可以對FTP、Telnet和HTTP連線執行RADIUS和TACACS+身份驗證。支援TACACS+授權;不支援RADIUS授權。
在PIX軟體4.2.2中,身份驗證的語法略有變化。本檔案使用軟體版本4.2.2的語法。
本文件沒有特定需求。
本文件所述內容不限於特定軟體和硬體版本。
此文件使用以下網路設定:
PIX配置 |
---|
pix2# write terminal Building configuration : Saved : PIX Version 4.2(2) nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password 8Ry2YjIyt7RRXU24 encrypted passwd OnTrBUG1Tp0edmkr encrypted hostname pix2 fixup protocol http 80 fixup protocol smtp 25 no fixup protocol ftp 21 no fixup protocol h323 1720 no fixup protocol rsh 514 no fixup protocol sqlnet 1521 no failover failover timeout 0:00:00 failover ip address outside 0.0.0.0 failover ip address inside 0.0.0.0 failover ip address 0.0.0.0 names pager lines 24 logging console debugging no logging monitor logging buffered debugging logging trap debugging logging facility 20 interface ethernet0 auto interface ethernet1 auto interface ethernet2 auto ip address outside 9.9.9.12 255.255.255.0 ip address inside 171.68.118.103 255.255.255.0 ip address 0.0.0.0 0.0.0.0 arp timeout 14400 global (outside) 1 9.9.9.1-9.9.9.9 netmask 255.0.0.0 static (inside,outside) 9.9.9.10 171.68.118.100 netmask 255.255.255.255 0 0 conduit permit icmp any any conduit permit tcp host 9.9.9.10 eq telnet any no rip outside passive no rip outside default no rip inside passive no rip inside default timeout xlate 3:00:00 conn 1:00:00 udp 0:02:00 timeout rpc 0:10:00 h323 0:05:00 timeout uauth 0:00:00 absolute ! !--- The next entry depends on whether TACACS+ or RADIUS is used. ! tacacs-server (inside) host 171.68.118.101 cisco timeout 5 radius-server (inside) host 171.68.118.101 cisco timeout 10 ! !--- The focus of concern is with hosts on the inside network !--- accessing a particular outside host. ! aaa authentication any outbound 171.68.118.0 255.255.255.0 9.9.9.11 255.255.255.255 tacacs+|radius ! !--- It is possible to be less granular and authenticate !--- all outbound FTP, HTTP, Telnet traffic with: aaa authentication ftp outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tacacs+|radius aaa authentication http outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tacacs+|radius aaa authentication telnet outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tacacs+|radius ! !--- Accounting records are sent for !--- successful authentications to the TACACS+ or RADIUS server. ! aaa accounting any outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tacacs+|radius ! no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps telnet 171.68.118.100 255.255.255.255 mtu outside 1500 mtu inside 1500 mtu 1500 Smallest mtu: 1500 floodguard 0 tcpchecksum silent Cryptochecksum:be28c9827e13baf89a937c617cfe6da0 : end [OK] |
