结论 若ACS失效,本地配置的用户能够正常登录设备 测试授权(Authorization)
测试项一: 使用服务器授权过程
测试项 预期结果 测试过程 当设备能够和ACS服务器通信时,测试能否按照ACS上配置的权限授权 不同用户登录设备,会按照ACS上配置的权限授权 5、 测试设备和ACS的连通性 6、 使用high_user(ACS上设置权限级别是15,能够使用所有的命令)登录: 登录后查看权限: 能够查看配置(show命令已经被定义为属于级别7): 能够进入配置模式(conf t属于级别15): 能够添加和删除配置(以下命令运行级别被定义为小于15,且在设备配置中对于除级别2、7、15的命令都不审计),命令能够执行,服务器上没有授权内容: 7、 使用middle_user(ACS上设置权限级别是10,能够查看设备状态(不能查看配置),不能进入配置模式)登录: 登录后查看权限: 不能够查看配置(show run被设置为15级,因此无法识别): 不能够进入配置模式(conf t被设置为15级,因此无法识别):: 能够show其他内容: 8、 使用low_user(ACS上设置权限级别是5,设备上配置show命令级别为7,因此本用户无法使用show命令,能够使用ping命令)登录: 登录后无法使用show privilege查看权限,在ACS上显示: 不能够查看命令(show命令被设置为7级): 不能够进入配置模式: 能够使用其他级别低的命令且服务器授权通过的命令(例如ping): 不能够使用级别低但服务器授权不通过的命令(debug 被设置7)(例如): 结论 当设备能和认证服务器正常通信时,能够使用授权服务器对设备进行授权。 且授权受到两方面控制: 1、 能够执行的命令必须匹配用户权限级别和命令级别。 2、 若是设备指定某级别的命令需要授权,则该命令还受到授权服务器的限制。 测试项二:服务器失效时授权过程
测试项 预期结果 测试过程 当设备无法和ACS服务器通信时,设备使用本地授权。 能使用本地授权 1、 测试设备和ACS的连通性
2、 使用设备上配置的admin(系统默认最高权限)用户登录设备 登录后查看权限 能进入配置模式,并添加删除配置: 在测试中,由于设备在执行需要授权的命令前都尝试和授权服务器连接,因此会有执行命令慢的现象但并不影响命令最终执行: 3、 使用设备上配置的user(privilege为10)用户登录设备: 登录后查看权限 能够使用show(show run除外)命令: 、不能执行某些命令: 结论 若ACS失效,本地授权代替授权服务器,对用户进行授权,但是由于执行需要授权的命令设备都尝试连接授权服务器,会造成执行命令慢的现象。 且本地授权的依据主要是用户的privilege和命令的优先级要匹配。 测试审计(Accounting)
测试项 预期结果 测试过程 当设备能够和ACS服务器通信时,测试服务器上是否有记录设备的操作 服务器上会记录设备设定的需要审计的事件所有操作(用户登录、登出、命令级别为2、7、15的执行情况); 1、 测试设备和ACS的连通性 2、 使用ACS上配置的用户登录、登出,查看审计服务器上的记录: 3、 使用配置命令,查看审计服务器上的记录: 结论
ASR1002不支持本地审计,因此设计内容都在服务器上; 需要审计的可以是用户的login/logout,或者特定命令的执行。
相关推荐:
loading