安全配置命令.docx
- 文档编号:1793669
- 上传时间:2022-10-24
- 格式:DOCX
- 页数:92
- 大小:57.34KB
安全配置命令.docx
《安全配置命令.docx》由会员分享,可在线阅读,更多相关《安全配置命令.docx(92页珍藏版)》请在冰豆网上搜索。
安全配置命令
安全配置命令
第1章AAA配置命令
1.1AAA安全配置命令(授权+认证)
本章描述了用来配置AAA认证方法的命令。
认证在用户被允许访问网络和网络服务之前对他们作出访问权利的鉴定。
如果想得到关于怎样用AAA的方法来配置认证的信息,请查阅“配置认证”。
如果想查阅使用本章中命令进行配置的例子,阅读“配置认证”文档最后的示例部分。
1.1.1aaaauthenticationenabledefault
要开放AAA认证,以确定某个用户是否可以访问特权级别的命令,使用本地配置命令aaaauthenticationenabledefault。
使用该命令的no形式关闭这种认证方法。
aaaauthenticationenabledefaultmethod1[method2...]
noaaaauthenticationenabledefaultmethod1[method2...]
参数
参数
参数说明
method
至少为表1中所给出的关键字之一
缺省
如果没有设置default,则使用enable口令进行认证,与下面的命令具有相同的效果:
aaaauthenticationenabledefaultenable
在配置表中,如果存在enable口令,则使用该口令。
如果没有设置口令,则该过程总返回结果认为认证成功。
命令模式
全局配置态
使用说明
使用aaaauthenticationenabledefault命令创建一系列的认证方法,这些方法用来确定某个用户是否可以使用特权级别的命令。
关键字method在表1中已经作了说明。
只有在前面的认证方法返回错误时,才使用其它的认证方法,如果前面的认证方法返回结果通知认证失败,则不使用其它的认证方法。
若希望即使所有的认证方法都返回失败,认证仍然成功,则可以把none指定为命令行的最后一个认证方法。
另外,如果使用RADIUS或TACACS+方式进行enable认证,使用的用户名不同,使用RADIUS认证时,用户名为$ENABLElevel$,其中level是指用户要进入的特权级别;使用TACACS+认证时,用户名为该用户登录路由器时使用的用户名,相关的具体配置请参照“AAA认证配置”文档中相关章节。
表1:
AAA认证的有效缺省方法
关键字
描述
group
使用服务器组进行认证
group-restrict
使用服务器组进行认证,但当用户指定使用某台服务器后,此服务器组失效
enable
使用enable口令进行认证
line
使用线路口令进行认证
none
认证无条件通过
tacacs+
使用TACACS+进行认证
radius
使用RADIUS进行认证
示例
下面的示例创建一张认证列表,该列表首先尝试与TACACS+服务器联系。
如果没有发现TACACS+服务器或服务器返回错误,AAA尝试使用enable口令。
如果这种尝试也返回错误(由于服务器上没有配置有效的口令),则允许用户不经认证就可以访问服务器。
aaaauthenticationenabledefaulttacacs+enablenone
相关命令
enablepassword
1.1.2aaaauthenticationlogin
要设置在登录时进行AAA认证,使用全局配置命令aaaauthenticationlogin。
使用本命令的no形式关闭AAA认证。
aaaauthenticationlogin{default|list-name}method1[method2...]
noaaaauthenticationlogin{default|list-name}method1[method2...]