如需文件慣例的詳細資訊,請參閱思科技術提示慣例。
身份驗證是用戶的身份。
授權是使用者可做的事情。
驗證在未經授權的情況下有效。
沒有驗證,授權無效。
例如,假定您內部有100個使用者,並且您只希望其中六個使用者能夠在網路外部執行FTP、Telnet或HTTP。告知PIX對出站流量進行身份驗證,並為TACACS+/RADIUS安全伺服器上的所有六個使用者ID提供標識。使用簡單身份驗證時,可以使用使用者名稱和密碼對這六個使用者進行身份驗證,然後退出。其他94個使用者不能外出。PIX提示使用者輸入使用者名稱/密碼,然後將其使用者名稱和密碼傳遞到TACACS+/RADIUS安全伺服器。此外,根據響應的不同,它會打開或拒絕連線。這六個使用者可以執行FTP、Telnet或HTTP。
但是,假設這三個使用者中的一個「Terry」不可信。您希望允許Terry執行FTP,但不允許HTTP或Telnet到外部。這意味著您需要增加授權。也就是說,除了驗證使用者身份之外,還要授權使用者能做什麼。當您向PIX增加授權時,PIX首先將Terry的使用者名稱和密碼傳送到安全伺服器,然後傳送授權請求,告知安全伺服器Terry嘗試執行哪些「命令」。正確設定伺服器後,可允許Terry使用「FTP 1.2.3.4」,但無法在任何地方使用「HTTP」或「Telnet」。
當您嘗試從內部到外部(反之亦然)並且身份驗證/授權打開時:
Telnet -使用者為密碼看到使用者名稱提示顯示,跟隨著的是對密碼的請求。如果在PIX/伺服器上成功進行身份驗證(和授權),目標主機將提示使用者輸入使用者名稱和密碼。
FTP -使用者看到使用者名稱提示出現。使用者必須輸入「local_username@remote_username」做為使用者名稱,輸入「local_password@remote_password」做為密碼。PIX將「local_username」和「local_password」傳送到本地安全伺服器,如果PIX/伺服器上的身份驗證(和授權)成功,則「remote_username」和「remote_password」將傳遞到目標FTP伺服器。
HTTP -瀏覽器中將顯示一個請求使用者名稱和口令的窗口。如果身份驗證(和授權)成功,使用者將到達目的網站以外的位置。請記住,瀏覽器會快取使用者名稱和口令。如果PIX似乎應該使HTTP連線超時,但實際上並未這樣做,則可能是由於瀏覽器向PIX「拍攝」快取的使用者名稱和密碼而發生了重新身份驗證。然後轉送到驗證伺服器。PIX系統日誌和/或伺服器調試顯示了這一現象。如果Telnet和FTP似乎正常工作,但HTTP連線不正常工作,這就是原因。
在TACACS+伺服器組態範例中,如果只開啟驗證,使用者「all」、「telnetonly」、「httponly」和「ftponly」都會正常運作。在RADIUS伺服器組態範例中,使用者「all」正常運作。
向PIX增加授權後,PIX除了向TACACS+身份驗證伺服器傳送使用者名稱和口令外,還會向TACACS+伺服器傳送命令(Telnet、HTTP或FTP)。然後,TACACS+伺服器檢查該使用者是否獲得該命令的授權。
在後面的示例中,171.68.118.100處的使用者發出命令telnet 9.9.9.11。在PIX收到此資訊後,PIX會將使用者名稱、口令和命令傳遞給TACACS+伺服器進行處理。
因此,如果除身份驗證之外還啟用了授權,使用者「telnet only」可以透過PIX執行Telnet操作。但是,使用者「httponly」和「ftponly」不能透過PIX執行Telnet操作。
(同樣地,由於通訊協定規格的性質,RADIUS不支援授權)。
此處顯示使用者標準。
將PIX IP地址或完全限定域名和金鑰增加到CSU.cfg。
user = all { password = clear "all" default service = permit } user = telnetonly { password = clear "telnetonly" service = shell { cmd = telnet { permit .* } } } user = ftponly { password = clear "ftponly" service = shell { cmd = ftp { permit .* } } } user = httponly { password = clear "httponly" service = shell { cmd = http { permit .* } } }
使用高級圖形使用者介面(GUI)將PIX IP和金鑰增加到網路訪問伺服器(NAS)清單。此時將顯示使用者stanza,如下所示:
all Password="all" User-Service-Type = Shell-User
CiscoSecure 2.1線上版和Web文檔的「示例配置」部分介紹了設定;屬性6(服務型別)為「登入」或「管理」。
使用GUI在NAS配置部分增加PIX的IP。
EasyACS文檔提供了設定資訊。
