PIX、TACACS+和RADIUS示例配置：4.2.x

簡介

可以對FTP、Telnet和HTTP連線執行RADIUS和TACACS+身份驗證。支援TACACS+授權；不支援RADIUS授權。

在PIX軟體4.2.2中，身份驗證的語法略有變化。本檔案使用軟體版本4.2.2的語法。

必要條件

需求

本文件沒有特定需求。

採用元件

本文件所述內容不限於特定軟體和硬體版本。

網路圖表

此文件使用以下網路設定：

pix2# write terminal
Building configuration
: Saved
:
PIX Version 4.2(2)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd OnTrBUG1Tp0edmkr encrypted
hostname pix2
fixup protocol http 80
fixup protocol smtp 25
no fixup protocol ftp 21
no fixup protocol h323 1720
no fixup protocol rsh 514
no fixup protocol sqlnet 1521
no failover
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address  0.0.0.0
names
pager lines 24
logging console debugging
no logging monitor
logging buffered debugging
logging trap debugging
logging facility 20
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto
ip address outside 9.9.9.12 255.255.255.0
ip address inside 171.68.118.103 255.255.255.0
ip address  0.0.0.0 0.0.0.0
arp timeout 14400
global (outside) 1 9.9.9.1-9.9.9.9 netmask 255.0.0.0
static (inside,outside) 9.9.9.10 171.68.118.100 netmask 255.255.255.255 0 0
conduit permit icmp any any 
conduit permit tcp host 9.9.9.10 eq telnet any 
no rip outside passive
no rip outside default
no rip inside passive
no rip inside default
timeout xlate 3:00:00 conn 1:00:00 udp 0:02:00
timeout rpc 0:10:00 h323 0:05:00
timeout uauth 0:00:00 absolute
!

!--- The next entry depends on whether TACACS+ or RADIUS is used.

!
tacacs-server (inside) host 171.68.118.101 cisco timeout 5
radius-server (inside) host 171.68.118.101 cisco timeout 10
!

!--- The focus of concern is with hosts on the inside network !--- accessing a particular outside host.

!
aaa authentication any outbound 171.68.118.0 255.255.255.0 9.9.9.11
   255.255.255.255 tacacs+|radius
!

!--- It is possible to be less granular and authenticate !--- all outbound FTP, HTTP, Telnet traffic with:

aaa authentication ftp outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 
   tacacs+|radius
aaa authentication http outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
   tacacs+|radius
aaa authentication telnet outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
   tacacs+|radius
!

!--- Accounting records are sent for !--- successful authentications to the TACACS+ or RADIUS server.

!
aaa accounting any outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tacacs+|radius
!
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
telnet 171.68.118.100 255.255.255.255
mtu outside 1500
mtu inside 1500
mtu  1500
Smallest mtu: 1500
floodguard 0
tcpchecksum silent
Cryptochecksum:be28c9827e13baf89a937c617cfe6da0
: end
[OK]

慣例

如需文件慣例的詳細資訊，請參閱思科技術提示慣例。

身份驗證與授權

• 身份驗證是用戶的身份。

• 授權是使用者可做的事情。

• 驗證在未經授權的情況下有效。

• 沒有驗證，授權無效。

例如，假定您內部有100個使用者，並且您只希望其中六個使用者能夠在網路外部執行FTP、Telnet或HTTP。告知PIX對出站流量進行身份驗證，並為TACACS+/RADIUS安全伺服器上的所有六個使用者ID提供標識。使用簡單身份驗證時，可以使用使用者名稱和密碼對這六個使用者進行身份驗證，然後退出。其他94個使用者不能外出。PIX提示使用者輸入使用者名稱/密碼，然後將其使用者名稱和密碼傳遞到TACACS+/RADIUS安全伺服器。此外，根據響應的不同，它會打開或拒絕連線。這六個使用者可以執行FTP、Telnet或HTTP。

但是，假設這三個使用者中的一個「Terry」不可信。您希望允許Terry執行FTP，但不允許HTTP或Telnet到外部。這意味著您需要增加授權。也就是說，除了驗證使用者身份之外，還要授權使用者能做什麼。當您向PIX增加授權時，PIX首先將Terry的使用者名稱和密碼傳送到安全伺服器，然後傳送授權請求，告知安全伺服器Terry嘗試執行哪些「命令」。正確設定伺服器後，可允許Terry使用「FTP 1.2.3.4」，但無法在任何地方使用「HTTP」或「Telnet」。

