إعداد أجهزة التوجيه للتعامل مع AAA
سأستعرض هنا الأوامر التفصيلية المطلوبة لجهاز التوجيه لاستخدام خادم مصادقة مركزي مثل ACS. من المعلوم أن كلاً من خادم ACS الذي المحفوظ به أسماء المستخدمين وكلمات المرور الخاصة بهم وجهاز التوجيه الذي سيتصل بالخادم يجب أن يتم إعدادهما للعمل سوياً. سأناقش هنا إعداد جهاز التوجيه والذي يتم التعامل معه بأحد طريقتين إما استخدام CLI وهي واجهة سطر الأوامر أو (CCP) Cisco Configuration Professional . سأتعرض هنا للطريقة الأولى علماً أنه قد تحتاج إلى التعرف على كليهما وذلك اعتمادًا على نوع الشهادة التي ترغب في الحصول عليها.
سيتم إعداد جهاز توجيه لم يتم إعداده بعد لأي نوع من AAA. والهدف الذي سنعمل عليه أثناء الإعداد هو أننا نريد أن يقوم جهاز التوجيه بتنفيذ ما يلي:
■ بالنسبة للمسؤولين/المستخدمين الذين يصلون إلى الموجه عبر خطوط vty بغض النظر عما إذا كانوا يستخدمون Telnet أو SSH يجب على الموجه التحقق من خادم TACACS+ لأجل التحقق من الهوية (اسم المستخدم و كلمة المرور).
■ يحتاج المستخدمون بعد التحقق من هويتهم إلى السماح بالوصول إلى جلسة واجهة سطر الأوامر (CLI) (EXEC) بما في ذلك مستوى الامتياز الذي يجب أن يوضعوا فيه للقيام بمهامهم كما يجب إجراء فحص الصلاحيات الممنوحة بواسطة جهاز التوجيه أيضاً باستخدام TACACS+.
يتيح الأمر أدناه تفعيل وإعداد جميع ميزات AAA وفي معظم أنظمة IOS يكون معطل بشكل افتراضي ويجب تفعيله.
R1(config)# aaa new-model
قائمة طرق المصادقة في الأمر أدناه عند تطبيقها على خطوط VTY مثلاً ستجعل جهاز التوجيه يطالب المستخدم الذي يقوم بالوصول إلى هذا الخط باسم مستخدم وكلمة مرور حتى يتمكن من تسجيل الدخول. وعندما يقوم المستخدم بكتابة اسم المستخدم وكلمة المرور سيقوم الموجه بإرسال بيانات الاعتماد إلى خادم TACACS+ الذي تم إعداده ومن ثم يقوم الخادم بالرد برسالة سواءً بالموافقة على المرور أو فشل ذلك.
يشير هذا الجزء “group tacacs+” من الأمر إلى أول طريقة يسلكها الخادم للتحقق من الهوية حيث يمكن أن يكون هناك أكثر من خادم تم إعداده فإذا لم يستجب خادم ACS بعد مهلة قصيرة فسيقوم جهاز التوجيه بعد ذلك بتجربة الطريقة الثانية في قائمة الطرق وهي “local” والتي تعني أن جهاز التوجيه سيفحص معلوماته الحالية لقادة بياناته هو لمعرفة ما إذا كان هناك اسم مستخدم وكلمة مرور مطابقة.
R1(config)# aaa authentication login AUTHEN_via_TACACS group tacacs+ local
في الأمر أدناه ستؤدي قائمة طرق إعطاء الصلاحيات إلى قيام جهاز التوجيه بالتحقق من خادم AAA للتأكد من أن المستخدم مصرح له بالوصول إلى CLI. وليس فقط الإشارة إلى أنه مصرح له أم لا بل يمكنها أيضاً الإشارة إلى مستوى الامتياز الذي تم وضع المستخدم فيه. من المهم أن يكون قد تم إنشاء كل من اسم المستخدم وكلمة المرور على خادم ACS وذلك لتفعيل كلاً من خاصيتي التحقق من الهوية وإعطاء الصلاحيات. الامر أدناه سيدفع الموجه لاستخدام قائمة صلاحيات واحدة أو أكثر في حال كان هناك أكثر من خادم ACS والمهيأة بـ TACACS+ وإذا لم تكن هناك خوادم تستجيب فسيقوم الموجه بالتحقق محليا من بياناته هو فيما إذا كان الأمر مرخص لهذا المستخدم بناء على مستوى امتياز المستخدم ومستوى امتياز الأمر قيد المحاولة أم لا.