在group部分中,按一下Shell exec(授予exec許可權)。
要在PIX上增加授權,請在組建立的底層按一下Deny unmatched IOS命令。
針對您要允許的每個命令(例如Telnet),選擇Add/Edit。
如果要允許Telnet到特定站點,請在引數部分輸入IP。要允許Telnet到所有站點,請點選允許所有未列出的引數。
編輯指令的按一下完成。
對每個允許的命令(例如Telnet、HTTP和/或FTP)執行步驟1到步驟5。
使用GUI在NAS配置部分增加PIX的IP。
Cisco Secure 2.x文檔提供了設定資訊。
在group部分中,按一下Shell exec(授予exec許可權)。
要在PIX上增加授權,請在組建立的底層按一下Deny unmatched IOS命令。
選中底部的command覈取方塊並輸入您要允許的命令(例如Telnet)。
如果要允許Telnet到特定站點,請在引數部分輸入IP(例如,「permit 1.2.3.4」)。要允許Telnet到所有站點,請按一下Permit unlisted arguments。
按一下Submit。
對每個允許的命令(例如Telnet、FTP和/或HTTP)執行步驟1到步驟5。
使用GUI在NAS配置部分增加PIX的IP。
將PIX IP和金鑰增加到客戶端檔案。
all Password="all" User-Service-Type = Shell-User
將PIX IP和金鑰增加到客戶端檔案。
all Password="all" Service-Type = Shell-User
# Handshake with router--PIX needs 'tacacs-server host #.#.#.# cisco': key = "cisco" user = all { default service = permit login = cleartext "all" } user = telnetonly { login = cleartext "telnetonly" cmd = telnet { permit .* } } user = httponly { login = cleartext "httponly" cmd = http { permit .* } } user = ftponly { login = cleartext "ftponly" cmd = ftp { permit .* } }
在增加身份驗證、授權和記帳(AAA)之前,確保PIX配置正常工作。
如果在建立AAA之前無法傳遞流量,則以後無法傳遞。
在PIX中啟用日誌記錄:
不應該在高負載系統上使用logging console debugging命令。
可以使用logging buffered debugging指令。然後,可以將show logging或logging命令的輸出傳送到Syslog伺服器並進行檢查。
確保TACACS+或RADIUS伺服器的調試處於打開狀態。所有伺服器都有這個選項。
PIX調試-身份驗證成功- RADIUS
以下是具有良好身份驗證的PIX調試示例:
109001: Auth start for user '???' from 171.68.118.100/1116 to 9.9.9.11/23 109011: Authen Session Start: user 'bill', sid 1 109005: Authentication succeeded for user 'bill' from 171.68.118.100/1116 to 9.9.9.11/23 109012: Authen Session End: user 'bill', sid 1, elapsed 1 seconds 302001: Built TCP connection 1 for faddr 9.9.9.11/23 gaddr 9.9.9.10/1116 laddr 171.68.118.100/1116 (bill)
PIX調試-身份驗證失敗(使用者名稱或密碼)- RADIUS
以下是身份驗證錯誤(使用者名稱或密碼)的PIX調試示例。使用者看到四個使用者名稱/密碼集。顯示「錯誤:超出最大重試次數」訊息。
注意:如果這是FTP嘗試,則允許重試。對於HTTP,允許無限次重試。
109001: Auth start for user '???' from 171.68.118.100/1132 to 9.9.9.11/23 109006: Authentication failed for user '' from 171.68.118.100/1132 to 9.9.9.11/23
PIX調試-伺服器關閉- RADIUS
這是伺服器發生故障時的PIX調試示例。使用者看到使用者名稱一次。然後,伺服器「掛起」並請求密碼(三次)。
109001: Auth start for user '???' from 171.68.118.100/1151 to 9.9.9.11/23 109002: Auth from 171.68.118.100/1151 to 9.9.9.11/23 failed (server 171.68.118.101 failed) 109002: Auth from 171.68.118.100/1151 to 9.9.9.11/23 failed (server 171.68.118.101 failed)
PIX調試-身份驗證成功- TACACS+
以下是具有良好身份驗證的PIX調試示例:
