تكوين عملية المصادقة والتفويض والمحاسبة (AAA) الأساسية على خادم وصول

المقدمة

يصف هذا المستند كيفية تكوين عملية المصادقة والتخويل والمحاسبة (AAA) على موجّه Cisco باستخدام بروتوكولات TACACS+‎ أو Radius.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

الاصطلاحات

للحصول على مزيد من المعلومات حول اصطلاحات المستندات، راجع اصطلاحات تلميحات Cisco التقنية.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى السطر الرئيسي من برنامج Cisco IOS® software، الإصدار 12. 

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

يشرح هذا المستند كيفية تكوين المصادقة والتخويل والمحاسبة (AAA) على موجّه Cisco مع بروتوكولات Radius أو TACACS+. والهدف من هذا المستند ليس تغطية جميع ميزات AAA، بل شرح الأوامر الرئيسية وتقديم بعض الأمثلة والإرشادات.

ملاحظة: اقرأ القسم الخاص بتكوين AAA العام قبل المتابعة مع تكوين Cisco IOS. يمكن أن يؤدي الفشل في القيام بذلك إلى حدوث تكوين خاطئ وقفل لاحق.

لمزيدمن المعلومات، ارجع إلى  دليل تكوين المصادقة والتفويض والحساب.

الرسم التخطيطي للشبكة

الرسم التخطيطي للشبكة

تكوين AAA العام

تمكين AAA

لتمكين AAA، تحتاج إلى تكوين الأمر aaa new-model في التكوين العام.

ملاحظة: حتى يتم تمكين هذا الأمر، يتم إخفاء جميع أوامر AAA الأخرى.

تحذير: يطبّق الأمر aaa new-model المصادقة المحلية على الفور على جميع الأسطر والواجهات (باستثناء سطر وحدة التحكم line con 0). إذا تم فتح جلسة telnet على الموجّه بعد تمكين هذا الأمر (أو إذا انتهت مهلة الاتصال وكان لا بد من إعادة الاتصال)، فيجب أن تتم مصادقة المستخدم من خلال قاعدة البيانات المحلية للموجّه. يُوصى بتحديد اسم مستخدم وكلمة مرور على خادم الوصول قبل بدء تكوين AAA، حتى لا يتم إغلاقك من الموجّه. راجع مثال الرمز التالي.

Router(config)#username xxx password yyy 

تلميح: قبل تكوين أوامر AAA، save  يكون التكوين الخاص بك. يمكنك save  إجراء التكوين مرة أخرى فقط بعد إكمال تكوين AAA الخاص بك (ويكون راضيا عن عمله بشكل صحيح). يتيح لك ذلك الاسترداد من حالات الإغلاق غير المتوقعة حيث يمكنك التراجع عن أي تغيير مع إعادة تحميل الموجّه.

تحديد خادم AAA الخارجي

في التكوين العام، حدد بروتوكول الأمان المُستخدم مع ‪AAA (Radius ،TACACS +)‬. إذا كنت لا ترغب في استخدام أي من هذين البروتوكولين، فيمكنك استخدام قاعدة البيانات المحلية على الموجّه.

إذا كنت تستخدم TACACS +، فاستخدم الأمر tacacs-server host <IP address of the AAA server> <key> .

إذا كنت تستخدم Radius، فاستخدم الأمر radius-server host <IP address of the AAA server> <key> .

تكوين خادم AAA

على خادم AAA، كوّن المعلّمات التالية:

• اسم خادم الوصول.

• عنوان IP الذي يستخدمه خادم الوصول للاتصال بخادم AAA.

  ملاحظة: إذا كان كلا الجهازين على نفس شبكة Ethernet، فسيستخدم خادم الوصول عنوان IP المحدد على واجهة Ethernet عندما يرسل حِزمة AAA. وتكون هذه المشكلة مهمة عندما يكون للموجّه واجهات متعددة (ومن ثمَّ عناوين متعددة).

• نفس المفتاح <key> تمامًا الذي تم تكوينه في خادم الوصول.

