Scribd
Cargar
257 vistas5 páginas

Configuración AAA en Cisco: TACACS+ y RADIUS

Este documento describe cómo configurar la autenticación AAA en dispositivos Cisco utilizando métodos locales, TACACS+ y RADIUS. Explica cómo configurar cuentas de usuario locales, habilitar AAA y definir métodos de autenticación para consolas y VTYs usando autenticación local. Luego, muestra cómo configurar un servidor TACACS+ y RADIUS para autenticación centralizada, y definir esos métodos en los dispositivos. Finalmente, verifica la autenticación local y centralizada en cada dispositivo.

Cargado por

Lupita Vázquez
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
257 vistas5 páginas

Configuración AAA en Cisco: TACACS+ y RADIUS

Este documento describe cómo configurar la autenticación AAA en dispositivos Cisco utilizando métodos locales, TACACS+ y RADIUS. Explica cómo configurar cuentas de usuario locales, habilitar AAA y definir métodos de autenticación para consolas y VTYs usando autenticación local. Luego, muestra cómo configurar un servidor TACACS+ y RADIUS para autenticación centralizada, y definir esos métodos en los dispositivos. Finalmente, verifica la autenticación local y centralizada en cada dispositivo.

Cargado por

Lupita Vázquez
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

CCNA Security

Configurar autenticación AAA en dispositivos Cisco

Topología

Tabla de Direcciones

LAB2 Autenticación AAA 1


en dispositivos Cisco
CCNA Security

Objetivos
 Configurar cuentas de usuario local en R1
 Configurar y verificar la autenticación en las consolas y VTYs usando AAA local
 Configurar y verificar la autenticación AAA basada en servidor utilizando TACACS +
 Configurar y verificar la autenticación AAA basada en servidor mediante RADIUS.
Parte 1: Configurar autenticación AAA local para acceso en R1
Paso 1: Configurar un usuario local en R1.
Username: Admin1 secret password: admin1pa55.
R1(config)# username Admin1 secret admin1pa55

Paso 2: Habilitar AAA y configurar autenticación AAA local para acceso en la consola de R1
R1(config)# aaa new-model
R1(config)# aaa authentication login default local

Paso 4: Configurar la consola para usar el método de autenticación definido.


R1(config)# line console 0
R1(config-line)# login authentication default

Paso 5: Verificar la configuración definida.

R1(config-line)# end
%SYS-5-CONFIG_I: Configured from console by console
R1# exit
R1 con0 is now available
Press RETURN to get started.
************ AUTHORIZED ACCESS ONLY *************
UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.
User Access Verification
Username: Admin1
Password: admin1pa55
R1>

Parte 2: Configurar autenticación AAA local para el acceso a las VTYs en R1


Paso 1: Asegurar que esté activo SSH en R1.

R1(config)# ip domain-name [Link]


R1(config)# crypto key generate rsa
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Paso 2: Configurar un método de autenticación AAA para las VTYs en R1. Configura una lista nombrada
llamada SSH-LOGIN para autenticar los logins usando la base local.
R1(config)# aaa authentication login SSH-LOGIN local

Paso 3: Configurar las vtys para usar el método de autenticación definido y acceso sólo por SSH.

LAB2 Autenticación AAA 2


en dispositivos Cisco
CCNA Security

R1(config)# line vty 0 4


R1(config-line)# login authentication SSH-LOGIN
R1(config-line)# transport input ssh
R1(config-line)# end
Paso 4: Verify the AAA authentication method. Verify the SSH configuration SSH to R1 from the
command prompt of PC-A..
PC> ssh –l Admin1 [Link]
Open
Password: admin1pa55

Parte 3: Configurar autenticación centralizada usando un servidor TACACS+


en R2
Paso 1: Configurar una base de usuarios local como opción para respaldo.
R2(config)# username Admin2 secret admin2pa55
Paso 2: Configurar el servidor TACACS+
En “Network Configuration” agregar el dispositivo R2 con los siguientes datos:
Client Name: R2
IP: [Link]
Secret: tacacspa55
Service Type:Tacacs

