\n\n![\"Cisco](\"https:\/\/blog.iwen.de\/wp-content\/uploads\/2006\/07\/aaa-beispiel.png\") \n<\/td>\n<\/tr>\n<\/table>\nIn diesem Beispiel kommt ein Cisco Secure ACS v4.0 in der Standard-Installation und ein Cisco 1750 mit Version 12.3 zum Einsatz:<\/p>\n \nRouter#sh ver\nCisco Internetwork Operating System Software\nIOS (tm) C1700 Software (C1700-K9O3SY7-M), Version 12.3(19)\n<\/code><\/pre>\nEine andere IOS-Version kann sich nat\u00fcrlich auch anders verhalten.<\/p>\n Beim Ausprobieren dieser \u00dcbung sollte man immer ein Telnet-Fenster im priv. Mode lassen (sobald der priv. Mode per Telnet erreichbar ist) um sich nicht versehentlich auszusperren.<\/p>\n Das Beispiel<\/strong><\/p>\n\n- Der Router hat eine Grundkonfiguration, es sind keine Passw\u00f6rter, User, TACACS-Einstellungen etc. konfiguriert. Nur das Ethernet-Interface hat eine IP-Adresse und ist eingeschaltet. Auf der Konsole kann man sich ohne Password einloggen, der Timeout ist aber auf den Lines deaktiviert um ein Lockout zu vermeiden.\n
hostname Router\n!\ninterface FastEthernet0\n ip address 10.255.255.234 255.255.255.0\n!\nline con0\n exec-timeout 0\nline aux 0\nline vty 0 4\n exec-timeout 0\n!\nend<\/code><\/pre>\nFrage:<\/strong> Welche Meldung gibt eine Telnet-Verbindung auf den so konfigurierten Router?<\/li>\n- Auf der “line vty” wird ein Password und “login” konfiguriert:\n
line vty 0 4\n password vtypass\n login\n<\/code><\/pre>\nFrage:<\/strong> K\u00f6nnen wir uns per Telnet auf den Router verbinden? Wird das Password abgefragt? Kann man sich in den Enable-Mode verbinden?<\/li>\n- Auf der “line vty” wird der Befehl “no login” konfiguriert:\n
\nline vty 0 4\n no login\n<\/code><\/pre>\nFrage:<\/strong> Was hat sich zum letzten Punkt ge\u00e4ndert?<\/li>\n- Als n\u00e4chstes konfigurieren wir ein Passwort f\u00fcr den enable Mode und schalten “login” wieder ein:\n
\nenable secret enapass\n line vty 0 4\n login\n<\/code><\/pre>\nFrage: <\/strong>Ist jetzt ein Wechsel in den privileged Mode m\u00f6glich?<\/li>\n- Auf der “line vty” wird von “login” auf “login local” gewechselt:\n
\nline vty 0 4\n login local\n<\/code><\/pre>\nFrage:<\/strong> Wie verh\u00e4lt sich jetzt der Telnet-Login? Kann man sich einloggen?<\/li>\n- Es wird ein lokales Benutzerkonto konfiguriert:\n
\nusername admin password adminpass\n<\/code><\/pre>\nFrage:<\/strong> Ist jetzt ein Einloggen m\u00f6glich? Ist ein Wechsel in den privileged Mode m\u00f6glich?<\/li>\n- “login local” wird wieder zu “login” zur\u00fcckkonfiguriert:\n
\nline vty 0 4\n login\n<\/code><\/pre>\nFrage:<\/strong> Ist der Login wieder per reinem Password m\u00f6glich?<\/li>\n- Der Router wird f\u00fcr AAA umkonfiguriert:\n