  ملاحظة: المفتاح حساس لحالة الأحرف.

• البروتوكول المُستخدم بواسطة خادم الوصول (TACACS + أو Radius).

ارجع إلى وثائق خادم AAA لديك لمعرفة الإجراء الدقيق المُستخدم لتكوين المعلّمات السابقة. إذا لم يتم تكوين خادم AAA بشكل صحيح، فيمكن أن يتم تجاهل طلبات AAA من NAS بواسطة خادم AAA ويمكن أن يفشل الاتصال.

يجب أن يكون خادم AAA قابلاً للوصول إليه من خادم الوصول (قم بإجراء اختبار ping للتحقق من الاتصال).

تكوين المصادقة

تتحقق المصادقة من المستخدمين قبل السماح لهم بالوصول إلى الشبكة وخدمات الشبكة (التي يتم التحقق منها بالتفويض).

لتكوين مصادقة AAA:

1. حدد أولاً قائمة مُسماة بأساليب المصادقة (في وضع التكوين العام).

2. طبّق هذه القائمة على واجهة واحدة أو أكثر (في وضع تكوين الواجهة).

الاستثناء الوحيد هو قائمة الطرق الافتراضية (والتي تحمل اسم default. يتم تطبيق قائمة الطرق الافتراضية تلقائيًا على جميع الواجهات باستثناء تلك التي تحتوي على قائمة طرق مسماة محددة بشكل صريح. تتجاوز قائمة الطرق المحددة قائمة الطرق الافتراضية.

تستخدم أمثلة المصادقة هذه مصادقة Radius وتسجيل الدخول وبروتوكول نقطة إلى نقطة (PPP) لشرح مفاهيم مثل الأساليب والقوائم المسماة. في جميع الأمثلة، يمكن استبدال TACACS + بـ Radius أو المصادقة المحلية.

يستخدم برنامج Cisco IOS الطريقة الأولى المُدرجة لمصادقة المستخدمين. إذا فشلت هذه الطريقة في الاستجابة (المُشار إليها بواسطة خطأ)، فسيقوم برنامج Cisco IOS بتحديد طريقة المصادقة التالية المُدرجة في قائمة الطرق. تستمر هذه العملية حتى يتم إجراء اتصال ناجح باستخدام طريقة مصادقة مُدرجة، أو يتم استنفاد جميع الطرق المحددة في قائمة الطرق.

من المهم ملاحظة أن برنامج Cisco IOS يحاول المصادقة باستخدام طريقة المصادقة المُدرجة التالية فقط في حالة عدم وجود استجابة من الطريقة السابقة. إذا فشلت المصادقة في أي وقت في هذه الدورة، أي إذا كان خادم AAA أو استجابات قاعدة بيانات اسم المستخدم المحلية ترفض وصول المستخدم (يُشار ذلك إليه باسم FAIL)، فستتوقف عملية المصادقة، ولا تتم محاولة أي طرق مصادقة أخرى.

للسماح بمصادقة مستخدم، يجب عليك تكوين اسم المستخدم وكلمة المرور على خادم AAA.

مصادقة تسجيل الدخول

يمكنك استخدام الأمر aaa authentication login لمصادقة المستخدمين الذين يريدون الوصول إلى خادم الوصول (tty وvty ووحدة التحكم والمنفذ المساعد).

المثال 1: الوصول إلى Exec باستخدام Radius ثم Local

Router(config)#aaa authentication login default group radius local

في الأمر السابق:

• القائمة المسماة هي القائمة الافتراضية (الافتراضية).

• هناك طريقتان للمصادقة (radius المجموعة والمحلية).

تتم مصادقة جميع المستخدمين باستخدام خادم Radius (الطريقة الأولى). إذا لم يستجب خادم Radius، فسيتم استخدام قاعدة البيانات المحلية للموجّه (الطريقة الثانية). للمصادقة المحلية، حدد اسم المستخدم وكلمة المرور:

Router(config)#username xxx password yyy

نظرًا لاستخدام القائمة الافتراضية في الأمر aaa authentication login ، يتم تطبيق مصادقة تسجيل الدخول تلقائيًا على جميع اتصالات تسجيل الدخول (مثل tty وvty ووحدة التحكم والمنفذ المساعد).