R1(config)# aaa authorization exec Author-Exec_via_TACACS group tacacs+ local
من المهم جداً ملاحظة أنه قبل تطبيق أي من الأوامر السابقة على خطوط VTY يجب إنشاء مستخدم محلي واحد على الأقل كخطوة احتياطية في حالة تعذر الوصول إلى خادم ACS أو في حال عدم تكوينه بعد.
الأمر أدناه لإنشاء مستخدم على قاعدة البيانات المحلية لجهاز التوجيه بما في ذلك اسم المستخدم وكلمة المرور بالإضافة إلى مستوى الامتياز لهذا المستخدم ولا يخفى أنه يوصى بشدة باستخدام كلمات مرور قوية عند إعداد بيانات أي مستخدم أو بيانات أي جهاز.
R1(config)# username admin privilege 15 secret cisco
بعد ذلك يجب إنشاء وإعداد خادم ACS واحد على الأقل حتى يحاول جهاز التوجيه استخدامه عبر TACACS+. تُستخدم كلمة المرور كجزء من تشفير الحزم وأي كلمة مرور نقوم أثناء الإعداد بوضعها هنا في الموجه يجب أيضاً وضعها نفسها على خادم ACS.
R1(config)# tacacs-server host 192.168.1.252 key cisco123
في المثال أدناه سنقوم بتطبيق كلتا قائمتي التحقق من الهوية والصلاحيات على أول خمسة خطوط VTY.
R1(config)# line vty 0 4
R1(config-line)# authorization exec Author-Exec_via_TACACS
R1(config-line)# login authentication AUTHEN_via_TACACS
سيخضع المستخدمون المتصلون بهذه الخطوط vty الآن لكل من المصادقة والصلاحيات بناءً على الأوامر المطبقة في هذه الخطوط.
الآن وعند محاولة تسجيل الدخول من خلال أحد الخطوط الخمسة هذا ما سيحدث: يجب أن يُطلب منك اسم المستخدم وكلمة المرور ولن يكون جهاز التوجيه قادر على إتمام المهمة والاتصال بخادم ACS لأننا ببساطة لم نقم بإعداد خادم ACS حتى الآن ثم بعد مهلة قصيرة سيستخدم جهاز التوجيه الطريقة الثانية في كل قائمة من قوائمه وهي استخدام قاعدة البيانات المحلية الخاصة به للتحقق من الهوية ولإعطاء الصلاحيات. ونظراً لأننا قمنا بإضافة مستخدم محلي بكلمة مرور ومستوى امتياز معين فيجب أن يعمل.
ما حدث حتى الآن يمكن وضعه في الجدول أدناه والذي يوضح خطوات إعداد الموجه.
|
المهمة |
كيفية القيام بها |
|
تحديد السياسة التي يجب أن تكون مثلاً أي سطور vty يجب أن تتطلب التحقق من الهوية/إعطاء الصلاحيات ومن تؤخذ المعلومات خادم ACS أو محلياً |
تتم هذه الخطوة قبل أن تبدأ في إعداد جهاز التوجيه لأنها مستنده إلى سياسة الأمان الخاصة بالشبكة. |
|
تمكين إعداد AAA |
افتراضياً هو غير مفعل لذا يجب تفعيله بالأمر aaa new-model |
|
تحديد عنوان خادم ACS المراد استخدامه |
استخدم الأمر tacacs-server host مصحوباً بعنوان IP لخادم ACS وكلمة المرور. |
|
اعداد قائمة آلية التحقق من الهوية وأخرى لإعطاء الصلاحيات بناءً على سياستك. |
يتم إنشاء كل قائمة في وضع الإعداد العام لنظام التشغيل مع تحديد الطرق التي تستخدمها هذه القائمة بالترتيب من اليسار إلى اليمين. |
|
قم بتطبيق القوائم على الطرق التي يجب أن يستخدم هذه الآلية. |
في وضع إعداد خطوط vty حدد قوائم آلية التحقق من الهوية وإعطاء الصلاحيات والتي قمت بإنشائها في الخطوة السابقة. |