\naaa new-model\n<\/code><\/pre>\nFrage:<\/strong> Wie verh\u00e4lt sich jetzt der Login per Telnet und die Verbindung auf der Konsole?<\/li>\n- Auf dem Router wird die Kommunikation mit dem TACACS+-Server konfiguriert:\n
\ntacacs-server host 10.255.255.244\ntacacs-server key ciscosecure\n<\/code><\/pre>\n<\/li>\n- Auf dem ACS wird der Router als AAA-Client angelegt:\n
\n- Network Configuration -> AAA Clients, Add Entry ->AAA Client<\/li>\n<\/ul>\n
\n- Hostname: Router<\/li>\n<\/ul>\n
\n- AAA Client IP Address: 10.255.255.234<\/li>\n<\/ul>\n
\n- Key: ciscosecure<\/li>\n<\/ul>\n
\n- Authenticate Using: TACACS+ (Cisco IOS)<\/li>\n<\/ul>\n
\n- Submit + Restart<\/li>\n<\/ul>\n
\n- Der AAA-Client sollte in der Liste erscheinen.<\/li>\n<\/ul>\n<\/li>\n
- Auf dem Router wird die Authentifizierung umkonfiguriert den TACACS+-Server zu benutzen:\n
\naaa authentication login default group tacacs+\n<\/code><\/pre>\nFrage:<\/strong> Wie verh\u00e4lt sich der Login per Telnet? Funktioniert der im Router angelegte User “admin”? Welche Fehlermeldung ist im ACS unter Reports and Activity -> Failed Attempts -> Failed Attempts active.csv zu sehen?<\/li>\n- Ein User wird im ACS angelegt:\n
\n- User Setup -> User: aaauser -> Add\/Edit<\/li>\n
- Im Unterbereich User Setup -> “aaapass” als CiscoSecure PAP Password und Confirm Password eintragen.<\/li>\n
- Button Submit<\/li>\n<\/ul>\n
Frage:<\/strong> Ist jetzt ein Telnet-Login mit dem aaauser m\u00f6glich? Kann man sich in den Enable-Mode verbinden? Ist der erfolgreiche Login unter Reports and Activity -> Passed Authentications vermerkt?<\/li>\n- Im ACS wird das Logging erweitert:\n
\n- System Configuration -> Logging -> CSV Passed Authentications<\/li>\n
- Das H\u00e4kchen bei “Log to CSV Passed Authentications report” setzen<\/li>\n
- Button Submit<\/li>\n<\/ul>\n
Frage: <\/strong>Ist bei einem erneuten Telnet-Login der erfolgreiche Login unter Reports and Activity -> Passed Authentications vermerkt?<\/li>\n- Als n\u00e4chstes wird ein Ausfall unseres ACS simuliert. Daf\u00fcr werden einfach die Dienste gestoppt.\n
\n- System Configuration -> Service Control<\/li>\n
- Button Stop<\/li>\n
- Warten bis Status “Is Currently Stopped” angezeigt wird.<\/li>\n<\/ul>\n
Frage:<\/strong> Ist ein Einloggen per Telnet m\u00f6glich?<\/li>\n- Der Router wird konfiguriert, bei einem Fehler des TACACS-Dienstes per Fallback eine Authentifizierung per enable password oder enable secret durchzuf\u00fchren:\n
\naaa authentication login default group tacacs+ enable\n<\/code><\/pre>\nFrage:<\/strong> Ist ein Einloggen per Telnet wieder m\u00f6glich?<\/li>\n- Die ACS-Dienste werden wieder gestartet\n
\n- System Configuration -> Service Control<\/li>\n
- Button Start<\/li>\n
- Warten bis Status “Is Currently Running” angezeigt wird.<\/li>\n<\/ul>\n<\/li>\n
- Die bisherigen Versuche liefen per Telnet.