ملاحظة: لا يمكن للخادم (Radius أو TACACS+) الرد على طلب مصادقة aaa الذي أرسله خادم الوصول إذا لم يكن هناك اتصال IP، أو إذا لم يتم تعريف خادم الوصول بشكل صحيح على خادم AAA أو لم يتم تعريف خادم AAA بشكل صحيح على خادم الوصول.

ملاحظة: إذا كنت تستخدم المثال السابق، بدون الكلمة الأساسية local ، فإن النتيجة هي:

Router(config)#aaa authentication login default group radius 

ملاحظة: إذا لم يرد خادم AAA على طلب المصادقة، فستفشل المصادقة (نظرًا لأن الموجّه ليس لديه طريقة بديلة للمحاولة).

ملاحظة: توفر الكلمة الأساسية group طريقة لتجميع مضيفي الخادم الحاليين. تتيح الميزة للمستخدم تحديد مجموعة فرعية من مضيفي الخادم الذين تم تكوينهم واستخدامهم لخدمة معينة. 

المثال 2: يتم استخدام الوصول إلى وحدة التحكم مع كلمة مرور السطر

وسّع التكوين من المثال 1 بحيث تتم مصادقة تسجيل الدخول إلى وحدة التحكم فقط بواسطة كلمة المرور المعينة على السطر con 0.

يتم تعريف قائمة CONSOLE ثم تطبيقها على السطر con 0.

التكوين:

Router(config)#aaa authentication login CONSOLE line 

في الأمر السابق:

• القائمة المسماة هي CONSOLE.

• لا يوجد سوى أسلوب مصادقة واحد (سطر).

عند إنشاء قائمة مسماة (في هذا المثال، CONSOLE)، يجب تطبيقها على سطر أو واجهة قبل تنفيذها. ويتم القيام بذلك باستخدام login authentication الأمر:

Router(config)#line con 0 
Router(config-line)#exec-timeout 0 0 
Router(config-line)#password cisco 
Router(config-line)#login authentication CONSOLE 

تتجاوز قائمة CONSOLE قائمة الطرق الافتراضية default على con 0. بعد هذا التكوين على السطر con 0، تحتاج إلى إدخال كلمة مرور cisco  للحصول على وصول إلى وحدة التحكم. ما تزال القائمة الافتراضية تُستخدم في tty وvty والمنفذ المساعد.

ملاحظة: للمصادقة على الوصول إلى وحدة التحكم من خلال اسم مستخدم وكلمة مرور محليين، استخدم المثال التالي من الرمز:

Router(config)#aaa authentication login CONSOLE local 

في هذه الحالة، يجب تكوين اسم مستخدم وكلمة مرور في قاعدة البيانات المحلية للموجّه. يجب تطبيق القائمة أيضًا على الخط أو الواجهة.

ملاحظة: لعدم وجود مصادقة، استخدم مثال الرمز التالي:

Router(config)#aaa authentication login CONSOLE none 

في هذه الحالة، لا توجد مصادقة للوصول إلى وحدة التحكم. يجب تطبيق القائمة أيضًا على الخط أو الواجهة.

المثال 3: تمكين الوصول إلى الوضع المُستخدم مع خادم AAA الخارجي

يمكنك إصدار مصادقة للحصول على تمكين الوضع (الامتياز 15).

التكوين:

Router(config)#aaa authentication enable default group radius enable 

يمكن طلب كلمة المرور فقط، اسم المستخدم هو $enab15$. ومن ثم يجب تحديد اسم المستخدم $enab15$ على خادم AAA.

إذا لم يرد خادم Radius، فقد يلزم إدخال كلمة مرور التمكين التي تم تكوينها محليًا على الموجّه.

