Configurar servidor AAA

Posted on

Vamos a ver como configurar un servidor AAA. Antes de comenzar, ¿qué es o qué significa AAA? AAA corresponde a autenticacion, autorizacion y contabilizacion(en inglés accounting). Dichas referencias de la sigla son las funciones que cumple el protocolo AAA.

Lo bueno de contar con un servidor AAA es que podemos centralizar el manejo de cuentas de usuario para acceder a los dispositivos de red. En esta ocasión vamos a ver 2 protocolos dentro del ya mencionado AAA, son TACACS y RADIUS.

La gran diferencia entre estos 2 protocoles es que TACACS cifra todo el trafico desde que se solicita la comprobación del usuario hasta que termina. En cambio RADIUS solo cifra la contraseña. Para mas info podes visitar Wikipedia.

Router(config)#hostname [NOMRE DE ROUTER](1)
R1(config)#enable secret [CONTRASEÑA](2)
R1(config)#username [USUARIO] secret [CONTRASEÑA](3)
R1(config)#aaa new-model(4)
R1(config)#radius-server host [IP DEL SERVIDOR](5)
R1(config)#radius-server key [CLAVE](6)
R1(config)#aaa authentication login [default o NOMBRE DE LISTA] [Metodo1][Metodo2]..[Metodo4](7)
R0(config-line)#login authentication default(8)
R2(config)#tacacs-server host [IP DEL SERVIDOR](5)
R2(config)#tacacs-server key [CLAVE](6)

(1): Ingresamos el nombre del router.

(2): Configuramos una contraseña cifrada para el acceso al modo EXEC.

(3): Creamos un usuario y contraseña cifrada.

(4): Creamos un nuevo modelo de autenticacion AAA.

(5): Ingresamos la ip del servidor.

(6): Ingresamos la clave para que el router se pueda conectar al servidor.

(7): Se ingresa los metodos por los cuales se va a autenticar el usuario, ya sea group radius, group tacacs o local. Se pueden ingresar un maximo de 4. Si ingresamos mas de uno por ej: group radius local ;significa que primero autenticara con Radius y ,en caso de fallar, se autenticara con la base de datos del router. Para eso creamos el username.

(8): Ingresamos en un modo consola, vty o aux y le indicamos que se autentique con el metodo aaa previamente definido.

(Clic para agrandar)

Esto fue todo.

Autor: Rodrigo.

Nota: Si te sirvió lo que postié, te pido 2 segundos para contestar las encuestas que figuran abajo.

Gracias!

27 comentarios en “Configurar servidor AAA

    adrian escribió:
    22 abril, 2012 en 22:28

    muy bueno.gracias

    Raul escribió:
    26 febrero, 2013 en 3:11

    hola, me llamo raul, acabo te montar un servidor tacacs, pero me estoy complicando en la creacion de un usuario con permisos limitados. ¡me podrias ayudar?

    lo que deseo hacer es un usuario que solo pueda usar estos comandos:

    enable
    config ter
    interface fastethernet NUM/NUM
    switchport trunk encapsulation dot1q
    switchport trunk native vlan NUMERO-VLAN
    switchport mode trunk
    switchport voice vlan NUMERO-VLAN
    srr-queue bandwidth share 10 10 60 20
    srr-queue bandwidth shape 10 0 0 0
    mls qos trust cos
    auto qos voip trust
    spanning-tree portfast
    shutdown
    no shutdown

    Gracias por tu ayuda.
    Raul
    correo hermano_hl@hotmail.com

      Admin respondido:
      1 marzo, 2013 en 22:01

      Buenas! En los próximos dias te envio un mail con la respuesta a tu consulta.

      Saludos!

    esteban escribió:
    25 junio, 2013 en 19:58

    Hola, podrias enviarme el archivo del packet tracer para estudiarlo porfavor, gracias.

      Admin respondido:
      2 julio, 2013 en 12:55

      Buenas! Fijate si esta en la parte de ejercicios, sino esta tengo que revisar mi pc para encontrarlo. Dejame tu mail asi te contacto.

