De autenticación, autorización y contabilidad
•
La gestión de acceso a la infraestructura administrativa es crucial. Métodos: – – – –
Sólo contraseña Base de datos local AAA Autenticación local (AAA autónomo) Basado en servidor AAA tipo de acceso
acceso admin remoto
acceso a la red a distancia
modos
network access server puertos
elemento de uso aaa comando
modalidad caracteres tty, vty v ty,, auxiliar, auxi liar, y login, exec y activar (línea o modo tty, la consola comandos exec)
paquete (modo de interfaz)
dial-up y el acceso vpn incluyendo asíncrona y rdsi
comandos de red y ppp
User Access Verification
Internet
Password: Password: Password:
cisco cisco1 cisco12
% Bad passwords
R1(config)# line line vty 0 4 R1(config-line)# password cisco R1(config-line)# login
Modo User EXEC o privilegiado privilegiado con contraseña contraseña de acceso es limitado y no escala bien.
Welcome to SPAN Engineering User Access Verification User Access Verification Username Admin admin Username: Password: cisco1 cisco Password:
Internet
% Login invalid Username: Admin Password: cisco12
% Login invalid
R1(config)# username Admin secret Str0ng5rPa55w0rd R1(config)# line vty 0 4 R1(config-line)# login local
•
Proporciona mayor seguridad que una contraseña simple.
•
Es costosa efectiva solución de seguridad y de fácil implementación.
–
–
El problema es que esta base de datos local tiene que ser replicado en varios dispositivos ... Una solución mejor escalable es utilizar AAA.
•
AAA es un marco arquitectónico para la configuración:
Autenticación Quien es usted?
Contabilidad Que es lo que pasa en?
Autorizacion Cuanto puede gastar?
•
Routers Cisco IOS pueden implementar AAA utilizando: Nombre de usuario local y contraseña local
Control de Cisco Secure Access Server (ACS)
–
•
También llamado "AAA autónomo", que proporciona el método de identificación de los usuarios:
Incluye acceso y contraseña de diálogo, desafío y respuesta, soporte de mensajería, ... – –
Es configurado por: Definir una lista de "llamada" de los métodos de autenticación.
•
La aplicación de la lista a varias interfaces (consola, aux, vty).
•
La única excepción es la lista de método por defecto ("default"), que se aplica automáticamente a todas las interfaces si no hay otra lista de método está definido.
•
El nombre o el método de autenticación predeterminado define:
•
Los tipos de autenticación que se deben realizar.
•
La secuencia en la que se llevarán a cabo.
•
Debe aplicarse a una interfaz específica antes que cualquiera de los métodos de autenticación definidos se llevará a cabo.
•
El cliente establece una conexión con el router.
•
El router AAA solicita al usuario un nombre de usuario y contraseña.
•
El router autentifica el nombre de usuario y la contraseña utilizando la base de datos local y el usuario está autorizado para acceder a la red en función de la información en la base de datos local. Cliente remoto 1
2
AAA Router
3
•
Utilización de Cisco de control de acceso del servidor (SCA) es más escalable ya que todos los dispositivos de la infraestructura de acceso acuden al servidor central. – –
Tolerancia a fallas debido a múltiples ACS se puede configurar. Solución Enterprise.
•
El servidor real puede ser:
•
Cisco Secure ACS para Windows Server: •
–
Servicios de AAA en los contactos del router en un sistema Cisco Secure Access Control de Server (ACS) para la autenticación de usuarios y de administrador..
Cisco Secure ACS Solution Engine: •
Servicios de AAA en el router o el contacto de un NAS Secure ACS Solution Engine Cisco externo para la autenticación de usuarios y administrador.
1. El cliente establece una conexión con el router. 2. El router AAA solicita al usuario un nombre de usuario y contraseña. 3. El router autentifica el nombre de usuario y la contraseña utilizando un servidor
AAA remoto. 4. El usuario está autorizado para acceder a la red en función de la información
sobre la AAA Server remoto.
Cliente remoto 1
2
Cisco Secure ACS Servidor
AAA Router
4
3
•
Proporciona el método para el control de acceso remoto. –
•
Incluyendo la autorización una sola vez o una autorización para cada servicio, la lista y el perfil de cada usuario son su cuenta,
Una vez que un usuario se ha autenticado, servicios de autorización determinan que: – –
A que recursos el usuario puede acceder. Que operaciones se permite le permiten al usuario realizar. •
•
Por ejemplo, "Usuario" estudiante "puede acceder serverXYZ host utilizando sólo Telnet."
Al igual que con la autenticación, autorización AAA se configura mediante la definición de una lista de "llamada" de los métodos de autorización y, a continuación, la aplicación de esa lista con varias interfaces.