En “User Setup” agregar un usuario con los siguientes datos:


Username: Admin2
Password: admin2pa55

Paso 3: Configurar las especificaciones del servidor TACACS+ (IP y password) en R2


Nota: Los commandos “tacacs-server host”y “tacacs-server key” están obsoletos. Actualmente, Packet
Tracer no soporta el nuevo comando “tacacs server”.
R2(config)# tacacs-server host [Link]
R2(config)# tacacs-server key tacacspa55
Paso 4: Configurar la autenticación AAA usando TACACS+ para acceso en R2, si no está disponible
usar la base local.
R2(config)# aaa new-model
R2(config)# aaa authentication login default group tacacs+ local
Paso 5: Configurar la consola para usar el método de autenticación definido.
R2(config)# line console 0
R2(config-line)# login authentication default
Paso 6: Verificar la configuración.
R2(config-line)# end
%SYS-5-CONFIG_I: Configured from console by console
R2# exit
R2 con0 is now available
Press RETURN to get started.
************ AUTHORIZED ACCESS ONLY *************
UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.
User Access Verification
Username: Admin2
Password: admin2pa55

LAB2 Autenticación AAA 3


en dispositivos Cisco
CCNA Security

R2>

Part 4: Configurar autenticación AAA centralizada usando un servidor


RADIUS en R3
Paso 1: Configurar una base de usuarios local como opción para respaldo.
R3(config)# username Admin3 secret admin3pa55
Paso 2: Configurar el servidor RADIUS
En “Network Configuration” agregar el dispositivo R3 con los siguientes datos:
Client Name: R3
IP: [Link]
Secret: radiuspa55
ServiceType: Radius

En “User Setup” agregar un usuario con los siguientes datos:


Username: Admin3
Password: admin3pa55

Paso 3: Configurar las especificaciones del servidor RADIUS (IP y password) en R3


Nota: Los commandos “radius-server host”y “radius-server key” están obsoletos. Actualmente, Packet
Tracer no soporta el nuevo comando “radius server”.
R3(config)# radius-server host [Link]
R3(config)# radius-server key radiuspa55
Paso 4: Configurar la autenticación AAA usando RADIUS para acceso en R3, si no está disponible usar
la base local.
R3(config)# aaa new-model
R3(config)# aaa authentication login default group radius local
Paso 5: Paso 5: Configurar la consola para usar el método de autenticación definido.
R3(config)# line console 0
R3(config-line)# login authentication default

Paso 6: Verificar la configuración


R3(config-line)# end
%SYS-5-CONFIG_I: Configured from console by console
R3# exit
R3 con0 is now available
Press RETURN to get started.
************ AUTHORIZED ACCESS ONLY *************
UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.
User Access Verification
Username: Admin3
Password: admin3pa55
R3>

LAB2 Autenticación AAA 4


en dispositivos Cisco
CCNA Security

Servidor TACACs
tacacs-server host [Link]
tacacs-server key tixp

username local secret 5 $1$840m$.ey/B6fcoMwzCDfAoKg4z/

AAA
aaa new-model
!
!
aaa authentication login default group tacacs+ local

Authorization
aaa authorization console
aaa authorization exec default group tacacs+ none
aaa authorization commands 1 default group tacacs+ none
aaa authorization commands 15 default group tacacs+ none
!

Accounting
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 1 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs

Acceso al servidor:
telnet [Link]
Usuario: curso
Password: tiexpertos

Acceso a consolas:
tnl 20XX

Bitácoras Authentication/Authorization
$ tail –f /var/log/tac_plus.log
Accounting
$ tail –f /var/log/tac_plus/tac_plus.acct

LAB2 Autenticación AAA 5


en dispositivos Cisco

También podría gustarte