AAA Authentication and authorization privilege level Telnet switch

Discussion in 'Lab 802.1x' started by root, Jun 27, 2016.

  1. root

    root Active Member

    Joined:
    Dec 31, 2012
    Messages:
    1,163
    Likes Received:
    18
    Trophy Points:
    38

    Authentication local user and authorization privilege level Telnet switch


    - Có thể xem thêm các bài lý thuyết và Lab cisco aaa configuration
    http://svuit.vn/threads/tong-hop-lab-cisco-aaa-1225/

    - Download file cấu hình bài lab: DOWNLOAD

    - Các bạn có thể xem video cấu hình lab tại đây



    - Tam khảo thêm bài lab AAA local sử dụng Parser View tại đây:
    http://svuit.vn/threads/config-parser-view-on-cisco-1247/

    - Có thể xem thêm các bài lý thuyết và Lab cisco aaa configuration
    http://svuit.vn/threads/tong-hop-lab-cisco-aaa-1225/

    I/ Authentication and authorization privilege level Telnet switch


    Yêu cầu:
    - Tạo username và password local trên Switch 2960 và phân quyền (privilege level) cho user đó .
    • Username “svuit-admin” có privilege level 10.
    • Username “svuit-staff” có privilege level 5.
    - Khi người dùng telnet vào Switch thì nó sẽ yêu cầu người dùng chứng thực với username và password local trên Switch.
    - cấu hình authorization cho các user tương ứng:
    • Username “svuit-staff” có quyền ping và show ip
    • Username “svuit-admin” có quyền “show run”, có thể vào mode “config” của switch. Ngoài ra user “svuit-admin” có thêm các quyền hạn của “svuit-staff”.

    II. Cấu hình telnet authentication and Authorization


    Cấu hình authentication telnet switch. Khi người dùng authentication thành công thì chúng ta sẽ cấp quyền (authorization) cho user đó theo cấp độ quyền (privilege level) mà user đó thuộc.

    - Đặt IP cho interface vlan 1
    Code:
    Switch(config)# interface vlan 1
    Switch(config-if)# ip address 10.123.10.250 255.255.255.0
    - Bật tính năng AAA trên Switch
    Code:
    Switch(config)# aaa new-model
    - Tạo username và password local trên switch cùng với Privilege Levels.
    • Tạo user “svuit-admin” có privilege là 10
    • Tạo user “svuit-staff” có privilege là 5
    Code:
    Switch(config)# username svuit-admin privilege 10 password 0 svuit.vn
    Switch(config)# username svuit-staff privilege 5 password 0 svuit.vn
    - Cấu hình yêu cầu chứng thực khi người dùng login vào thiết bị. Khi các bạn telnet vào switch nó sẽ yêu cầu chứng thực với username và password local trên Switch mà chúng ta đã cấu hình ở trên
    Code:
    Switch(config)# aaa authentication login default local
    Switch(config)# aaa authorization exec default local
    - Cấu hình cấp quyền cho các username và password local trên switch tương ứng với các privilege mà user đó thuộc.
    Code:
    Switch(config)# aaa authorization commands 5 default local
    Switch(config)# aaa authorization commands 10 default local
    - Cấu hình cấp quyền cho user “svuit-staff” chỉ có thể sử dụng lệnh “ping” và “show ip”.
    Code:
    Switch(config)# privilege exec level 5 ping
    Switch(config)# privilege exec level 5 show ip
    Switch(config)# privilege exec level 5 show privilege
    - Cấu hình cấp quyền cho user “svuit-admin” chỉ có thể sử dụng lệnh “show run” và vào trong mode config của Switch. Ngoài ra user “svuit-admin” có privilege cao hơn user “svuit-staff” nên được thừa hưởng các quyền của user “svuit-staff”.
    Code:
    Switch(config)# privilege exec level 10 show run
    Switch(config)# privilege exec level 10 configure terminal

    III. kiểm tra Telnet switch and authorization privilege level


    - Các bạn thực hiện telnet vào switch và chứng thực với user “svuit-staff”.
    • Các bạn có thể thấy user “svuit-staff” có privilege level 5.
    • Các bạn có thể thực hiện lệnh ping trên Switch
    • Tuy nhiên, các bạn có thể “show run” và không thể vào mode config của Switch.
    [​IMG]


    - Các bạn thực hiện telnet vào switch và chứng thực với user “svuit-admin”.
    • Các bạn có thể thấy user “svuit-admin” có privilege level 10.
    - user “svuit-admin” có privilege level cao hơn “svuit-staff”. Nên user “svuit-admin” có thể thừa hưởng các phân quyền của “svuit-staff”. Lúc này user “svuit-admin” có thể:
    • Các bạn có thể thực hiện lệnh ping trên Switch
    - Ngoài ra, user “svuit-admin” còn có quyền “show run” và có thể vào mode config của Switch mà user “svuit-staff” không làm được.
    - Tuy nhiên, chúng ta không thể cấu hình interface vlan. Bởi vì chúng ta không cấu hình cấp quyền cho “svuit-admin” được vào interface vlan.

    [​IMG]
     
    Last edited: Jun 27, 2016

Share This Page