Authentication Proxy原理

Authentication Proxy原理

• 当一个用户发起HTTP访问穿过ROUTER，the authentication proxy is triggered(在接口截获用户通过ROUTER的http包进行认证)

• auth proxy先检查现存的entry有没有此用户的entry

• 没有，就根据其http request包，发回一个http repond包，但显示的是一个认证网页(ip httpserver提供)

• 用户在认证网页输入的username/passwd被proxy到aaa server

• 用户属于用户名密码正确，一个entry被建立，以后用户再访问就不必重复认证了

• 如果radius server返回认证失败，则该连接被中断

• 要求认证用户不一定直连到起用ipauth-proxy的接口。可以是远程用户，只要他HTTP包通过ROUTER，就会被截获并强行认证

 

  authen-proxy配置 （用于ROUTER，PPP口）
aaa new-model
！
radius-server host 192.168.126.14
radius-server key cisco
！
aaa authorizationauth-proxy default groupradius
ip auth-proxy name pxy httplist 10 auth-cache-time3       
access-list 10 permit any
!
interface Serial2/0:23
 ip address 16.0.0.2 255.0.0.0
 encapsulationppp
 ip auth-proxy pxy
interface Serial2/0:23
  ip access-group 105 in
!
access-list 105 deny   tcp anyany             
access-list 105 deny   udp anyany
access-list 105 permit ip any any

接口先deny,否则认证没什么意义
为避免这种”不认证反而直接穿过去”的问题，在接口设置过滤 起用HTTP访问ROUTER
ip http server        
ip http authentication aaa

直接HTTP访问ROUTER，要完全deny
ip http access-class 15
access-list 15 denyany           

    ip auth-proxy name ...http  [list ...] 可以限定具体用户认证
list ..可以针对具体网段的用户进行认证
permit的需要认证
deny的不需要认证,反而可以直接穿过去


   ip auth-proxy新feature,支持telnet,ftp
ip auth-proxy name ... {ftp | http| telnet} [list...]

  option
ip auth-proxy auth-cache-timemin     用户的条目存活时间是, 缺省60min
ip auth-proxy auth-proxy-banner   设置auth-proxy的banner, 缺省是disable
ip auth-proxy {inactivity-timer ... | absolute-timer...}    

   verifty
show ip auth-proxy