Cliente remoto
Cisco Secure ACS Servidor
AAA Router 1 2 3
1.Usuario se ha autenticado y una sesión se ha establecido con el servidor AAA. 2.Cuando el usuario intenta introducir comandos del modo EXEC privilegiado, el router solicita la autorización de un servidor AAA para verificar que el usuario tiene el derecho de utilizarla. 3.El servidor AAA devuelve una respuesta "PASS / FAIL".
•
Proporciona el método para la recogida y envío de la información del servidor de seguridad.
•
Se utiliza para la facturación, auditoría y presentación de informes, tales como las identidades de usuario, hora de inicio y salida, ejecución de comandos, el número de paquetes / bytes, ...
•
Con la contabilidad AAA activado, el router informa la actividad del usuario en el servidor TACACS + garantía en la forma de los registros contables.
•
Contabilidad se configura mediante la definición de una lista de "llamada" de los métodos de contabilidad y, a continuación, la aplicación de esa lista a varias interfaces.
Cliente remoto
Cisco Secure ACS Servidor
AAA Router 1 2
1.Cuando un usuario se ha autenticado, el proceso contable AAA genera un mensaje de inicio para iniciar el proceso de contabilidad. 2.Cuando el usuario cierra la sesión, un mensaje de detención se registra y se termina el proceso de contabilidad.
•
Mayor flexibilidad y control de la configuración de acceso
•
Escalabilidad
•
Sistemas de copia de seguridad múltiples
•
Métodos de autenticación estandarizados –
RADIUS, TACACS+ y Kerberos
•
AAA se implementa típicamente usando un servidor dedicado ACS para guardar usuarios / contraseñas en una base de datos centralizada.
•
La información se introduce centralmente/modificado a diferencia de una base de datos local que debe configurarse en cada router.
•
Tolerancia a fallos puede ser configurado en una secuencia de respaldo. – –
Consulte a un servidor de seguridad ... Si el error permanece, o no existen consultar bases de datos locales, ...
•
AAA compatible con los protocolos de seguridad estandarizados. –
TACACS+ • •
–
Sistema de control de acceso de Terminal Access Controller Plus Sustituye protocolos heredados TACACS y XTACACS
RADIUS •
Autenticación remota Dial-In User Service
Implementar autenticación AAA Local
1.
Habilitar AAA mediante el comando de configuración global: –
2.
aaa new-model
Definir las listas de métodos de autenticación usando: –
aaa authentication
1. Aplicar
las listas de método a una interfaz o línea (si es necesario) de manera particular.
•
El comando aaa
– –
•
new-model
permite la función de AAA.
Comandos AAA ahora se pueden configurar. Para desactivar la AAA, utilice el comando no aaa
new-model.
PRECAUCIÓN: no ejecute el comando a menos que estés preparado para configurar la autenticación AAA. Si lo hace, podría obligar a los usuarios de Telnet para autenticarse con un nombre de usuario, incluso si no se configura ninguna base de datos de nombre de usuario o método de autenticación. R1(config)#
aaa new-model
•
Especifique el tipo de autenticación para configurar: – – –
Iniciar sesión - permite AAA para inicios de sesión de TTY, VTY, y console 0. Enable - habilita AAA para el acceso al modo EXEC. PPP - permite AAA para inicios de sesión en PPP (transferencia de paquetes).
•
Liste los métodos por defecto se aplica automáticamente a todas las interfaces si no hay otra lista.
•
Listas con nombre deben aplicarse a una interfaz específica antes que cualquiera de los métodos de autenticación definidos
•
Métodos enumeran los tipos de autenticación que se va a realizar y la secuencia en la que se llevarán a cabo, ejemplo: – –
Contraseñas predefinidas (por ejemplo, locales, habilitar o línea) Consultar a un servidor TACACS + / RADIUS / Kerberos (s)
métodos enable line
descripción utiliza la contraseña de activación para la autenticación. utiliza la contraseña de línea para la autenticación.
local
utiliza la base de datos de nombre de usuario local para la autenticación.
local-case
utiliza la autenticación de nombre de usuario local de mayúsculas y minúsculas.
none cache group-name group radius group tacacs+ group group-name
no utiliza la autenticación. utiliza un grupo de servidores de caché para la autenticación. utiliza la lista de todos los servidores radius para la autenticación utiliza la lista de todos los servidores tacacs + para la autenticación. utiliza un subconjunto de radius o tacacs + para la autenticación de servidores definido por el servidor radius aaa grupo o servidor tacacs + grupo comando aaa.
•
Opcionalmente, para bloquear las cuentas que tienen intentos fallidos excesivos, utilice: –
aaa
local
authentication
attempts
max-fail number-of-
unsuccessful-attempts . –
Para eliminar el número de intentos fallidos que se estableció, utilice la forma no de este comando.
