Skip to content

Настройка локальной аутентификации и авторизации

Описание и назначение функции

Локальная аутентификация и авторизация позволяют контролировать доступ к управлению коммутатором через встроенную базу данных пользователей без использования внешних серверов RADIUS или TACACS+. Система AAA проверяет учетные данные при подключении через консоль или виртуальные терминалы (VTY), определяет права доступа пользователя и разрешает выполнение команд согласно настроенным политикам.

Основные сценарии использования:

  • Централизованное управление учетными записями на устройстве при отсутствии инфраструктуры AAA-серверов
  • Резервный механизм аутентификации при недоступности внешних серверов
  • Тестовые стенды и лабораторные среды с ограниченным количеством администраторов
  • Критичные сегменты сети, где требуется автономная работа без зависимости от внешних систем

Метод применяется когда достаточно локального хранения учетных данных и отсутствует необходимость в централизованном журналировании доступа.

Необходимые условия и предварительные требования

Для настройки локальной аутентификации и авторизации требуется:

  • Доступ к привилегированному режиму EXEC (Privileged EXEC)
  • Возможность входа в режим глобальной конфигурации (Global Configuration)
  • Версия ПО: v1.0.2 и выше (серия CIT L3200)
  • Планирование учетных записей: имена пользователей, пароли, уровни привилегий
  • Определение методов аутентификации для каждого типа подключения (консоль, VTY)

Примечание: Пароли должны содержать минимум 8 символов и включать буквы в разных регистрах, цифры и специальные символы для обеспечения безопасности.

Назначение команд конфигурации

Команда Режим Назначение
aaa authentication login method <name> local Global config Создает список методов аутентификации с использованием локальной базы данных
aaa authorization method <name> local Global config Создает список методов авторизации для определения прав доступа
username <name> group <group> password <password> Global config Добавляет локального пользователя с указанием группы и пароля
username <name> domain all Global config Разрешает пользователю доступ из любого домена
line console <number> Global config Переход в режим конфигурации консольной линии
line vty <start> <end> Global config Переход в режим конфигурации виртуальных терминальных линий (Telnet/SSH)
login authentication aaa method <name> Line config Применяет список методов аутентификации к линии
login authorization aaa method <name> Line config Применяет список методов авторизации к линии
enable authentication <type> Line config Устанавливает метод аутентификации для повышения привилегий до режима enable

Команды позволяют создать политики доступа и применить их к различным интерфейсам управления коммутатором.

Пример конфигурирования

Пошаговые инструкции

Шаг 1: Вход в режим глобальной конфигурации

SW4>enable
SW4#configure

Переход в режим глобальной конфигурации для создания объектов AAA.

Шаг 2: Создание локальной учетной записи администратора

SW4(config)#username admin_aaa group administrators password Admin123!

Команда создает пользователя admin_aaa с назначением в группу administrators и заданным паролем. Пароль автоматически хешируется и сохраняется в зашифрованном виде.

Шаг 3: Настройка доступа для всех доменов

SW4(config)#username admin_aaa domain all

Разрешает пользователю подключаться независимо от домена, что упрощает доступ в гетерогенных средах.

Шаг 4: Создание списка методов аутентификации

SW4(config)#aaa
SW4(config-aaa)#aaa authentication login method MGMT_LOCAL local

Создается именованный список методов MGMT_LOCAL, использующий локальную базу данных для проверки учетных данных при входе.

Шаг 5: Создание списка методов авторизации

SW4(config-aaa)#aaa authorization method MGMT_LOCAL local
SW4(config-aaa)#exit

Настраивается авторизация с тем же именем для определения прав пользователя после успешной аутентификации.

Шаг 6: Применение методов к виртуальным терминалам

SW4(config)#line vty 1 15
SW4(config-line)#login authentication aaa method MGMT_LOCAL
SW4(config-line)#login authorization aaa method MGMT_LOCAL
SW4(config-line)#exit

Список методов применяется к линиям VTY 1-15 (Telnet/SSH подключения). Без этой настройки созданные политики не будут активны.