参数
参数
参数说明
default
使用跟随在该参数后面所列的认证方法作为用户注册时缺省的方法列表
list-name
用来命名认证方法列表的字符串,用户登录时将激活认证方法列表中所列的方法
method
至少为表2中描述的关键字之一。
缺省
如果没有设置default方式列表,则缺省不进行认证。
此时,它与下面的命令具有同样的效果:
aaaauthenticationlogindefaultnone
命令模式
全局配置态
使用说明
使用aaaauthenticationlogin命令创建的缺省列表或其他命名列表将由命令loginauthentication作用于某一具体线路。
只有前面的方法返回错误时,才使用其它的认证方法,如果前面的认证方法返回失败,则不使用其它的认证方法。
要确保即使所有的方法都返回错误仍能认证成功,可将none指定为该命令行的最后方法。
如果没有给某条线路特别设置认证,缺省时不执行任何认证。
表2:
AAA认证的注册方法
关键字
描述
enable
使用enable口令进行认证
group
使用服务器组进行认证
group-restrict
使用服务器组进行认证,但当用户指定使用某台服务器后,此服务器组失效
line
使用line密码进行认证
local
使用本地用户名数据库进行认证
local-case
使用本地用户名数据库进行认证(用户名区分大小写)
none
不进行认证
radius
使用RADIUS进行认证
tacacs+
使用TACACS+进行认证
示例
下面的示例创建一张名为“TEST”的AAA认证方法列表。
这个认证首先尝试与TACACS+服务器联系。
如果没有发现服务器或TACACS+返回错误,AAA尝试使用enable口令。
如果这种尝试也返回错误(由于路由器上没有配置enable口令),则允许该用户不经认证访问网络。
aaaauthenticationloginTESTtacacs+enablenone
下面的示例创建同样的列表,但设置了缺省列表,如果没有指定其它列表,所有登录认证均使用这个列表:
aaaauthenticationlogindefaulttacacs+enablenone
相关命令
无
1.1.3aaaauthenticationpassword-prompt
要改变向用户提示输入口令时的文本显示,使用全局配置命令aaaauthenticationpassword-prompt。
使用该命令的no形式重新使用缺省的口令提示文本。
aaaauthenticationpassword-prompttext-string
noaaaauthenticationpassword-prompttext-string
参数
参数
参数说明
test-string
向用户提示输入口令时将要显示的文本
缺省
没有用户定义的text-string时,口令提示为“Password:
”。
命令模式
全局配置态
使用说明
使用aaaauthenticationpassword-prompt命令可改变向用户提示输入口令时显示的缺省文字信息。
这条命令不但改变enable口令的口令提示,也改变登录口令的口令提示。
该命令的no形式将口令提示改回到缺省值:
Password:
aaaauthenticationpassword-prompt命令不改变由远程TACACS+或RADIUS服务器提供的任何提示信息。
示例
下面的示例将口令提示修改为“YourPassword:
”:
aaaauthenticationpassword-promptYourPassword:
相关命令
aaaauthenticationusername-prompt
enablepassword
1.1.4aaaauthenticationppp
要指定一种或者多种用于运行PPP的串行接口的AAA认证方法,可以使用全局配置命令aaaauthenticationppp。
使用该命令的no形式关闭认证。
aaaauthenticationppp{default|list-name}method1[method2...]
noaaaauthenticationppp{default|list-name}method1[method2...]
参数
参数
参数说明
default
将跟随在该参数后面所列的认证方法作为用户注册时使用的缺省认证方法;
list-name
用来命名认证方法列表的字符串;
mehod1[method2...]
至少为表3中描述的方法之一。
缺省
如果没有设置default,则检查本地用户数据库进行认证,它与下面的命令具有相同的效果:
aaaauthenticationpppdefaultlocal
命令模式
全局配置态
使用说明
使用aaaauthenticationppp命令创建的缺省列表和命名列表在pppauthentication命令中引用。
这些列表至多能够包含四种认证方法,用户连接到该串行接口时使用这些认证方法。
通过输入aaaauthenticationppplist-namemethod命令来创建列表,其中list-name是用来命名该列表的任何字符串。
参数method指定具体认证方法,认证过程按配置次序使用这些方法。
可以至多输入四种方法。
方法关键字在表3中描述。
只有在前面的方法返回错误时,才使用其它的认证方法,如果前面的方法返回的结果是认证失败,则不再使用其它的认证方法。
在命令行中指定none作为最后的方法,则即使所有的方法均返回错误,仍能认证成功。
表3:
AAA认证的PPP方法
关键字
描述
group
使用服务器组进行认证
group-restrict
使用服务器组进行认证,但当用户指定使用某台服务器后,此服务器组失效
local
使用本地用户名数据库进行认证
local-case
使用本地用户名数据库进行认证(用户名区分大小写)
none
不进行认证
radius
使用RADIUS进行认证
tacacs+
使用TACACS+进行认证
示例
下面的示例为使用PPP的串行线路创建一个名为“TEST”的AAA认证列表。
这种认证首次尝试与TACACS+服务器联系。
如果返回错误,则允许用户不经认证访问网络。
aaaauthenticationpppTESTtacacs+none
相关命令
pppauthentication
1.1.5aaaauthenticationusername-prompt
要改变向用户提示输入用户名时的文本显示,使用全局配置命令aaaauthenticationusername-prompt。
使用该命令的no形式返回到缺省的用户名提示字符串。
aaaauthenticationusername-prompttext-string
noaaaauthenticationusername-prompttext-string
参数
参数
参数说明
text-string
向用户提示输入用户名时将要显示的文本。
缺省
没有用户定义的text-string时,用户名提示字符串为“Username”。
命令模式
全局配置态
使用说明
使用aaaauthenticationusername-prompt命令改变向用户提示输入用户名时显示的提示字符串。
该命令的no形式将用户名提示修改为缺省值:
User
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全 配置 命令