109001: Auth start for user '???' from 171.68.118.100/1200 to 9.9.9.11/23 109011: Authen Session Start: user 'cse', sid 3 109005: Authentication succeeded for user 'cse' from 171.68.118.100/1200 to 9.9.9.11/23 109012: Authen Session End: user 'cse', sid 3, elapsed 1 seconds 302001: Built TCP connection 3 for faddr 9.9.9.11/23 gaddr 9.9.9.10/1200 laddr 171.68.118.100/1200 (cse)
PIX調試-身份驗證失敗(使用者名稱或密碼)- TACACS+
以下是身份驗證錯誤(使用者名稱或密碼)的PIX調試示例。使用者看到四個使用者名稱/密碼集。顯示「錯誤:超出最大重試次數」訊息。
注意:如果這是FTP嘗試,則允許重試。對於HTTP,允許無限次重試。
109001: Auth start for user '???' from 171.68.118.100/1203 to 9.9.9.11/23 109006: Authentication failed for user '' from 171.68.118.100/1203 to 9.9.9.11/23
PIX調試-伺服器關閉- TACACS+
這是伺服器發生故障時的PIX調試示例。使用者看到使用者名稱一次。立即顯示「錯誤:超出最大嘗試次數」訊息。
109001: Auth start for user '???' from 171.68.118.100/1212 to 9.9.9.11/23 109002: Auth from 171.68.118.100/1212 to 9.9.9.11/23 failed (server 171.68.118.101 failed) 109002: Auth from 171.68.118.100/1212 to 9.9.9.11/23 failed (server 171.68.118.101 failed) 109002: Auth from 171.68.118.100/1212 to 9.9.9.11/23 failed (server 171.68.118.101 failed) 109006: Authentication failed for user '' from 171.68.118.100/1212 to 9.9.9.11/23
由於授權在未經身份驗證的情況下無效,因此同一源和目標都需要授權:
aaa authorization any outbound 171.68.118.0 255.255.255.0 9.9.9.11 255.255.255.255 tacacs+|radius
或者,如果所有三個出站服務最初都經過身份驗證:
aaa authorization http outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tacacs+|radius aaa authorization ftp outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tacacs+|radius aaa authorization telnet outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tacacs+|radius
PIX調試-身份驗證和授權成功- TACACS+
以下是身份驗證和授權良好的PIX調試示例:
109001: Auth start for user '???' from 171.68.118.100/1218 to 9.9.9.11/23 109011: Authen Session Start: user 'telnetonly', sid 5 109005: Authentication succeeded for user 'telnetonly' from 171.68.118.100/1218 to 9.9.9.11/23 109011: Authen Session Start: user 'telnetonly', sid 5 109007: Authorization permitted for user 'telnetonly' from 171.68.118.100/1218 to 9.9.9.11/23 109012: Authen Session End: user 'telnetonly', sid 5, elapsed 1 seconds 302001: Built TCP connection 4 for faddr 9.9.9.11/23 gaddr 9.9.9.10/1218 laddr 171.68.118.100/1218 (telnetonly)
PIX調試-身份驗證成功,但授權失敗- TACACS+
以下是身份驗證成功但授權失敗的PIX調試示例:
109001: Auth start for user '???' from 171.68.118.100/1223 to 9.9.9.11/23 109011: Authen Session Start: user 'httponly', sid 6 109005: Authentication succeeded for user 'httponly' from 171.68.118.100/1223 to 9.9.9.11/23 109008: Authorization denied for user 'httponly' from 171.68.118.100/1223 to 9.9.9.11/23