\nFrage:<\/strong> Wie verh\u00e4lt sich der Router beim Einloggen auf der Konsole?<\/li>\n- Jetzt soll auch noch das enable-Passwort auf dem ACS gespeichert werden. Daf\u00fcr wird der Router konfiguriert die enable-\u00dcberpr\u00fcfung \u00fcber TACACS+ durchzuf\u00fchren:\n
aaa authentication enable default group tacacs+<\/pre>\nFrage:<\/strong> Ist nach dem Einloggen per Telnet ein Wechsel in den Enable-Mode m\u00f6glich? Welche Fehlermeldung erscheint auf Router und ACS?<\/li>\n- In der Userkonfiguration im ACS wird das enable-Password hinterlegt. Daf\u00fcr muss in der Interface-Konfiguration diese Option erst eingeschaltet werden:\n
\n- Interface Configuration -> TACACS+ (Cisco IOS) -> Advanced Configuration Options<\/li>\n<\/ul>\n
\n- Das H\u00e4kchen wird bei “Advanced TACACS+ Features” gesetzt.<\/li>\n<\/ul>\n
\n- Button Submit anklicken<\/li>\n<\/ul>\n
\n- Advanced Options<\/li>\n
- “Per-user TACACS+\/RADIUS Attributes” ausw\u00e4hlen<\/li>\n
- Button Submit<\/li>\n<\/ul>\n
\n- User Setup -> Button “List all users” -> aaauser<\/li>\n
- Advanced TACACS+ Settings<\/li>\n
- Unter “TACACS+ Enable Password” die Option Use seperate password ausw\u00e4hlen und das Password “aaaena” eintragen<\/li>\n
- Button Submit<\/li>\n<\/ul>\n
Frage:<\/strong> Ist jetzt ein Wechsel in den Enable-Mode m\u00f6glich? Welche Fehlermeldung erscheint auf Router und ACS?<\/li>\n- Der TACACS+ enable privilege wird auf “15” gestellt.\n
\n- User Setup -> Button “List all users” -> aaauser<\/li>\n
- Advanced TACACS+ Settings<\/li>\n
- Unter “TACACS+ Enable Control:” wird die Option “Max Privilege for any AAA Client” auf “Level 15” gesetzt.<\/li>\n
- Button Submit<\/li>\n<\/ul>\n
Frage:<\/strong> Ist jetzt ein Wechsel in den Enable-Mode m\u00f6glich? Ist der Vorgang in den Passed Authentications im ACS zu sehen?<\/li>\n- Und wieder wird der ACS gestoppt.
\nFrage:<\/strong> Ist ein Einloggen (per Telnet oder Konsole) m\u00f6glich? Kann auch jetzt noch in den priv. Mode gewechselt werden?<\/li>\n- Auch f\u00fcr die enable-\u00dcberpr\u00fcfung wird ein Fallback konfiguriert:\n
\naaa authentication enable default group tacacs+ enable\n<\/code><\/pre>\nFrage:<\/strong> Kann jetzt wieder in den priv. Mode gewechselt werden?<\/li>\n- Der ACS wird wieder gestartet
\nJetzt m\u00f6chten wir, da\u00df der User nach dem Login direkt im priv. Mode landet. Dies wird \u00fcber die exec-Authorisierung gemacht:<\/p>\n\naaa authorization exec default group tacacs+\n<\/code><\/pre>\nFrage:<\/strong> Ist immernoch ein Einloggen (Telnet oder Konsole) m\u00f6glich? Gibt es eine Meldung auf dem ACS?<\/li>\n- F\u00fcr die n\u00e4chste Konfiguration mu\u00df in den User-Settings wieder eine bisher verdeckte Option hinzugef\u00fcgt werden:\n
\n- Interface Configuration -> TACACS+ (Cisco)<\/li>\n
- Das H\u00e4kchen “User” f\u00fcr Shell (exec) wird ausgew\u00e4hlt<\/li>\n
- Button Submit<\/li>\n<\/ul>\n
\n- User Setup -> Button “List all users” -> aaauser<\/li>\n
- TACACS+ Settings<\/li>\n
- Shell (exec) ausw\u00e4hlen<\/li>\n
- Button Submit<\/li>\n<\/ul>\n
Frage:<\/strong> Ist immer noch ein Einloggen (Telnet oder Konsole) m\u00f6glich? Landet man direkt im priv. Mode?<\/li>\n- F\u00fcr den User wird der richtige Level f\u00fcr die Shell gesetzt:\n
\n- User Setup -> Button “List all users” -> aaauser<\/li>\n
- TACACS+ Settings<\/li>\n
- Das H\u00e4kchen bei Privilege level setzen und den Level “15” eintragen<\/li>\n
- Button Submit<\/li>\n<\/ul>\n
Frage:<\/strong> Landet man jetzt beim Einloggen direkt im priv. Mode?<\/li>\n- Und wieder wird der ACS gestoppt und wieder getestet.