مصادقة PPP

يتم استخدام الأمر aaa authentication ppp لمصادقة اتصال PPP. يتم استخدامه عادةً لمصادقة ISDN أو المستخدمين البعيدين التناظريين الذين يرغبون في الوصول إلى الإنترنت أو المكتب المركزي من خلال خادم الوصول.

المثال 1: طريقة مصادقة PPP فردية لجميع المستخدمين

يحتوي خادم الوصول على واجهة ISDN التي تم تكوينها لقبول عملاء الاتصال الهاتفي PPP. نحن نستخدم dialer rotary-group 0، ولكن يمكن إجراء التكوين على الواجهة الرئيسية أو واجهة ملف تعريف المتصل.

التكوين:

Router(config)#aaa authentication ppp default group radius local

يقوم هذا الأمر بمصادقة جميع مستخدمي PPP باستخدام Radius. إذا لم يستجب خادم Radius، فسيتم استخدام قاعدة البيانات المحلية.

المثال 2: يتم استخدام مصادقة PPP مع قائمة محددة

لاستخدام قائمة مسماة بدلاً من القائمة الافتراضية، كوّن هذه الأوامر:

Router(config)#aaa authentication ppp ISDN_USER group radius  
     
Router(config)#interface dialer 0 
Router(config-if)#ppp authentication chap ISDN_USER

في هذا المثال، القائمة هي ISDN_USER والطريقة هي Radius.

المثال 3: تم إطلاق بروتوكول PPP من داخل جلسة وضع الأحرف

يحتوي خادم الوصول على بطاقة مودم داخلية (Mica أو Microcom أو Next Port). افترض أنه تم تكوين الأمرين aaa authentication login و aaa authentication ppp .

إذا قام مستخدم المودم أولاً بالوصول إلى الموجّه من خلال جلسة exec لوضع الأحرف (على سبيل المثال، باستخدام نافذه المحطة الطرفية بعد الطلب الهاتفي)، فستتم مصادقة المستخدم على سطر tty. للتشغيل في جلسة وضع الحِزمة، يجب على المستخدمين كتابة ppp default أو ppp. نظرًا لتكوين مصادقة PPP بشكل صريح (باستخدام aaa authentication ppp )، تتم مصادقة المستخدم على مستوى PPP مرة أخرى.

لتجنب هذه المصادقة الثانية، استخدم الكلمة الأساسية if-needed :

Router(config)#aaa authentication login default group radius local 
Router(config)#aaa authentication ppp default group radius local if-needed

ملاحظة: إذا بدأ العميل جلسة PPP مباشرةً، فسيتم إجراء مصادقة PPP مباشرةً حيث لا يوجد سجل في الوصول إلى خادم الوصول.

تكوين التفويض

التفويض هو العملية التي يمكنك من خلالها التحكم في ما يمكن للمستخدم القيام به.

يحتوي تفويض AAA على نفس قواعد المصادقة:

1. حدّد أولاً قائمة بأساليب التفويض.

2. ثم طبّق تلك القائمة على واجهة واحدة أو أكثر (باستثناء قائمة الطرق الافتراضية).

3. يتم استخدام الطريقة الأولى المُدرجة. وإذا فشلت في الاستجابة، فسيتم استخدام الثانية، وهكذا.

تكون قوائم الطرق خاصة بنوع التفويض المطلوب. يركّز هذا المستند على أنواع تفويض الشبكة وExec.

لمزيد من المعلومات حول الأنواع الأخرى من التفويض، يُرجى الرجوع إلى  دليل تكوين أمان IOS من Cisco .

التفويض التنفيذي

يحدد الأمر aaa authorization exec ما إذا كان المستخدم مسموحًا له بتشغيل واجهة نصية من EXEC. يمكن لهذه الأداة إرجاع معلومات ملف تعريف المستخدم مثل معلومات الأمر التلقائي، ومهلة الخمول، ومهلة الجلسة، وقائمة الوصول والامتيازات والعوامل الأخرى لكل مستخدم.

لا يتم تنفيذ تفويض Exec إلا عبر أسطر vty وtty.