使用者透過身份驗證/授權看到的內容

當您嘗試從內部到外部（反之亦然）並且身份驗證/授權打開時：

• Telnet -使用者為密碼看到使用者名稱提示顯示，跟隨著的是對密碼的請求。如果在PIX/伺服器上成功進行身份驗證（和授權），目標主機將提示使用者輸入使用者名稱和密碼。

• FTP -使用者看到使用者名稱提示出現。使用者必須輸入「local_username@remote_username」做為使用者名稱，輸入「local_password@remote_password」做為密碼。PIX將「local_username」和「local_password」傳送到本地安全伺服器，如果PIX/伺服器上的身份驗證（和授權）成功，則「remote_username」和「remote_password」將傳遞到目標FTP伺服器。

• HTTP -瀏覽器中將顯示一個請求使用者名稱和口令的窗口。如果身份驗證（和授權）成功，使用者將到達目的網站以外的位置。請記住，瀏覽器會快取使用者名稱和口令。如果PIX似乎應該使HTTP連線超時，但實際上並未這樣做，則可能是由於瀏覽器向PIX「拍攝」快取的使用者名稱和密碼而發生了重新身份驗證。然後轉送到驗證伺服器。PIX系統日誌和/或伺服器調試顯示了這一現象。如果Telnet和FTP似乎正常工作，但HTTP連線不正常工作，這就是原因。

用於所有方案的伺服器配置

在TACACS+伺服器組態範例中，如果只開啟驗證，使用者「all」、「telnetonly」、「httponly」和「ftponly」都會正常運作。在RADIUS伺服器組態範例中，使用者「all」正常運作。

向PIX增加授權後，PIX除了向TACACS+身份驗證伺服器傳送使用者名稱和口令外，還會向TACACS+伺服器傳送命令（Telnet、HTTP或FTP）。然後，TACACS+伺服器檢查該使用者是否獲得該命令的授權。

在後面的示例中，171.68.118.100處的使用者發出命令telnet 9.9.9.11。在PIX收到此資訊後，PIX會將使用者名稱、口令和命令傳遞給TACACS+伺服器進行處理。

因此，如果除身份驗證之外還啟用了授權，使用者「telnet only」可以透過PIX執行Telnet操作。但是，使用者「httponly」和「ftponly」不能透過PIX執行Telnet操作。

（同樣地，由於通訊協定規格的性質，RADIUS不支援授權）。

Cisco Secure UNIX TACACS+伺服器配置

Cisco Secure 2.x

• 此處顯示使用者標準。

• 將PIX IP地址或完全限定域名和金鑰增加到CSU.cfg。

  user = all {
  password = clear "all"
  default service = permit
  }
  
  user = telnetonly {
  password = clear "telnetonly"
  service = shell {
  cmd = telnet {
  permit .*
  }
  }
  }
  
  user = ftponly {
  password = clear "ftponly"
  service = shell {
  cmd = ftp {
  permit .*
  }
  }
  }
  
  user = httponly {
  password = clear "httponly"
  service = shell {
  cmd = http {
  permit .*
  }
  }
  }