Шаг 7: Применение методов к консольному порту

SW4(config)#line console 1
SW4(config-line)#login authentication aaa method MGMT_LOCAL
SW4(config-line)#enable authentication none
SW4(config-line)#exit

Настройка аутентификации для консоли обеспечивает защиту даже при физическом доступе. Параметр enable authentication none отключает дополнительную проверку при переходе в привилегированный режим.

Шаг 8: Завершение конфигурации

SW4(config)#exit
SW4#

Полный вывод выполненных конфигураций

Команды для copy-paste в режиме privileged EXEC:

configure
username admin_aaa group administrators password Admin123!
username admin_aaa domain all
aaa
aaa authentication login method MGMT_LOCAL local
aaa authorization method MGMT_LOCAL local
exit
line vty 1 15
login authentication aaa method MGMT_LOCAL auth-type pap
login authorization aaa method MGMT_LOCAL
enable authentication none
exit
line console 1
login authentication aaa method MGMT_LOCAL auth-type pap
enable authentication none
exit
end

Вывод show running-config:

!
username admin_aaa group administrators password $1$gs5b$dBONi/SQ8H/8ZsQYV0edg/
!
aaa
 aaa authentication login method MGMT_LOCAL local
!
line console 1
 no monitor
 timeout 10 0
 login authentication aaa method MGMT_LOCAL auth-type pap
 enable authentication none
line vty 1 15
 length 24
 no monitor
 timeout 10 0
 login authentication aaa method MGMT_LOCAL auth-type pap
 login authorization aaa method MGMT_LOCAL
 enable authentication none
!

Изучение состояния устройства

Просмотр конфигурации

Проверка активной конфигурации:

SW4#show running-config

Обратите внимание на строки:

- `username <name> group <group> password $1$...` — пользователи с хешированными паролями
  • aaa authentication login method <name> local — активные списки методов аутентификации
  • login authentication aaa method <name> — применение методов к линиям

Просмотр параметров работы

Проверка настроенных методов AAA:

SW4(config)#show aaa method
Method Name                        : MGMT_LOCAL          <---- имя списка методов
  Method Apply Type                : login
  Method Apply Funtion             : authentication
  Method Local                     : enable              <---- используется локальная база
  Method None                      : disable

Просмотр конфигурации AAA:

SW4(config)#show aaa config
Version                             : AAA_VB3.00.00.00
!
aaa
 aaa authentication login method MGMT_LOCAL local       <---- активный метод

Проверка локальных пользователей:

SW4(config)#show user verbose

Команда отображает список созданных учетных записей, их группы и статус.

Рекомендации выполнения команд и настроек

  1. Безопасность учетных данных
    • Используйте сложные пароли длиной минимум 8 символов с комбинацией букв, цифр и спецсимволов
    • Создайте резервного пользователя с полными правами на случай блокировки основной учетной записи
    • Избегайте использования стандартных имен пользователей типа admin, user, test
  2. Применение политик к линиям
    • Всегда настраивайте аутентификацию как для VTY, так и для консольного порта
    • Проверяйте корректность применения методов командой show running-config перед завершением сессии
    • Оставляйте активным одно консольное подключение до полной проверки работоспособности
  3. Тестирование конфигурации
    • Проверьте возможность входа с новыми учетными данными через отдельную сессию до закрытия текущей
    • Убедитесь что метод авторизации не блокирует доступ к критичным командам
    • Протестируйте как успешную аутентификацию, так и отказ с неверными данными

История возникновения команды

Команды в данной главе применимы для:

  • Аппаратных платформ CIT серии L3200 с установленной версией ПО v1.0.2 и выше
  • Являются актуальными с версии ПО v1.0.2

Реализация локальной аутентификации соответствует общепринятым стандартам управления доступом к сетевому оборудованию и совместима с концепциями AAA, описанными в RFC 2865 (RADIUS) и RFC 8907 (TACACS+).

Ссылка на внешнюю документацию

RFC 2865 "Remote Authentication Dial In User Service (RADIUS)" описывает принципы работы систем аутентификации и авторизации. RFC 8907 "The Terminal Access Controller Access-Control System Plus (TACACS+) Protocol" определяет стандарты протокола TACACS+ для AAA-сервисов. При возникновении вопросов обратитесь к технической поддержке.