với user “svuit-staff”.

• Các bạn có thể thấy user “svuit-staff” có privilege level 5.
  
• Các bạn có thể thực hiện lệnh ping trên Switch
  
• Tuy nhiên, các bạn có thể “show run” và không thể vào mode config của Switch.

- Các bạn thực hiện telnet vào switch và chứng thực với user “svuit-admin”.

• Các bạn có thể thấy user “svuit-admin” có privilege level 10.

- user “svuit-admin” có privilege level cao hơn “svuit-staff”. Nên user “svuit-admin” có thể thừa hưởng các phân quyền của “svuit-staff”. Lúc này user “svuit-admin” có thể:

• Các bạn có thể thực hiện lệnh ping trên Switch

- Ngoài ra, user “svuit-admin” còn có quyền “show run” và có thể vào mode config của Switch mà user “svuit-staff” không làm được.
- Tuy nhiên, chúng ta không thể cấu hình interface vlan. Bởi vì chúng ta không cấu hình cấp quyền cho “svuit-admin” được vào interface vlan.