Cisco Secure UNIX RADIUS伺服器配置

使用高級圖形使用者介面(GUI)將PIX IP和金鑰增加到網路訪問伺服器(NAS)清單。此時將顯示使用者stanza，如下所示：

all Password="all"
User-Service-Type = Shell-User

Cisco Secure NT 2.x RADIUS

CiscoSecure 2.1線上版和Web文檔的「示例配置」部分介紹了設定；屬性6（服務型別）為「登入」或「管理」。

使用GUI在NAS配置部分增加PIX的IP。

EasyACS TACACS+

EasyACS文檔提供了設定資訊。

1. 在group部分中，按一下Shell exec（授予exec許可權）。

2. 要在PIX上增加授權，請在組建立的底層按一下Deny unmatched IOS命令。

3. 針對您要允許的每個命令（例如Telnet），選擇Add/Edit。

4. 如果要允許Telnet到特定站點，請在引數部分輸入IP。要允許Telnet到所有站點，請點選允許所有未列出的引數。

5. 編輯指令的按一下完成。

6. 對每個允許的命令（例如Telnet、HTTP和/或FTP）執行步驟1到步驟5。

7. 使用GUI在NAS配置部分增加PIX的IP。

Cisco安全NT 2.x TACACS+

Cisco Secure 2.x文檔提供了設定資訊。

1. 在group部分中，按一下Shell exec（授予exec許可權）。

2. 要在PIX上增加授權，請在組建立的底層按一下Deny unmatched IOS命令。

3. 選中底部的command覈取方塊並輸入您要允許的命令（例如Telnet）。

4. 如果要允許Telnet到特定站點，請在引數部分輸入IP（例如，「permit 1.2.3.4」）。要允許Telnet到所有站點，請按一下Permit unlisted arguments。

5. 按一下Submit。

6. 對每個允許的命令（例如Telnet、FTP和/或HTTP）執行步驟1到步驟5。

7. 使用GUI在NAS配置部分增加PIX的IP。

Livingston RADIUS伺服器配置

將PIX IP和金鑰增加到客戶端檔案。

all Password="all"
User-Service-Type = Shell-User

Merit RADIUS伺服器配置

將PIX IP和金鑰增加到客戶端檔案。

all Password="all"
Service-Type = Shell-User

TACACS+免費軟體伺服器配置

# Handshake with router--PIX needs 'tacacs-server host #.#.#.# cisco':
key = "cisco"

user = all {
default service = permit
login = cleartext "all"
}

user = telnetonly {
login = cleartext "telnetonly"
cmd = telnet { 
permit .*
}
}

user = httponly {
login = cleartext "httponly"
cmd = http { 
permit .*
}
}

user = ftponly {
login = cleartext "ftponly"
cmd = ftp { 
permit .*
}
}

偵錯步驟

• 在增加身份驗證、授權和記帳(AAA)之前，確保PIX配置正常工作。

  • 如果在建立AAA之前無法傳遞流量，則以後無法傳遞。

• 在PIX中啟用日誌記錄：

  • 不應該在高負載系統上使用logging console debugging命令。

  • 可以使用logging buffered debugging指令。然後，可以將show logging或logging命令的輸出傳送到Syslog伺服器並進行檢查。

• 確保TACACS+或RADIUS伺服器的調試處於打開狀態。所有伺服器都有這個選項。

來自PIX的身份驗證調試示例

PIX調試-身份驗證成功- RADIUS

以下是具有良好身份驗證的PIX調試示例：

109001: Auth start for user '???' from 171.68.118.100/1116 to 9.9.9.11/23
 109011: Authen Session Start: user 'bill', sid 1
 109005: Authentication succeeded for user 'bill' 
   from 171.68.118.100/1116 to 9.9.9.11/23
 109012: Authen Session End: user 'bill', sid 1, elapsed 1 seconds
 302001: Built TCP connection 1 for faddr 9.9.9.11/23 gaddr 9.9.9.10/1116 
   laddr 171.68.118.100/1116 (bill) 

PIX調試-身份驗證失敗（使用者名稱或密碼）- RADIUS

以下是身份驗證錯誤（使用者名稱或密碼）的PIX調試示例。使用者看到四個使用者名稱/密碼集。顯示「錯誤：超出最大重試次數」訊息。

注意：如果這是FTP嘗試，則允許重試。對於HTTP，允許無限次重試。

109001: Auth start for user '???' from 171.68.118.100/1132 to 9.9.9.11/23
 109006: Authentication failed for user '' from 
   171.68.118.100/1132 to 9.9.9.11/23 

PIX調試-伺服器關閉- RADIUS

這是伺服器發生故障時的PIX調試示例。使用者看到使用者名稱一次。然後，伺服器「掛起」並請求密碼（三次）。

109001: Auth start for user '???' from 171.68.118.100/1151 to 9.9.9.11/23
 109002: Auth from 171.68.118.100/1151 to 9.9.9.11/23 failed 
   (server 171.68.118.101 failed)
 109002: Auth from 171.68.118.100/1151 to 9.9.9.11/23 failed 
   (server 171.68.118.101 failed) 