      Saludos

        esteban escribió:
        2 julio, 2013 en 14:37

        gracias! te dejo mi mail

    mariely segovia escribió:
    16 julio, 2013 en 7:01

    hola disculpa es algo corto y lo necesito la resp lo antes posible por favor… he creado la siguiente aaa
    R2(config)#username adminr2 secret adminr22
    R2(config)#aaa new-model
    R2(config)#tacacs-server host 192.168.5.3
    R2(config)#tacacs-server key r2tacacs
    R2(config)#aaa authentication login default group tacacs+ local
    R2(config)#line console 0
    R2(config-line)#login authentication default
    R2(config-line)#exit
    R2(config)#exit

    hice lo mismo apra un servidor radius, cuando quiero volver a acceder al R2 me pide admin y contraseña, pongo adminr2 contraseña: adminr22 y no me responde me dice q es invalida.. por que? no entendi muy bien esos cambios que hiciste cuando agregas radius y tacas mediante cuadros… el docente nos ha enviado los comandos, pero nada mas de eso, supongo q tiene algo q ver con los serviodres por qe en un router q no tengo nada de servidores funciono bien con el usuario, el R3 q tiene servidor RADIUS tuvo el mismo problema… bueno espero q me ayudes lo mas antes q puedas, si me puedes indicar como acceder te lo agradezco, aun m falta configurar NTP y registro de accesos, y no lo puedo hacer po que no me permite entrar al router 2 y 3

      Admin respondido:
      16 julio, 2013 en 14:00

      Buenas! Vas a tener que borrar el router porque no vas a poder acceder nuevamente. Fíjate de habilitar antes de hacer todo una contraseña para el modo EXEC con el comando: enable secret [Password]. Habría que ver como esta configurado el servidor tacacs aunque si éste falla tendrías que poder autenticar con la base de datos del servidor. Intenta cambiar esta linea:

      R2(config)#aaa authentication login default group tacacs+local

      por esta:

      R2(config)#aaa authentication login default group local

      Con este cambio probá de autenticarte con la base de datos del router, haciendo todos los pasos necesarios. Si te sale, vamos a saber que el problema esta en la configuración del servidor, ya sea en los comandos utilizados en el router o las opciones marcadas en dicho servidor.

      Te dejo mi mail para cualquier consulta: rodris21@gmail.com

      Espero que te sirva,
      Saludos

    mariely segovia escribió:
    16 julio, 2013 en 14:10

    trate de entrar, y pues tuve q hace ese cuadrito q hiciste en el video, con el servidor radius no tuve problemas, ya pude acceder, con el taccas nada, no entendi muy bien esto del cambio en el comando ya q soy nueva en esto, tngo un modelo bien hecho ami lado dond meguio y revise todos los errores, pero no me da nada… no tiene ndada q ver con NTP no?

    mariely segovia escribió:
    16 julio, 2013 en 15:20

    hola te cuento q ya pude.. no fue necesario eliminar routers fue un problema de key del taccas q no coincidio con aaa, y poner distintos usuarios y contraseñas. con ese problema solucionado pude terminar todo lo que necesitaba ahora mi duda sale respecto al servidor syslog, se q no viene al tema pero respodneme porfa, ya configure en un servidor pmediante syslog para que me registre los eventos que ocurran mediante vitual o consola, por ejemplo digamos q yo haga un intento fallido dond epuedo ver todos los registros de acceso q hubieron… te lo agradecere de mill maneras si me ayudas en eso tambien, y si me puedes enseñar tb por favor cuando accedo de modo remoto la unica forma es por ssh-l ? digo por ue ocmo configure tambie nservidores syslog y ntp alo mejor hay otros comandos? me enseñas por favor..

