Tischplattenbeißpotential:
1. Lokale Authentifizierung
a) Einen Nutzer in der lokalen Datenbank des Routers anlegen. Name "Admin1" und <<secret>> Passwort "admin1pa55"
Hier fangen die Merkwürdigkeiten schon an: als richtig gewertet wird nur:
R1(config)#user Admin1 secret 5 admin1pa55 - nicht etwa secret 0 admin1pa55 oder nur secret admin1pa55
Die Parameter bedeuten:
0 Specifies an UNENCRYPTED secret will follow
5 Specifies a HIDDEN secret will follow
LINE The UNENCRYPTED (cleartext) user secret
Allerdings funktioniert das spätere Einloggen mit dem Passwort admin1pa55 - verschlüsselt als $1$mERr$yqLDyfDDWkZGJ9y568Vjq0 oder im Klartext - nicht mehr, wenn der Parameter 5 gewählt wurde (Packet Tracer 5.3.1.0044).
Ein Trick, wie man sich dennoch einloggen kann, ist: Einfach im Config-Tab neben dem Kommandozeilen-Tab eine Konfigurationsoption wählen, zum Beispiel auf ein Interface klicken und dann wieder auf die Kommandozeile wechseln. Die Passwortabfrage wurde übersprungen und man ist im Konfigurationsmodus.
b) AAA aktivieren (default method list)
R1(config)#aaa new-model
R1(config)#aaa authentication login default local
c) Die Authentifizierungsmethode am Console-Zugang anbringen:
R1(config)#line con 0
R1(config-line)#login authentication default
d) Das gleiche für vty, aber hier wird die Liste TELNET-LOGIN genannt
R1(config)#aaa authentication login TELNET-LOGIN local
R1(config)#line vty 0 4
R1(config-line)#login authentication TELNET-LOGIN
2. Server-Based AAA Authentication Using TACACS+
a) Für den Fall, dass der TACACS+-Server nicht erreichbar ist, wird auch hier eine lokale Datenbank angelegt und später eine Backup-Methode konfiguriert.
R2(config)#user Admin secret 5 adminpa55
b) Den TACACS+-Server konfigurieren
R2(config)#tacacs-server host 192.168.2.2
R2(config)#tacacs-server key tacacspa55
-> Das Passwort stammt aus dem Config-Tab des TACACS+-Servers
c) AAA aktivieren
R2(config)#aaa new-model
R2(config)#aaa authentication login default group tacacs+ local
-> erste Authentifizierungsmethode ist über tacacs+, die zweite (backup) Methode ist die lokale Datenbank
R2(config)#line con 0
R2(config-line)#login authentication default
-> auch hier muss die Liste angebracht werden um dem Router zu sagen, wo die Authentifizierungsregeln definiert sind
3. Serverseitige Authentifizierung mit RADIUS
-> funktioniert praktisch genau so wie mit TACACS+, aber das Kommando für Radius ist
R3(config)#radius-server ...
1. Lokale Authentifizierung
a) Einen Nutzer in der lokalen Datenbank des Routers anlegen. Name "Admin1" und <<secret>> Passwort "admin1pa55"
Hier fangen die Merkwürdigkeiten schon an: als richtig gewertet wird nur:
R1(config)#user Admin1 secret 5 admin1pa55 - nicht etwa secret 0 admin1pa55 oder nur secret admin1pa55
Die Parameter bedeuten:
0 Specifies an UNENCRYPTED secret will follow
5 Specifies a HIDDEN secret will follow
LINE The UNENCRYPTED (cleartext) user secret
Allerdings funktioniert das spätere Einloggen mit dem Passwort admin1pa55 - verschlüsselt als $1$mERr$yqLDyfDDWkZGJ9y568Vjq0 oder im Klartext - nicht mehr, wenn der Parameter 5 gewählt wurde (Packet Tracer 5.3.1.0044).
Ein Trick, wie man sich dennoch einloggen kann, ist: Einfach im Config-Tab neben dem Kommandozeilen-Tab eine Konfigurationsoption wählen, zum Beispiel auf ein Interface klicken und dann wieder auf die Kommandozeile wechseln. Die Passwortabfrage wurde übersprungen und man ist im Konfigurationsmodus.
b) AAA aktivieren (default method list)
R1(config)#aaa new-model
R1(config)#aaa authentication login default local
c) Die Authentifizierungsmethode am Console-Zugang anbringen:
R1(config)#line con 0
R1(config-line)#login authentication default
d) Das gleiche für vty, aber hier wird die Liste TELNET-LOGIN genannt
R1(config)#aaa authentication login TELNET-LOGIN local
R1(config)#line vty 0 4
R1(config-line)#login authentication TELNET-LOGIN
2. Server-Based AAA Authentication Using TACACS+
a) Für den Fall, dass der TACACS+-Server nicht erreichbar ist, wird auch hier eine lokale Datenbank angelegt und später eine Backup-Methode konfiguriert.
R2(config)#user Admin secret 5 adminpa55
b) Den TACACS+-Server konfigurieren
R2(config)#tacacs-server host 192.168.2.2
R2(config)#tacacs-server key tacacspa55
-> Das Passwort stammt aus dem Config-Tab des TACACS+-Servers
c) AAA aktivieren
R2(config)#aaa new-model
R2(config)#aaa authentication login default group tacacs+ local
-> erste Authentifizierungsmethode ist über tacacs+, die zweite (backup) Methode ist die lokale Datenbank
R2(config)#line con 0
R2(config-line)#login authentication default
-> auch hier muss die Liste angebracht werden um dem Router zu sagen, wo die Authentifizierungsregeln definiert sind
3. Serverseitige Authentifizierung mit RADIUS
-> funktioniert praktisch genau so wie mit TACACS+, aber das Kommando für Radius ist
R3(config)#radius-server ...
Keine Kommentare:
Kommentar veröffentlichen