PIX調試-身份驗證成功- TACACS+

以下是具有良好身份驗證的PIX調試示例：

109001: Auth start for user '???' from 171.68.118.100/1200 to 9.9.9.11/23
 109011: Authen Session Start: user 'cse', sid 3
 109005: Authentication succeeded for user 'cse'
   from 171.68.118.100/1200 to 9.9.9.11/23
 109012: Authen Session End: user 'cse', sid 3, elapsed 1 seconds
 302001: Built TCP connection 3 for faddr 9.9.9.11/23 gaddr 9.9.9.10/1200 
  laddr 171.68.118.100/1200 (cse) 

PIX調試-身份驗證失敗（使用者名稱或密碼）- TACACS+

以下是身份驗證錯誤（使用者名稱或密碼）的PIX調試示例。使用者看到四個使用者名稱/密碼集。顯示「錯誤：超出最大重試次數」訊息。

注意：如果這是FTP嘗試，則允許重試。對於HTTP，允許無限次重試。

109001: Auth start for user '???' from 171.68.118.100/1203 to 9.9.9.11/23
 109006: Authentication failed for user ''
   from 171.68.118.100/1203 to 9.9.9.11/23 

PIX調試-伺服器關閉- TACACS+

這是伺服器發生故障時的PIX調試示例。使用者看到使用者名稱一次。立即顯示「錯誤：超出最大嘗試次數」訊息。

109001: Auth start for user '???' from 171.68.118.100/1212 to 9.9.9.11/23
 109002: Auth from 171.68.118.100/1212 to 9.9.9.11/23 failed 
   (server 171.68.118.101 failed)
 109002: Auth from 171.68.118.100/1212 to 9.9.9.11/23 failed 
   (server 171.68.118.101 failed)
 109002: Auth from 171.68.118.100/1212 to 9.9.9.11/23 failed 
   (server 171.68.118.101 failed)
 109006: Authentication failed for user '' from 171.68.118.100/1212 to 9.9.9.11/23 

增加授權

由於授權在未經身份驗證的情況下無效，因此同一源和目標都需要授權：

aaa authorization any outbound 171.68.118.0 255.255.255.0 9.9.9.11 
   255.255.255.255 tacacs+|radius

或者，如果所有三個出站服務最初都經過身份驗證：

aaa authorization http outbound 0.0.0.0 0.0.0.0 0.0.0.0 
   0.0.0.0 tacacs+|radius
aaa authorization ftp outbound 0.0.0.0 0.0.0.0 0.0.0.0 
   0.0.0.0 tacacs+|radius
aaa authorization telnet outbound 0.0.0.0 0.0.0.0 0.0.0.0 
   0.0.0.0 tacacs+|radius

來自PIX的身份驗證和授權調試示例

PIX調試-身份驗證和授權成功- TACACS+

以下是身份驗證和授權良好的PIX調試示例：

109001: Auth start for user '???' from 171.68.118.100/1218 to 9.9.9.11/23
 109011: Authen Session Start: user 'telnetonly', sid 5
 109005: Authentication succeeded for user 'telnetonly' from 
   171.68.118.100/1218 to 9.9.9.11/23
 109011: Authen Session Start: user 'telnetonly', sid 5
 109007: Authorization permitted for user 'telnetonly' from 
   171.68.118.100/1218 to 9.9.9.11/23
 109012: Authen Session End: user 'telnetonly', sid 5, elapsed 1 seconds
 302001: Built TCP connection 4 for faddr 9.9.9.11/23 gaddr 9.9.9.10/1218 
   laddr 171.68.118.100/1218 (telnetonly) 

PIX調試-身份驗證成功，但授權失敗- TACACS+

以下是身份驗證成功但授權失敗的PIX調試示例：

109001: Auth start for user '???' from 171.68.118.100/1223 to 9.9.9.11/23
 109011: Authen Session Start: user 'httponly', sid 6
 109005: Authentication succeeded for user 'httponly' 
   from 171.68.118.100/1223 to 9.9.9.11/23
 109008: Authorization denied for user 'httponly' 
   from 171.68.118.100/1223 to 9.9.9.11/23 

