AAA (Authentication – Authorization – Accounting)

Authentication: Cihazlara erişim yapanların Kimlik doğrulanması işlemidir

İki tür kimlik doğrulama yapabiliriz.

Local AAA authentication: Erişim yapılacak cihaz tarafından kendi bünyesinde bulunan kullanıcı veri tabanı sorgulanarak yapılır. Çok sayıda cihazınız varsa her kullanıcı adı ve şifresi her cihazda girilmesi gerekir.

Server-Based AAA authentication: Kullanıcı bilgileri harici bir sunucu tarafından tutulur. Authorization işlemide sunucu tarafından yaptırılabilir.

Authorization: Kimlik doğrulanmasından geçen kullanıcıya verilecek yetkileri ifade eder. Mutlaka harici bir sunucu tarafından gerçekleştirilmesi gerekir.

Accounting: Kimliği doğrulanıp yetkisi verilen kullanıcının neler yaptığının kayıt altına alınmasıdır. (Log tutma)

Local AAA Authentication Konfigürasyonu:

Router(config)#aaa new-model (Yeni bir model oluşturulmuş olur. Eski local user veritabanını, ve kimlik denetimini  yok eder.)

Router(config)#aaa authentication login default local (default: Hangi yolla login yapılacağını belirler. sh,telnet,console. Default hepsini kapsayan parametredir.)

enable: Cihazın enable girişi için  authentication yapar

Local case: Kullanıcı adı büyük-küçük harfe duyarlı olması için

Router(config)#username Cisco secret cisco (aaa new-model ile eskisi iptal olmutu.local kullanıcı ve şifre oluşturuldu)

Router#sh aaa sessions (Login olmuş kullanıcıları gösterir.)

Ör: Router cihazına console erişimi haricinde diğer login işlemlerinde şifre sormasını sağlayalım.

Router(config)#aaa authentication login console_sifresiz none

Router(config)#line console 0 (Authentication atama kısmı)

Router(config-line)#login authenticatio console_sifresiz

 

Server-Based AAA authentication

Not: Cisco ISE ve Cisco Secure ACS ücretlidir.Free Radius, Tacacs (Cisco’ya özgü) ücretsizdir. Windows server üzerine Windows NPS (Network Policy Server) kurulabilir.

Basit olarak Router ve switch kullanıcıdan gelen authentication bilgilerini sunucuya sorarak kimlik doğrulamasını yapar ve sunucudan öğrendiği kullanıcının yetkileri dahilinde işlem yapmasına müsaade eder.

Cihaz ile sunucu arasındaki haberleşme TACACS+ veya RADIUS protokolü kullanarak yapılır. TACACS+ TCP kullanırken RADIUS UDP kullanır. TACACS+ güçlü yetkilendirme (Authorization) yaparken, RADIUS güçlü Accounting yapabilir, Authorization yapamaz.

 

TACACS+ Konfigürasyonu

Router(config)#aaa new-model

Router(config)#tacacs-serverhost 10.12.104.101(tacacs sunucunun ip adresi)

Router(config)#tacacs-serverkey hkjlk256(şifrelenmesi için key girilir)

Router(config)#aaa authentication login default group tacacs+ group radius local (TACACS+ ve RADIUS Authentication protokolünü ve sıralamasını belirtilir. İlk olarak tacacs+ sonra Radius ve en son local veritabanını kullanır.)

 

RADIUS Konfigürasyonu

Router(config)#aaa new-model

Router(config)#radius-server host 10.12.15.15 auth-port 1812 acct-port 1813 (Radius server adresi. Radius server port numaraları değiştiği için port numaralarını belirtilmelidir)

Router (config)#radius-server key kjlkslk152(şifrelenmesi için key girilir)

Router(config)#aaa authentication login default group tacacs+ group radius local

 

Authorization Konfigürasyonu

Yetkilendirme sunucu tacacs+ kullanılarak yapılır. RADIUS ile yetkilendirme yapılmaz.

Router(config)#aaa authorization (network / exec / commands level)

Router (config)#aaa authorization network default group tacacs+ (Network erişim yetkisi olup olmadığını tacas+ sunucuya sor)

Router (config)#aaa authorization exec default group tacacs+ (Cihazın komut satırına girme yetkisi olup olmadığını tacas+ sunucuya sor)

 

Accounting  Konfigürasyonu

Router (config)#aaa accounting (network | exec |connection | commands) (default | list-name) (start-stop | stop-only) (broadcast) method1…

R1(config)#aaa accounting exec default start-stop group tacacs+ (Komut satırına giriş ve çıkışları (start-stop) log tut)

 

802.1X Authenticaiton

Kısaca switch portlarına bağlanan client için kimlik doğrulama yapmaktır. Port üzerinde kimlik doğrulaması yaptıktan sonra kullanıcı için tanımlanan yetkiler verilir ve network ağına erişmesi sağlanır. 802.1X protokolü sayesinde kullanıcı adı ve şifre girişi yaparak kimlik denetimi sağlanmış olur.

Kablolu ağlarda kimlik denetim protokolü 802.1X, Kablosuz ağlarda  kimlik denetim protokolü 802×11 protokol ailesidir. 802.1X protokolü için sertifika Client ve sunucuda kullanmak zorunludur. Windows clientbilgisayarlarında varsayılanda kablolu kimlik denetim servisi kapalıdır.  Servisi açmak için bu linkteki adımları uygulamanız gerekmektedir.

Share