Config Authentication telnet ASA using Cisco ACS
Bài lab cấu hình authentication telnet ASA sử dụng Cisco ACS 5.4
- Có thể xem thêm các bài lý thuyết và Lab cisco aaa configuration
http://svuit.vn/threads/tong-hop-lab-cisco-aaa-1225/
I. Mô hình Authentication telnet ASA sử dụng Cisco ACS
1. Mô hình triển khai Authentication telnet ASA sử dụng Cisco ACS
2. Chuẩn bị cấu hình ASA authentication ACS
- Cấu hình telnet trên ASA cho phép PC telnet vào ASA
- Cấu hình ASA và ACS để PC telnet vào ASA sẽ yêu cầu xác thực user/pass
- Cấu hình telnet xác thực trên database local của ASA
| ASA | GigabitEthernet1 GigabitEthernet2 | nameif:inside, IP: 192.168.20.1/24 nameif:dmz, IP: 192.168.100.1/24 |
| ACS | GigabitEthernet0 | IP: 192.168.100.100/24 |
| PC | IP: 192.168.20.20/24 Gateway: 192.168.20.1 |
II. Triển khai Authentication telnet ASA sử dụng Cisco ACS 5.4
1. Cấu hình IP và nameif trên ASA
| ciscoasa(config)# int g1 ciscoasa(config-if)# nameif inside ciscoasa(config-if)# ip address 192.168.20.1 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# int g2 ciscoasa(config-if)# nameif dmz ciscoasa(config-if)# ip address 192.168.100.1 255.255.255.0 ciscoasa(config-if)# no shutdown |
| // cho phép dãi địa chỉ 192.168.20.0 vùng inside được phép telnet đến ASA ciscoasa(config-if)# telnet 192.168.20.0 255.255.255.0 inside //Thiết lập thời gian timeout(tính bằng phút). Mặc định là 5p ciscoasa(config)# telnet timeout 10 //đặt password telnet ciscoasa(config)# password svuit |
2. Cấu hình telnet có authentication trên ASA
- Trên ASA các bạn cấu hình để traffic telnet từ PC sẽ phải authentication trên ACS. Nghĩa là PC phải có user/pass để xác thực với ACS trước, nếu ok thì mới được telnet vào ASA
| ciscoasa(config)# aaa-server ACS_5.4 protocol tacacs+ ciscoasa(config-aaa-server-group)# exit // ACS_5.4 là tên của con ACS server //192.168.100.100 là IP của ACS server ciscoasa(config)# aaa-server ACS_5.4 (dmz) host 192.168.100.100 //key dùng để xác thực giữa ACS và ASA ciscoasa(config-aaa-server-host)# key svuit.com //Cấu hình authentication các traffic telnet. //LOCAL: nếu con ACS bị down thì ASA sẽ thực hiện việc xác thực này trên database local của nó ciscoasa(config-aaa-server-host)# aaa authentication telnet console ACS_5.4 LOCAL |
3. Cấu hình Authenticaion trên ACS
- Tao 1 device mà ACS kết nối, ở đây là ASA
- Các bạn điền thông tin
- name: phải chính xác như trên ASA mà bạn đã khai báo ở trên
- Single IP address: 192.168.100.1 đây chính là IP của ASA
- Authentication options: TACACS+ và bạn phải gõ đúng key mà bạn đã gõ ở trên ASA (svuit.com)
- Tiếp theo các bạn cần tạo user cho PC
- name: admin (đây chính là username mà các bạn sẽ cấp cho PC để thực hiện chứng thực)
- Password information: Phần này các bạn điền password để chứng thực
- Bây giờ bạn qua PC và telnet vào ASA với username/pass mà bạn đặt (admin/svuit) thành công
- Và vào 1 ngày đẹp trời con ACS bị chết PC làm sao để telnet vào ASA. Nên bạn cần tao thêm user trên database LOCAL của ASA. (Bạn phải khai báo ở trên trong câu lệnh
ciscoasa(config-aaa-server-host)# aaa authentication telnet console ACS_5.4 LOCAL.
- Khi user telnet vào ASA thì nó sẽ thực hiện câu lệnh xác thực ở trên ACS trước rồi mới tới LOCAL (đèn xanh rồi tới đèn đỏ)
| //tạo username/password trên ASA ciscoasa(config-if)# username admin2 password svuit privilege 15 |
- Trên PC các bạn telnet với user và pass là admin2/svuit thành công
Last edited:
![[Lab 7.4] Dynamic VLAN Assignment with Cisco ACS and Switch](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAQAAAC1HAwCAAAAC0lEQVR42mP8Xw8AAoMBgDTD2qgAAAAASUVORK5CYII=)