PIX調試-身份驗證失敗，未嘗試授權- TACACS+

這是一個帶有身份驗證和授權的PIX調試示例，但由於身份驗證錯誤（使用者名稱或密碼），未嘗試進行授權。使用者看到四個使用者名稱/密碼集。顯示「錯誤：超出最大重試次數」訊息

注意：如果這是FTP嘗試，則允許重試。對於HTTP，允許無限次重試。

109001: Auth start for user '???' from 171.68.118.100/1228 to 9.9.9.11/23
 109006: Authentication failed for user '' from 171.68.118.100/1228 
   to 9.9.9.11/23 

PIX調試-身份驗證/授權，伺服器關閉- TACACS+

以下是具有身份驗證和授權的PIX調試示例。伺服器已關閉。使用者看到使用者名稱一次。立即顯示「錯誤：超出最大嘗試次數」。

109001: Auth start for user '???' from 171.68.118.100/1237 to 9.9.9.11/23
 109002: Auth from 171.68.118.100/1237 to 9.9.9.11/23 failed 
   (server 171.68.118.101 failed)
 109002: Auth from 171.68.118.100/1237 to 9.9.9.11/23 failed 
   (server 171.68.118.101 failed)
 109002: Auth from 171.68.118.100/1237 to 9.9.9.11/23 failed 
   (server 171.68.118.101 failed)
 109006: Authentication failed for user '' from 171.68.118.100/1237 
   to 9.9.9.11/23 

增加記帳

TACACS+

aaa accounting any outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0: tacacs+

無論帳號是開啟還是關閉，除錯看起來都一樣。但是，在「構建」時，會傳送「開始」記帳記錄。此外，在「拆除」時，會傳送「停止」記帳記錄：

109011: Authen Session Start: user 'telnetonly', sid 13
 109005: Authentication succeeded for user 'telnetonly' 
   from 171.68.118.100/1299 to 9.9.9.11/23
 109011: Authen Session Start: user 'telnetonly', sid 13
 109007: Authorization permitted for user 'telnetonly' 
   from 171.68.118.100/1299 to 9.9.9.11/23
 109012: Authen Session End: user 'telnetonly', sid 13, elapsed 1 seconds
 302001: Built TCP connection 11 for faddr 9.9.9.11/23 gaddr 9.9.9.10/1299 
  laddr 171.68.118.100/1299 (telnetonly)
 302002: Teardown TCP connection 11 faddr 9.9.9.11/23 gaddr 9.9.9.10/1299 
  laddr 171.68.118.100/1299 duration 0:00:02 bytes 112

TACACS+記帳記錄類似於以下輸出（這些記錄來自CiscoSecure UNIX；Cisco Secure Windows中的記錄可能以逗號分隔）：

Tue Sep 29 11:00:18 1998 redclay cse PIX 171.68.118.103 
   start task_id=0x8 foreign_ip=9.9.9.11 
  local_ip=171.68.118.100 cmd=telnet
 Tue Sep 29 11:00:36 1998 redclay cse PIX 171.68.118.103 
   stop task_id=0x8 foreign_ip=9.9.9.11 
  local_ip=171.68.118.100 cmd=telnet elapsed_time=17 
   bytes_in=1198 bytes_out=62
 Tue Sep 29 11:02:08 1998 redclay telnetonly PIX 171.68.118.103 
   start task_id=0x9 foreign_ip=9.9.9.11 
  local_ip=171.68.118.100 cmd=telnet
 Tue Sep 29 11:02:27 1998 redclay telnetonly PIX 171.68.118.103 
   stop task_id=0x9 foreign_ip=9.9.9.11 
  local_ip=171.68.118.100 cmd=telnet elapsed_time=19 
   bytes_in=2223 bytes_out=64

這些欄位按如下所示進行細分：

DAY MO DATE TIME YEAR NAME_OF_PIX USER SENDER PIX_IP START/STOP  
   UNIQUE_TASK_ID DESTINATION SOURCE 
   SERVICE <TIME> <BYTES_IN> <BYTES_OUT> 

RADIUS

aaa accounting any outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 radius