\nFrage:<\/strong> Ist immer noch ein Einloggen (Telnet oder Konsole) m\u00f6glich?<\/li>\n- Auch f\u00fcr die Authorisierung wird ein Fallback konfiguriert. Diesmal auf die Methode “none”:\n
\naaa authorization exec default group tacacs+ none\n<\/code><\/pre>\nFrage:<\/strong> Ist jetzt wieder ein Einloggen (Telnet oder Konsole) m\u00f6glich? Kann in den priv. Mode gewechselt werden?<\/li>\n- Der ACS wird wieder gestartet<\/li>\n
- Jetzt soll zus\u00e4tzlich konfiguriert werden, da\u00df auf der Konsole keine Login-Authentifizierung durchgef\u00fchrt wird. Der enable-Mode soll \u00fcber das lokale enable secret erreicht werden.
\nDaf\u00fcr wird eine Authentifizierungs-Liste geschrieben und auf die “line con 0” gelegt:<\/p>\n\naaa authentication login noTAC none\nline con 0\n login authentication noTAC\n<\/code><\/pre>\nFrage:<\/strong> Wird beim Verbinden auf der Konsole nach Username und Password gefragt? Kann man sich in den priv. Mode verbinden?<\/li>\n- Der ACS wird wieder gestoppt.
\nFrage:<\/strong> Wie verh\u00e4lt sich jetzt der Login und der Wechsel in den Enable-Mode?<\/li>\n- Der ACS wird wieder gestartet.<\/li>\n
- Da der Telnet-Login die aaa-Konfiguration f\u00fcr den “enable default” nicht mehr ben\u00f6tigt, kann dieser auf eine lokale Methode zur\u00fcckgesetzt werden:\n
\naaa authentication enable default enable\n<\/code><\/pre>\nFrage:<\/strong> Hat sich beim Telnet-Login etwas ge\u00e4ndert? Wie kann man sich auf der Konsole in den Enable-Mode verbinden?<\/li>\n<\/ol>\nUnd damit ist dieses Beispiel abgeschlossen.<\/p>\n Die Konfiguration des Routers sieht jetzt folgenderma\u00dfen aus (Auszug):<\/p>\n \naaa new-model\naaa authentication login default group tacacs+ enable\naaa authentication login noTAC none\naaa authentication enable default enable\naaa authorization exec default group tacacs+ none\n!\nusername admin password 0 adminpass\n!\ninterface FastEthernet0\n ip address 10.255.255.234 255.255.255.0\n!\nline con 0\n exec-timeout 0 0\n login authentication noTAC\nline aux 0\nline vty 0 4\n exec-timeout 0 0\n password vtypass\n!\nend\n<\/code><\/pre>\nAntworten zu den Fragen:<\/strong><\/p>\nFrage 1:<\/strong> Die Meldung “Password required, but none set” wird angezeigt.<\/p>\nFrage 2: <\/strong>ja, Passwort wird abgefragt.<\/p>\n\nRouter>en\n% No password set\n<\/code><\/pre>\nFrage 3: <\/strong>Login ist jetzt ohne Password m\u00f6glich<\/p>\nFrage 4: <\/strong>ja, Enable-Mode ist m\u00f6glich<\/p>\nFrage 5: <\/strong>kein Login, da kein User angelegt<\/p>\nFrage 6: <\/strong>Login und enable Mode ist m\u00f6glich<\/p>\nFrage 7: <\/strong>ja, nur PW<\/p>\nFrage 8: <\/strong>Telnet ist nur per Username\/Password erreichbar, Konsole wie bisher.<\/p>\nFrage 11: <\/strong>Login per Telnet ist nicht m\u00f6glich, “admin” funktioniert nicht, im ACS ist eine Fehlermeldung “Authen failed” mit dem Fehler-Code “CS user unknown” zu sehen.<\/p>\nFrage 12: <\/strong>Login geht, enable-Mode ist per enable password m\u00f6glich. Unter “Passed Authentications” ist kein Eintrag vermerkt.<\/p>\nFrage 13: <\/strong>ja, “Authen OK” f\u00fcr den aaauser ist vermerkt.