PIX調試-身份驗證失敗,未嘗試授權- TACACS+
這是一個帶有身份驗證和授權的PIX調試示例,但由於身份驗證錯誤(使用者名稱或密碼),未嘗試進行授權。使用者看到四個使用者名稱/密碼集。顯示「錯誤:超出最大重試次數」訊息
注意:如果這是FTP嘗試,則允許重試。對於HTTP,允許無限次重試。
109001: Auth start for user '???' from 171.68.118.100/1228 to 9.9.9.11/23 109006: Authentication failed for user '' from 171.68.118.100/1228 to 9.9.9.11/23
PIX調試-身份驗證/授權,伺服器關閉- TACACS+
以下是具有身份驗證和授權的PIX調試示例。伺服器已關閉。使用者看到使用者名稱一次。立即顯示「錯誤:超出最大嘗試次數」。
109001: Auth start for user '???' from 171.68.118.100/1237 to 9.9.9.11/23 109002: Auth from 171.68.118.100/1237 to 9.9.9.11/23 failed (server 171.68.118.101 failed) 109002: Auth from 171.68.118.100/1237 to 9.9.9.11/23 failed (server 171.68.118.101 failed) 109002: Auth from 171.68.118.100/1237 to 9.9.9.11/23 failed (server 171.68.118.101 failed) 109006: Authentication failed for user '' from 171.68.118.100/1237 to 9.9.9.11/23
aaa accounting any outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0: tacacs+
無論帳號是開啟還是關閉,除錯看起來都一樣。但是,在「構建」時,會傳送「開始」記帳記錄。此外,在「拆除」時,會傳送「停止」記帳記錄:
109011: Authen Session Start: user 'telnetonly', sid 13 109005: Authentication succeeded for user 'telnetonly' from 171.68.118.100/1299 to 9.9.9.11/23 109011: Authen Session Start: user 'telnetonly', sid 13 109007: Authorization permitted for user 'telnetonly' from 171.68.118.100/1299 to 9.9.9.11/23 109012: Authen Session End: user 'telnetonly', sid 13, elapsed 1 seconds 302001: Built TCP connection 11 for faddr 9.9.9.11/23 gaddr 9.9.9.10/1299 laddr 171.68.118.100/1299 (telnetonly) 302002: Teardown TCP connection 11 faddr 9.9.9.11/23 gaddr 9.9.9.10/1299 laddr 171.68.118.100/1299 duration 0:00:02 bytes 112
TACACS+記帳記錄類似於以下輸出(這些記錄來自CiscoSecure UNIX;Cisco Secure Windows中的記錄可能以逗號分隔):
Tue Sep 29 11:00:18 1998 redclay cse PIX 171.68.118.103 start task_id=0x8 foreign_ip=9.9.9.11 local_ip=171.68.118.100 cmd=telnet Tue Sep 29 11:00:36 1998 redclay cse PIX 171.68.118.103 stop task_id=0x8 foreign_ip=9.9.9.11 local_ip=171.68.118.100 cmd=telnet elapsed_time=17 bytes_in=1198 bytes_out=62 Tue Sep 29 11:02:08 1998 redclay telnetonly PIX 171.68.118.103 start task_id=0x9 foreign_ip=9.9.9.11 local_ip=171.68.118.100 cmd=telnet Tue Sep 29 11:02:27 1998 redclay telnetonly PIX 171.68.118.103 stop task_id=0x9 foreign_ip=9.9.9.11 local_ip=171.68.118.100 cmd=telnet elapsed_time=19 bytes_in=2223 bytes_out=64
這些欄位按如下所示進行細分:
DAY MO DATE TIME YEAR NAME_OF_PIX USER SENDER PIX_IP START/STOP UNIQUE_TASK_ID DESTINATION SOURCE SERVICE <TIME> <BYTES_IN> <BYTES_OUT>
aaa accounting any outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 radius
無論帳號是開啟還是關閉,除錯看起來都一樣。但是,在「構建」時,會傳送「開始」記帳記錄。此外,在「拆除」時,會傳送「停止」記帳記錄:
109001: Auth start for user '???' from 171.68.118.100/1316 to 9.9.9.11/23 109011: Authen Session Start: user 'bill', sid 16 109005: Authentication succeeded for user 'bill' from 171.68.118.100/1316 to 9.9.9.11/23 109012: Authen Session End: user 'bill', sid 16, elapsed 1 seconds 302001: Built TCP connection 14 for faddr 9.9.9.11/23 gaddr 9.9.9.10/1316 laddr 171.68.118.100/1316 (bill) 302002: Teardown TCP connection 14 faddr 9.9.9.11/23 gaddr 9.9.9.10/1316 laddr 171.68.118.100/1316 duration 0:00:03 bytes 112
RADIUS記帳記錄類似於以下輸出(這些記錄來自Cisco Secure UNIX;Cisco Secure Windows中的記錄以逗號分隔):
Mon Sep 28 10:47:01 1998 Acct-Status-Type = Start Client-Id = 171.68.118.103 Login-Host = 171.68.118.100 Login-TCP-Port = 23 Acct-Session-Id = "0x00000004" User-Name = "bill" Mon Sep 28 10:47:07 1998 Acct-Status-Type = Stop Client-Id = 171.68.118.103 Login-Host = 171.68.118.100 Login-TCP-Port = 23 Acct-Session-Id = "0x00000004" User-Name = "bill" Acct-Session-Time = 5
這些欄位按如下所示進行細分:
Acct-Status-Type = START or STOP Client-ID = IP_OF_PIX Login_Host = SOURCE_OF_TRAFFIC Login-TCP-Port = # Acct-Session-ID = UNIQUE_ID_PER_RADIUS_RFC User-name = <whatever> <Acct-Session-Time = #>
某些TACACS和RADIUS伺服器具有「max-session」或「view logged-in users」功能。執行最大會話數或檢查已登入使用者的能力取決於記帳記錄。當生成記帳「開始」記錄但沒有「停止」記錄時,TACACS或RADIUS伺服器假定人員仍處於登入狀態(即透過PIX具有會話)。由於連線的性質,這對Telnet和FTP連線非常有效。例如:
使用者透過PIX從171.68.118.100到9.9.9.25進行Telnet,在途中進行身份驗證:
(pix) 109001: Auth start for user '???' from 171.68.118.100/1200 to 9.9.9.25/23 (pix) 109011: Authen Session Start: user 'cse', sid 3 (pix) 109005: Authentication succeeded for user 'cse' from 171.68.118.100/12 00 to 9.9.9.25/23 (pix) 302001: Built TCP connection 5 for faddr 9.9.9.25/23 gaddr 9.9.9.10/12 00 laddr 171.68.118.100/1200 (cse) (server start account) Sun Nov 8 16:31:10 1998 rtp-pinecone.rtp.cisco.com cse PIX 171.68.118.100 start task_id=0x3 foreign_ip=9.9.9.25 local_ip=171.68.118.100 cmd=telnet
因為伺服器已看到「開始」記錄,但沒有「停止」記錄(此時此刻),所以伺服器會顯示「Telnet」使用者已登入。如果使用者嘗試另一個需要身份驗證的連線(可能從另一台PC進行),並且如果此使用者的max-sessions在伺服器上設定為「1」,伺服器將拒絕該連線。
使用者先在目標主機上執行業務,然後退出(在那裡花費10分鐘)。