Router(config)#
aaa local authentication attempts max-fail [number-of-unsuccessful-attempts ]
palabra clave
descripción
number-of-unsuccessfulattempts
número de intentos de autenticación fallidos antes de que una conexión se interrumpe.
•
Este comando cierra la cuenta de usuario si falla la autenticación y la cuenta permanece bloqueada hasta que el administrador la active usando: –
•
clear aaa local user lockout {username username | all}
El comando difiere del comando que maneja los intentos fallidos. –
login delay
en la forma en
El comando login delay introduce un retraso entre los intentos fallidos de acceso sin bloquear la cuenta.
•
Añadir nombres de usuario y contraseñas para la base de datos del router local para los usuarios que necesitan acceso administrativo al router.
•
Habilitar AAA a nivel global en el router.
•
Configure los parámetros de AAA en el router.
•
Confirmar y solucionar problemas de la configuración de AAA. R1# conf t R1(config)# R1(config)# R1(config)# R1(config)# R1(config)#
username JR-ADMIN secret Str0ngPa55w0rd username ADMIN secret Str0ng5rPa55w0rd aaa new-model aaa authentication login default local-case aaa local authentication attempts max-fail 10
•
Una lista predeterminada o una lista con nombre pueden ser definidos. –
Una lista predeterminada se aplica automáticamente a todas las interfaces si no hay otra lista de acceso definida.
–
Una lista con nombre debe ser aplicada a una interfaz específica antes de cualquiera de los métodos de autenticación definidos se llevará a cabo.
R1# conf t R1(config)# username JR-ADMIN secret Str0ngPa55w0rd R1(config)# username ADMIN secret Str0ng5rPa55w0rd R1(config)# aaa new-model R1(config)# aaa authentication login default local-case enable R1(config)# aaa authentication login TELNET-LOGIN local-case R1(config)# line vty 0 4 R1(config-line)# login authentication TELNET-LOGIN
R1# show aaa local user lockout Local-user JR-ADMIN
R1# show aaa sessions Total sessions since last reload: 4 Session Id: 1 Unique Id: 175 User Name: ADMIN IP Address: 192.168.1.10 Idle Time: 0 CT Call Handle: 0
Lock time 04:28:49 UTC Sat Dec 27 2008
Implementar autenticación AAA basada en servidor
El apoyo de Cisco ACS: –
Terminal de Control de Acceso Control de Acceso Server Plus (TACACS +)
–
protocolos de Acceso a los Servicios de Usuario (RADIUS) remoto
•
Ambos protocolos se pueden utilizar para la comunicación entre el cliente y los servidores AAA.
•
TACACS + se considera el protocolo más seguro porque todos los intercambios están cifradas.
•
Radius sólo encripta la contraseña de usuario. –
No cifra los nombres de usuario, información contable, o cualquier otra información contenida en el mensaje de radio.
•
TACACS + es un protocolo de Cisco que ofrece servicios de AAA separados. –
La separación de los servicios de AAA proporciona flexibilidad en la aplicación, debido a que es posible utilizar TACACS + para la autorización y la contabilidad, mejor que cualquier otro método de autenticación. Conectar Nombre de Usuario? JR-ADMIN
Nombre de usuario pedirá? Utilice "Nombre de usuario" JR-ADMIN Petición contraseña?
Contraseña? Str0ngPa55w0rd
Utilizar la contraseña? Str0ngPa55w0rd Aceptar / Rechazar
•
RADIUS, desarrollado por Livingston Enterprises, es un protocolo AAA abierto IETF estándar para aplicaciones tales como acceso a la red o movilidad IP. –
•
RADIUS se define actualmente por los RFC 2865, 2866, 2867 y 2868.
El protocolo RADIUS oculta las contraseñas durante la transmisión, pero el resto del paquete se envía en texto claro.
•
RADIUS combina la autenticación y autorización como un proceso que significa que cuando un usuario es autenticado, a ese usuario está también autorizado. –
RADIUS utiliza el puerto UDP 1645 o 1812 para la autenticación y el puerto UDP 1646 o 1813 para la contabilidad.
Nombre de Usuario? JR-ADMIN Contraseña? Str0ngPa55w0rd
Solicitud de Acceso (JR_ADMIN, Str0ngPa55w0rd )
De aceptación de acceso
•
RADIUS es ampliamente utilizado por los proveedores de servicios de VoIP porque pasa las credenciales de acceso de un protocolo de iniciación de sesión (SIP) de punto final, como un teléfono de banda ancha, a un registrador SIP utilizando la autenticación implícita, y luego a un servidor RADIUS mediante RADIUS. –
•
RADIUS es también un protocolo de autenticación común que es utilizada por el estándar de seguridad 802.1X.
