CCNA Security

Configurar autenticación AAA en dispositivos Cisco

Topología

Tabla de Direcciones

LAB2 Autenticación AAA 1

en dispositivos Cisco
 CCNA Security

Objetivos
 Configurar cuentas de usuario local en R1
 Configurar y verificar la autenticación en las consolas y VTYs usando AAA local
 Configurar y verificar la autenticación AAA basada en servidor utilizando TACACS +
 Configurar y verificar la autenticación AAA basada en servidor mediante RADIUS.
Parte 1: Configurar autenticación AAA local para acceso en R1
Paso 1: Configurar un usuario local en R1.
Username: Admin1 secret password: admin1pa55.
R1(config)# username Admin1 secret admin1pa55

Paso 2: Habilitar AAA y configurar autenticación AAA local para acceso en la consola de R1
R1(config)# aaa new-model
R1(config)# aaa authentication login default local

Paso 4: Configurar la consola para usar el método de autenticación definido.

R1(config)# line console 0
R1(config-line)# login authentication default

Paso 5: Verificar la configuración definida.

R1(config-line)# end
%SYS-5-CONFIG_I: Configured from console by console
R1# exit
R1 con0 is now available
Press RETURN to get started.
************ AUTHORIZED ACCESS ONLY *************
UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.
User Access Verification
Username: Admin1
Password: admin1pa55
R1>

Parte 2: Configurar autenticación AAA local para el acceso a las VTYs en R1

Paso 1: Asegurar que esté activo SSH en R1.

R1(config)# ip domain-name ccnasecurity.com

R1(config)# crypto key generate rsa
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Paso 2: Configurar un método de autenticación AAA para las VTYs en R1. Configura una lista nombrada
llamada SSH-LOGIN para autenticar los logins usando la base local.
R1(config)# aaa authentication login SSH-LOGIN local

Paso 3: Configurar las vtys para usar el método de autenticación definido y acceso sólo por SSH.

LAB2 Autenticación AAA 2

en dispositivos Cisco
 CCNA Security

R1(config)# line vty 0 4

R1(config-line)# login authentication SSH-LOGIN
R1(config-line)# transport input ssh
R1(config-line)# end
Paso 4: Verify the AAA authentication method. Verify the SSH configuration SSH to R1 from the
command prompt of PC-A..
PC> ssh –l Admin1 192.168.1.1
Open
Password: admin1pa55

Parte 3: Configurar autenticación centralizada usando un servidor TACACS+

en R2
Paso 1: Configurar una base de usuarios local como opción para respaldo.
R2(config)# username Admin2 secret admin2pa55
Paso 2: Configurar el servidor TACACS+
En “Network Configuration” agregar el dispositivo R2 con los siguientes datos:
Client Name: R2
IP: 192.168.2.1
Secret: tacacspa55
Service Type:Tacacs

En “User Setup” agregar un usuario con los siguientes datos:

Username: Admin2
Password: admin2pa55

Paso 3: Configurar las especificaciones del servidor TACACS+ (IP y password) en R2

Nota: Los commandos “tacacs-server host”y “tacacs-server key” están obsoletos. Actualmente, Packet
Tracer no soporta el nuevo comando “tacacs server”.
R2(config)# tacacs-server host 192.168.2.2
R2(config)# tacacs-server key tacacspa55
Paso 4: Configurar la autenticación AAA usando TACACS+ para acceso en R2, si no está disponible
usar la base local.
R2(config)# aaa new-model
R2(config)# aaa authentication login default group tacacs+ local
Paso 5: Configurar la consola para usar el método de autenticación definido.
R2(config)# line console 0
R2(config-line)# login authentication default
Paso 6: Verificar la configuración.
R2(config-line)# end
%SYS-5-CONFIG_I: Configured from console by console
R2# exit
R2 con0 is now available
Press RETURN to get started.
************ AUTHORIZED ACCESS ONLY *************
UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.
User Access Verification
Username: Admin2
Password: admin2pa55

LAB2 Autenticación AAA 3

en dispositivos Cisco
 CCNA Security

R2>

Part 4: Configurar autenticación AAA centralizada usando un servidor

RADIUS en R3
Paso 1: Configurar una base de usuarios local como opción para respaldo.
R3(config)# username Admin3 secret admin3pa55
Paso 2: Configurar el servidor RADIUS
En “Network Configuration” agregar el dispositivo R3 con los siguientes datos:
Client Name: R3
IP: 192.168.3.1
Secret: radiuspa55
ServiceType: Radius

En “User Setup” agregar un usuario con los siguientes datos:

Username: Admin3
Password: admin3pa55

Paso 3: Configurar las especificaciones del servidor RADIUS (IP y password) en R3

Nota: Los commandos “radius-server host”y “radius-server key” están obsoletos. Actualmente, Packet
Tracer no soporta el nuevo comando “radius server”.
R3(config)# radius-server host 192.168.3.2
R3(config)# radius-server key radiuspa55
Paso 4: Configurar la autenticación AAA usando RADIUS para acceso en R3, si no está disponible usar
la base local.
R3(config)# aaa new-model
R3(config)# aaa authentication login default group radius local
Paso 5: Paso 5: Configurar la consola para usar el método de autenticación definido.
R3(config)# line console 0
R3(config-line)# login authentication default

Paso 6: Verificar la configuración

R3(config-line)# end
%SYS-5-CONFIG_I: Configured from console by console
R3# exit
R3 con0 is now available
Press RETURN to get started.
************ AUTHORIZED ACCESS ONLY *************
UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.
User Access Verification
Username: Admin3
Password: admin3pa55
R3>

LAB2 Autenticación AAA 4

en dispositivos Cisco
 CCNA Security

Servidor TACACs
tacacs-server host 192.168.10.111
tacacs-server key tixp

username local secret 5 $1$840m$.ey/B6fcoMwzCDfAoKg4z/

AAA
aaa new-model
!
!
aaa authentication login default group tacacs+ local

Authorization
aaa authorization console
aaa authorization exec default group tacacs+ none
aaa authorization commands 1 default group tacacs+ none
aaa authorization commands 15 default group tacacs+ none
!

Accounting
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 1 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs

Acceso al servidor:
telnet 192.168.10.111
Usuario: curso
Password: tiexpertos

Acceso a consolas:
tnl 20XX

Bitácoras Authentication/Authorization
$ tail –f /var/log/tac_plus.log
Accounting
$ tail –f /var/log/tac_plus/tac_plus.acct

LAB2 Autenticación AAA 5

en dispositivos Cisco