(pix) 302002: Teardown TCP connection 5 faddr 9.9.9.25/80 gaddr 9.9.9.10/128 1 laddr 171.68.118.100/1281 duration 0:00:00 bytes 1907 (cse) (server stop account) Sun Nov 8 16:41:17 1998 rtp-pinecone.rtp.cisco.com cse PIX 171.68.118.100 stop task_id=0x3 foreign_ip=9.9.9.25 local_ip=171.68.118.100 cmd=telnet elapsed_time=5 bytes_in=98 bytes_out=36
無論uauth是0(即,每次進行身份驗證)還是更多(在uauth期間進行一次身份驗證而不是再次進行身份驗證),系統都會為每個訪問的站點剪下記帳記錄。
但由於協定的性質,HTTP的工作方式有所不同。範例如下:
使用者透過PIX從171.68.118.100瀏覽到9.9.9.25。
(pix) 109001: Auth start for user '???' from 171.68.118.100/1281 to 9.9.9.25 /80 (pix) 109011: Authen Session Start: user 'cse', sid 5 (pix) 109005: Authentication succeeded for user 'cse' from 171.68.118.100/12 81 to 9.9.9.25/80 (pix) 302001: Built TCP connection 5 for faddr 9.9.9.25/80 gaddr 9.9.9.10/12 81 laddr 171.68.118.100/1281 (cse) (server start account) Sun Nov 8 16:35:34 1998 rtp-pinecone.rtp.cisco.com cse PIX 171.68.118.100 start task_id=0x9 foreign_ip=9.9.9.25 local_ip=171.68.118.100 cmd=http (pix) 302002: Teardown TCP connection 5 faddr 9.9.9.25/80 gaddr 9.9.9.10/128 1 laddr 171.68.118.100/1281 duration 0:00:00 bytes 1907 (cse) (server stop account) Sun Nov 8 16:35.35 1998 rtp-pinecone.rtp.cisco .com cse PIX 171.68.118.100 stop task_id=0x9 foreign_ip =9.9.9.25 local_ip=171.68.118.100 cmd=http elapsed_time=0 bytes_ in=1907 bytes_out=223
使用者讀取下載的網頁。
注意時間。此下載只花了一秒鐘(開始和停止記錄之間只有不到一秒鐘)。使用者是否仍登入網站,而且連線仍為開啟狀態?編號
最大會話數或檢視登入使用者是否在此處工作?否,因為HTTP中的連線時間太短。「已建置」與「拆卸」之間的時間(「開始」與「停止」記錄)為次秒。沒有「停止」記錄,就不會有「開始」記錄,因為這些記錄實際上在同一時間發生。無論uauth設定為0還是設定得更大,每個事務都仍會向伺服器傳送「開始」和「停止」記錄。但是,由於HTTP連線的性質,最大會話數和檢視登入使用者將無法工作。
在我們的網路中,如果我們確定一個傳出使用者(171.68.118.100)不需要進行身份驗證,我們可以執行以下操作:
aaa authentication any outbound 171.68.118.0 255.255.255.0 9.9.9.11 255.255.255.255 tacacs+ aaa authentication except outbound 171.68.118.100 255.255.255.255 9.9.9.11 255.255.255.255 tacacs+
前面討論的是透過PIX對Telnet(和HTTP、FTP)流量進行身份驗證。使用4.2.2時,與PIX的Telnet連線也可以透過身份驗證。在此,我們定義可以透過Telnet連線到PIX的框的IP:
telnet 171.68.118.100 255.255.255.255
然後提供Telnet口令:passwd ww。
增加新的命令來驗證使用者透過Telnet連線到PIX:
aaa authentication telnet console tacacs+|radius
當使用者Telnet至PIX時,系統會提示他們輸入Telnet口令(「ww」)。PIX還請求TACACS+或RADIUS使用者名稱和密碼。
如果增加命令auth-prompt YOU_ARE_AT_THE_PIX,透過PIX的使用者將看到以下命令序列:
YOU_ARE_AT_THE_PIX [at which point you enter the username] Password:[at which point you enter the password]
到達最終目的地後,將顯示「使用者名稱:」和「密碼:」提示。此提示僅影響透過PIX的使用者,而不影響到PIX。
註:沒有為訪問PIX而剪下的記帳記錄。
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
10-Dec-2001 |
初始版本 |