<\/p>\nFrage 14: <\/strong>nein Fehlermeldung “% Authentication failed.” wird ohne Loginaufforderung angezeigt.<\/p>\nFrage 15: <\/strong>Login ist mit dem enable password m\u00f6glich.<\/p>\nFrage 17: <\/strong>Hier wird ebenfalls nach aaauser\/aaapass gefragt, das Default-Verhalten wurde angepasst.<\/p>\nFrage 18: <\/strong>Enable schl\u00e4gt mit Meldung “% Error in authentication.” fehl. Auf dem ACS ist die Fehlermeldung “Authen failed” mit dem Failure-Code “CS password invalid” zu sehen.<\/p>\nFrage 19: <\/strong>Auf Router kommt “% Error in authentication.” Auf dem ACS ist die Meldung “Authen failed” mit Code “T+ enable privilege too low” zu sehen.<\/p>\nFrage 20:<\/strong> Ena-Zugriff funktioniert und ist im Log vermerkt.<\/p>\nFrage 21:<\/strong> Ein Einloggen ist mit dem lokalen enable-Password m\u00f6glich. Beim Wechsel in den priv. Mode gibt es die Fehlermeldung “% Error in authentication.” weil nicht mit dem ACS kommuniziert werden kann.<\/p>\nFrage 22:<\/strong> Jetzt ist der Wechsel in den priv. Mode mit dem lokalen enable password m\u00f6glich.<\/p>\nFrage 23:<\/strong> Ein Login ist nicht m\u00f6glich, die Fehlermeldung “% Authorization failed.” wird angezeigt. Auf dem ACS ist in den Failed Attempts ein “Author failed” mit den Details “Service denied” und “service=shell cmd*” zu sehen.<\/p>\nFrage 24:<\/strong> Login ja, aber noch nicht direkt im ena-Mode.<\/p>\nFrage 25:<\/strong> ja, direkt im enable Mode.<\/p>\nFrage 26:<\/strong> Kein einloggen mit Fehlermeldung “% Authorization failed.”<\/p>\nFrage 27:<\/strong> Login und Wechsel \u00fcber lokales enable password<\/p>\nFrage 30:<\/strong> Login in die Konsole geht ohne User. Beim Wechsel in den enable Mode mu\u00df aber der Benutzer “aaauser” mit den zugeh\u00f6rigen enable password “aaaena” angegeben werden.<\/p>\nFrage 31:<\/strong> Login ohne Password, Wechsel in den enable mit lokalem Password.<\/p>\nFrage 32:<\/strong> keine \u00c4nderung. Auf der Konsole mit dem lokalen Password.<\/p>\n","protected":false},"excerpt":{"rendered":"AAA wird in mehreren Cisco-Kursen angesprochen, aber in so ziemlich keinem Kurs gibt es ein schl\u00fcssiges Beispiel wie es konfiguriert werden k\u00f6nnte.<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"twitterCardType":"","cardImageID":0,"cardImage":"","cardTitle":"","cardDesc":"","cardImageAlt":"","cardPlayer":"","cardPlayerWidth":0,"cardPlayerHeight":0,"cardPlayerStream":"","cardPlayerCodec":"","footnotes":""},"categories":[5,7],"tags":[168,307,358,592],"class_list":["post-87","post","type-post","status-publish","format-standard","hentry","category-cisco","category-cisco-security","tag-csacs","tag-ios","tag-konfiguration","tag-tacacs"],"_links":{"self":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts\/87","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/comments?post=87"}],"version-history":[{"count":0,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts\/87\/revisions"}],"wp:attachment":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/media?parent=87"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/categories?post=87"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/tags?post=87"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
|