無論帳號是開啟還是關閉，除錯看起來都一樣。但是，在「構建」時，會傳送「開始」記帳記錄。此外，在「拆除」時，會傳送「停止」記帳記錄：

109001: Auth start for user '???' from 171.68.118.100/1316 to 9.9.9.11/23
 109011: Authen Session Start: user 'bill', sid 16
 109005: Authentication succeeded for user 'bill' 
   from 171.68.118.100/1316 to 9.9.9.11/23
 109012: Authen Session End: user 'bill', sid 16, elapsed 1 seconds
 302001: Built TCP connection 14 for faddr 9.9.9.11/23 gaddr 9.9.9.10/1316 
  laddr 171.68.118.100/1316 (bill)
 302002: Teardown TCP connection 14 faddr 9.9.9.11/23 gaddr 9.9.9.10/1316 
  laddr 171.68.118.100/1316 duration 0:00:03 bytes 112

RADIUS記帳記錄類似於以下輸出（這些記錄來自Cisco Secure UNIX；Cisco Secure Windows中的記錄以逗號分隔）：

Mon Sep 28 10:47:01 1998
Acct-Status-Type = Start
Client-Id = 171.68.118.103
Login-Host = 171.68.118.100
Login-TCP-Port = 23
Acct-Session-Id = "0x00000004"
User-Name = "bill"

Mon Sep 28 10:47:07 1998
Acct-Status-Type = Stop
Client-Id = 171.68.118.103
Login-Host = 171.68.118.100
Login-TCP-Port = 23
Acct-Session-Id = "0x00000004"
User-Name = "bill"
Acct-Session-Time = 5

這些欄位按如下所示進行細分：

Acct-Status-Type = START or STOP
Client-ID = IP_OF_PIX
Login_Host = SOURCE_OF_TRAFFIC
Login-TCP-Port = #
Acct-Session-ID = UNIQUE_ID_PER_RADIUS_RFC
User-name = <whatever>
<Acct-Session-Time = #>

最大會話數和檢視登入使用者

某些TACACS和RADIUS伺服器具有「max-session」或「view logged-in users」功能。執行最大會話數或檢查已登入使用者的能力取決於記帳記錄。當生成記帳「開始」記錄但沒有「停止」記錄時，TACACS或RADIUS伺服器假定人員仍處於登入狀態（即透過PIX具有會話）。由於連線的性質，這對Telnet和FTP連線非常有效。例如：

使用者透過PIX從171.68.118.100到9.9.9.25進行Telnet，在途中進行身份驗證：

(pix) 109001: Auth start for user '???' from 171.68.118.100/1200 
   to 9.9.9.25/23
(pix) 109011: Authen Session Start: user 'cse', sid 3
(pix) 109005: Authentication succeeded for user 'cse' from 171.68.118.100/12
00 to 9.9.9.25/23
(pix) 302001: Built TCP connection 5 for faddr 9.9.9.25/23 gaddr 9.9.9.10/12
00 laddr 171.68.118.100/1200 (cse)
(server start account) Sun Nov  8 16:31:10 1998 rtp-pinecone.rtp.cisco.com
    cse PIX     171.68.118.100  start   task_id=0x3     foreign_ip=9.9.9.25
    local_ip=171.68.118.100     cmd=telnet

因為伺服器已看到「開始」記錄，但沒有「停止」記錄（此時此刻），所以伺服器會顯示「Telnet」使用者已登入。如果使用者嘗試另一個需要身份驗證的連線（可能從另一台PC進行），並且如果此使用者的max-sessions在伺服器上設定為「1」，伺服器將拒絕該連線。

使用者先在目標主機上執行業務，然後退出（在那裡花費10分鐘）。

(pix) 302002: Teardown TCP connection 5 faddr 9.9.9.25/80 gaddr 9.9.9.10/128 1 
  laddr 171.68.118.100/1281 duration 0:00:00 bytes 1907 (cse)

 (server stop account) Sun Nov  8 16:41:17 1998  
   rtp-pinecone.rtp.cisco.com cse PIX
   171.68.118.100  stop task_id=0x3 foreign_ip=9.9.9.25 
   local_ip=171.68.118.100 
   cmd=telnet elapsed_time=5  bytes_in=98 bytes_out=36 