يستخدم المثال التالي Radius.

المثال 1: نفس أساليب مصادقة Exec لجميع المستخدمين

عندما تتم مصادقتها باستخدام:

Router(config)#aaa authentication login default group radius local 

يجب أن يتم تفويض جميع المستخدمين الذين يرغبون في تسجيل الدخول إلى خادم الوصول باستخدام Radius (الطريقة الأولى) أو قاعدة البيانات المحلية (الطريقة الثانية).

التكوين:

Router(config)#aaa authorization exec default group radius local 

ملاحظة: على خادم AAA، يجب تحديد نوع الخدمة =1 (تسجيل الدخول).

ملاحظة: باستخدام هذا المثال، إذا لم يتم تضمين الكلمة الأساسية local وخادم AAA لا يستجيب، وبالتالي، فإن التفويض غير ممكن، ويمكن أن يفشل الاتصال.

ملاحظة: في المثالين التاليين 2 و3، لا يتعين عليك إضافة أي أمر على الموجّه. ما عليك سوى تكوين ملف التعريف على خادم الوصول.

المثال 2: تعيين مستويات امتياز Exec من خادم AAA

استنادًا إلى المثال 1، كوّن زوج Cisco AV التالي على خادم AAA بحيث يمكن للمستخدم تسجيل الدخول إلى خادم الوصول والدخول إلى وضع التمكين مباشرة:

shell:priv-lvl=15

يمكن للمستخدم الآن الانتقال مباشرة إلى وضع التمكين.

ملاحظة: إذا فشلت الطريقة الأولى في الاستجابة، فسيتم استخدام قاعدة البيانات المحلية. ومع ذلك، لا يمكن للمستخدم الانتقال مباشرة إلى وضع التمكين، ولكن يتعين عليه إدخال الأمر enable وتوفير كلمة المرور enable .

المثال 3: تعيين مهلة الخمول من خادم AAA

لتكوين مهلة خمول (بحيث يتم فصل الجلسة في حالة عدم وجود حركة مرور بعد انتهاء مهلة الخمول)، استخدم سمة IETF Radius 28: مهلة الخمول ضمن ملف تعريف المستخدم.

تفويض الشبكة

يقومaaa authorization networkالأمر بتشغيل التفويض لجميع طلبات الخدمات المتعلقة بالشبكة مثل PPP و SLIP و ARAP. يركّز هذا القسم على PPP، وهو الأكثر استخدامًا.

يتحقق خادم AAA مما إذا كانت جلسة PPP مسموحًا بها بواسطة العميل. علاوة على ذلك، يمكن للعميل طلب خيارات PPP: طلب إعادة الاتصال والضغط وعنوان IP وما إلى ذلك. يجب تكوين هذه الخيارات في ملف تعريف المستخدم على خادم AAA. علاوة على ذلك، بالنسبة لعميل معين، يمكن أن يحتوي ملف تعريف AAA على مهلة الخمول وقائمة الوصول والسمات الأخرى لكل مستخدم والتي يمكن تنزيلها بواسطة برنامج Cisco IOS وتطبيقها على هذا العميل.

تعرض الأمثلة التالية التفويض باستخدام Radius.

المثال 1: نفس أساليب تفويض الشبكة لجميع المستخدمين

يتم استخدام خادم الوصول لقبول اتصالات الطلب الهاتفي PPP.

تتم مصادقة المستخدمين (كما تم تكوينها مسبقًا) باستخدام:

Router(config)#aaa authentication ppp default group radius local 

استخدم الأمر التالي لتفويض المستخدمين:

Router(config)#aaa authorization network default group radius local 

ملاحظة: على خادم AAA، كوّن: Service-Type=7 (مؤطر) وFramed-Protocol=PPP.

المثال 2: تطبيق السمات الخاصة بالمستخدم

يمكنك استخدام خادم AAA لتعيين سمات لكل مستخدم مثل عنوان IP أو رقم إعادة الاتصال أو قيمة مهلة خمول المتصل أو قائمة الوصول وما إلى ذلك. في مثل هذا التنفيذ، يقوم خادم الوصول إلى الشبكة (NAS) بتنزيل السمات المناسبة من ملف تعريف مستخدم خادم AAA.