      Admin respondido:
      17 julio, 2013 en 10:54

      Buenas! Me alegro que hayas podido solucionarlo!! Ahora para ver los eventos registrados tenes que ir al servidor syslog, ahi vas a encontrar toda la info detallada.
      Hay 2 formas de entrar remotamente: Telnet(insegura) y SSH(segura). Para Telnet necesitas configurar una contraseña para ingresar al router, otra para el modo Exec y la clásica line 0 4 vty
      Tengo algo publicado al respecto.

      Espero que te sirva,
      Saludos!

    mariely segovia escribió:
    17 julio, 2013 en 17:43

    si me sirvio bastante gracicas… queria hacerte otra pregunta, una vez que configure los servidores tacas y radius con contraseñas, cuando entro por medio de comando me acepta el usuario y la contraseñas que yo asigne de modo perfecto puedo acceder, cuando intento entrar por acceso remoto a los routrs donde estan los tacacs y radius no me aceptan los usuarios y las contraseñas que asigne. pero sin embargo si puedo entrar con la contraseña del admin, lo cual no deberia ser asi. me puedes decir que pude haber hecho mal por favor….

      Admin respondido:
      19 julio, 2013 en 14:00

      Buenas! Tendrias que definir las contraseñas para los modos de acceso Telnet y/o SSH. Podes usar las mismas que tenes ahora pero le tenes que indicar al router que cuando alguien quiera acceder por los modos ya mencionados, autentique con los servidores que estan para eso.

      Espero que te sirva,
      Saludos!

    Manuel escribió:
    28 agosto, 2013 en 4:47

    Muy bueno tu blog, Te quería pedir un favor si no fuera mucho la molestia me podrías enviar el packet con el ejercicio para estudiarmelo por favor, te lo agradecería bastante te dejo mi correo Terror.Machine.88@gmail.com espero tu respuesta, gracias saludos.

      Admin respondido:
      28 agosto, 2013 en 13:16

      Buenas! En estos dias te lo mando.

      Saludos

        Manuel escribió:
        29 agosto, 2013 en 0:26

        Disculpa lo insistente no podría ser hoy día por favor, que lo necesito para hacerlo para explicarlo en una disertación como funciona el protocolo AAA

    Bayardo Alvarenga escribió:
    29 enero, 2014 en 10:31

    me encanto tu post me sirvio de mucho.

    Solo me gustaria saber que diferencia hay para definir usuario y contraseña
    con los comandos Username xxxxx password xxxxx y usar Username xxxxx secret xxxxxx

      Admin respondido:
      4 febrero, 2014 en 13:16

      Buenas! La segunda opción te encripta la contraseña.

      Saludos!

    Rinegan Kun escribió:
    23 julio, 2014 en 21:08

    Hola, muy buena información, mi duda es : cómo pudo agregar un mensaje de bienvenida cuando entre al servidor y después de esto como agregar al servidor diferentes ip´s con sus descripciones respectivas para poder consultarlas con TELNET. Cómo podré hacer todo esto????
    Gracias por tu atención! Agradecería mucho tu respuesta pronta!!!

      Rodrigo respondido:
      12 diciembre, 2014 en 13:07

      Buenas! Con el comando banner motd # MENSAJE #

      Saludos!

    benoto10 escribió:
    25 octubre, 2014 en 6:57

    ME podrias enviar la practica? ceog1234@gmail.com saludos!

      Rodrigo respondido:
      12 diciembre, 2014 en 13:43

      Buenas! Todavia no lo tengo terminado. Apenas lo termine lo subo.

      Saludos

    benoto10 escribió:
    25 octubre, 2014 en 6:57

    ME salvaste de un apuro tan grande, excelente video!

      Rodrigo respondido:
      12 diciembre, 2014 en 13:36

      Me alegro que te sirva!

      Saludos

    jose escribió:
    10 noviembre, 2014 en 3:07

    como podria hacer esto con gns3 y los server con maquinas virtuales lo puedo hacer con algun windows server ? gracias

      Rodrigo respondido:
      12 diciembre, 2014 en 13:53

      Buenas! Esto lo podes replicar con gns3 y windows/ linux server. Habría que buscar algun tuto de ejemplo.

      Saludos

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s