無論uauth是0（即，每次進行身份驗證）還是更多（在uauth期間進行一次身份驗證而不是再次進行身份驗證），系統都會為每個訪問的站點剪下記帳記錄。

但由於協定的性質，HTTP的工作方式有所不同。範例如下：

使用者透過PIX從171.68.118.100瀏覽到9.9.9.25。

(pix) 109001: Auth start for user '???' from 171.68.118.100/1281    
   to 9.9.9.25 /80 (pix) 109011: Authen Session Start: user 'cse', sid 5 

 (pix) 109005: Authentication succeeded for user 'cse' 
   from 171.68.118.100/12 81 to 9.9.9.25/80

 (pix) 302001: Built TCP connection 5 for faddr 9.9.9.25/80 gaddr 9.9.9.10/12 81 
   laddr 171.68.118.100/1281 (cse)

 (server start account) Sun Nov  8 16:35:34 1998 rtp-pinecone.rtp.cisco.com     
   cse PIX     171.68.118.100  start   task_id=0x9     foreign_ip=9.9.9.25     
   local_ip=171.68.118.100     cmd=http

 (pix) 302002: Teardown TCP connection 5 faddr 9.9.9.25/80 gaddr 9.9.9.10/128 1 
   laddr 171.68.118.100/1281 duration 0:00:00 bytes 1907 (cse)

 (server stop account) Sun Nov  8 16:35.35 1998 rtp-pinecone.rtp.cisco .com      
   cse     PIX     171.68.118.100  stop  task_id=0x9   foreign_ip =9.9.9.25 
     
   local_ip=171.68.118.100 cmd=http   elapsed_time=0  
      bytes_ in=1907   bytes_out=223 

使用者讀取下載的網頁。

注意時間。此下載只花了一秒鐘（開始和停止記錄之間只有不到一秒鐘）。使用者是否仍登入網站，而且連線仍為開啟狀態？編號

最大會話數或檢視登入使用者是否在此處工作？否，因為HTTP中的連線時間太短。「已建置」與「拆卸」之間的時間（「開始」與「停止」記錄）為次秒。沒有「停止」記錄，就不會有「開始」記錄，因為這些記錄實際上在同一時間發生。無論uauth設定為0還是設定得更大，每個事務都仍會向伺服器傳送「開始」和「停止」記錄。但是，由於HTTP連線的性質，最大會話數和檢視登入使用者將無法工作。

使用Except命令

在我們的網路中，如果我們確定一個傳出使用者(171.68.118.100)不需要進行身份驗證，我們可以執行以下操作：

aaa authentication any outbound 171.68.118.0 255.255.255.0 9.9.9.11 
   255.255.255.255 tacacs+
aaa authentication except outbound 171.68.118.100 255.255.255.255 9.9.9.11 
   255.255.255.255 tacacs+

對PIX自身的身份驗證

前面討論的是透過PIX對Telnet（和HTTP、FTP）流量進行身份驗證。使用4.2.2時，與PIX的Telnet連線也可以透過身份驗證。在此，我們定義可以透過Telnet連線到PIX的框的IP：

telnet 171.68.118.100 255.255.255.255

然後提供Telnet口令：passwd ww。

增加新的命令來驗證使用者透過Telnet連線到PIX：

aaa authentication telnet console tacacs+|radius

當使用者Telnet至PIX時，系統會提示他們輸入Telnet口令(「ww」)。PIX還請求TACACS+或RADIUS使用者名稱和密碼。

變更使用者看到的提示

如果增加命令auth-prompt YOU_ARE_AT_THE_PIX，透過PIX的使用者將看到以下命令序列：

YOU_ARE_AT_THE_PIX [at which point you enter the username]
 Password:[at which point you enter the password]

到達最終目的地後，將顯示「使用者名稱：」和「密碼：」提示。此提示僅影響透過PIX的使用者，而不影響到PIX。

註：沒有為訪問PIX而剪下的記帳記錄。

相關資訊

• Cisco PIX防火牆軟體產品支援
• Cisco Secure PIX防火牆命令參考
• 要求建議 (RFC)
• 技術支援與文件 - Cisco Systems