المثال 3: تفويض PPP مع قائمة محددة

على غرار المصادقة، كوّن اسم قائمة بدلاً من اسم افتراضي:

Router(config)#aaa authorization network ISDN_USER group radius local

ثم طبّق هذه القائمة على الواجهة:

  Router(config)#interface dialer 0 
  Router(config-if)#ppp authorization ISDN_USER 

تكوين المحاسبة

تمكنك ميزة محاسبة AAA من تعقب الخدمات التي يصل إليها المستخدمون ومقدار موارد الشبكة التي يستهلكونها.

محاسبة AAA لها نفس قواعد المصادقة والتفويض:

1. يجب عليك أولاً تحديد قائمة مسماة بأساليب المحاسبة.

2. ثم طبّق تلك القائمة على واجهة واحدة أو أكثر (باستثناء قائمة الطرق الافتراضية).

3. يتم استخدام الطريقة الأولى المُدرجة، إذا فشلت في الاستجابة، يتم استخدام الطريقة الثانية وما إلى ذلك.

• توفر محاسبة الشبكة معلومات لجميع جلسات بروتوكول الوصول عن بُعد (PPP) وSlip وAppleTalk (ARAP): عدد الحِزم، وعدد الثماني، ووقت الجلسة، ووقت البدء والإيقاف.

• توفر محاسبة Exec معلومات حول جلسات EXEC الطرفية للمستخدم (جلسة telnet على سبيل المثال) لخادم الوصول إلى الشبكة: وقت الجلسة ووقت البدء والإيقاف.

تركّز الأمثلة التالية على كيفية إرسال المعلومات إلى خادم AAA.

أمثلة تكوين المحاسبة

المثال 1: إنشاء سجلات بدء المحاسبة وإيقافها

بالنسبة لكل جلسة اتصال هاتفي PPP، يتم إرسال معلومات المحاسبة إلى خادم AAA بمجرد مصادقة العميل وبعد قطع الاتصال بالكلمة الأساسية start-stop.

Router(config)#aaa accounting network default start-stop group radius local 

المثال 2: إنشاء سجلات إيقاف المحاسبة فقط

إذا كان يجب إرسال معلومات المحاسبة فقط بعد فصل اتصال العميل، فاستخدم الكلمة الأساسية stop وكوّن السطر التالي:

Router(config)#aaa accounting network default stop group radius local

المثال 3:  إنشاء سجلات الموارد لحالات فشل التفاوض والمصادقة

حتى هذه المرحلة، توفر محاسبة AAA دعم بدء التسجيل وإيقافه للمكالمات التي اجتازت مصادقة المستخدم.

إذا فشلت المصادقة أو تفاوض PPP، فلا يوجد سجل للمصادقة.

يكمن الحل في استخدام محاسبة توقف موارد AAA:

Router(config)#aaa accounting send stop-record authentication failure 

يتم إرسال سجل الإيقاف إلى خادم AAA.

المثال 4: تمكين محاسبة الموارد الكاملة

لتمكين محاسبة الموارد الكاملة، والتي تقوم بإنشاء سجل بدء عند إعداد المكالمة وسجل إيقاف عند إنهاء المكالمة، كوّن:

Router(config)#aaa accounting resource start-stop 

تم تقديم هذا الأمر في برنامج Cisco IOS، الإصدار 12.1(3)T.

باستخدام هذا الأمر، يتتبع إعداد المكالمة وسجل محاسبة بدء المكالمة وإيقافها تقدم اتصال المورد بالجهاز. يتتبع سجل محاسبة البدء والإيقاف المنفصل لمصادقة المستخدم تقدم إدارة المستخدم. ترتبط هاتان المجموعتان من سجلات المحاسبة بمعرّف جلسة فريد للمكالمة.

معلومات ذات صلة

• الدعم الفني والتنزيلات من Cisco