El Protocolo de diámetro es la sustitución prevista para RADIUS. –
DIÁMETRO utiliza un nuevo protocolo de transporte llamado Protocolo de Control de Transmisión Corriente (SCTP) y TCP en vez de UDP.
CARACTERISTICA
TACACS+
RADIUS
Funcionalidad
separa aaa según la arquitectura aaa, lo que permite la modularidad de la implementación del servidor de seguridad
combina la autenticación y la autorización, sino que separa a la contabilidad, lo que permite menos flexibilidad en la aplicación de tacacs +.
Estándar
mayormente cisco apoya
estándar abierto / rfc
Protocolo de transporte CHAP
el puerto tcp 49
desafío y respuesta bidireccional tal como se utiliza en chap
el puerto udp 1645 o 1812 para la autenticación puerto udp 1646 o 1813 para la contabilidad desafío unidireccional y la respuesta desde el servidor de seguridad de radius para el cliente radius.
Compatibilidad con el protocolo
soporte multiprotocolo
no se ara, sin netbeui
Confidencialidad
todo el paquete de cifrado
Sólo se cifra la contraseña
Personalización
proporciona la autorización de los comandos del router en una o función de cada usuario y por grupo.
no tiene opción de autorizar los comandos del router en una o función de cada usuario y por grupo.
Contabilidad
li it d
t
Cisco Secure ACS
•
Muchos servidores de autenticación a nivel de empresa se encuentran en el mercado hoy en día, incluyendo: – – – –
•
Servidor Steel-Belted RADIUS de Funk Livingston Enterprises RADIUS de autenticación de Gerente de Facturación RADIUS Mérito Networks Cisco Secure ACS para Windows Server (ACS)
Cisco ACS es una solución única que ofrece servicios de AAA utilizando TACACS + o RADIUS.
•
una interfaz de usuario basada en web simplifica la configuración de los perfiles de usuario, perfiles de grupo y la configuración de acs.
•
acs está construida para proporcionar grandes entornos de red, incluyendo servidores redundantes, bases de datos remotas, y la replicación de bases de datos y servicios de copia de seguridad.
•
soporta la autentificación de los perfiles de usuario que se almacenan en los directorios del directorio vendors líderes, como sun, novell y microsoft.
•
compatibilidad con active directory consolida nombre de usuario y la administración de contraseñas.
•
capacidad de los dispositivos de red de grupo juntos hacen que sea más fácil y más flexible para el control de la aplicación y los cambios para todos los dispositivos en una red.
Flexibilidad del producto
•
cisco secure acs está disponible en tres opciones: cisco secure acs solution engine, cisco secure acs express y cisco secure acs para windows.
Integración
•
acoplamiento apretado con los routers cisco ios y soluciones vpn.
Ayuda de tercera persona
•
cisco secure acs ofrece soporte de servidor token para cualquier proveedor de una sola vez la contraseña (otp) que proporciona una interfaz radius compatible con rfc, como rsa, passgo, secure computing, activecard, vasco o cripto.
•
Proporciona cuotas dinámicos para restringir el acceso basado en la hora del día, el uso de la red, el número de sesiones registrados, y el día de la seman
Facilidad de uso Escalabilidad
Extensibilidad Administració n Administració n
Control
Cisco Secure ACS Express 5.0 –
de nivel de entrada de acs con el conjunto de características simplificada
–
admite hasta 50 dispositivos aaa y un máximo de 350 conexiones de id de usuario únicos en un período de 24 horas
cisco secure acs para Windows se puede instalar en: –
Windows 2000 server con Service pack 4
–
windows 2000 advanced server con service pack 4
–
2003 standard o windows server enterprise edition
–
windows server 2008 standard o enterprise edition
Cisco Secure ACS Solution Engine –
una plataforma dedicada altamente escalable que sirve como un ACS de alto rendimiento
–
1RU, montaje en rack
–
instalado de fábrica con un software de Windows seguridad reforzada, cisco secure acs software
–
soporte para más de 350 usuarios
•
ACSv5 Demo –
http://www.cisco.com/assets/cdc_content_elements/flash/netman/acsv5tacac s/player.html
AAA autenticación basada en servidor Configuración
1.
Habilitar AAA utilizando el comando de configuración global: –
2.
Configurar los parámetros del protocolo de seguridad: –
3.
aaa new-model
Dirección IP del servidor y la clave
Definir las listas de métodos de autenticación usando: –
aaa authentication
4. Aplicar
las listas de método a una interfaz o línea (si es necesario) en particular.
5.
Opcionalmente configurar la autorización mediante el comando global: –
6.
aaa authorization
Opcionalmente configurar la contabilidad usando el comando global: –
aaa accounting
1. Especifique la ubicación del servidor AAA que proporcionará
servicios de AAA. 2. Configurar la clave de cifrado necesaria para cifrar la
transmisión de datos entre el servidor de acceso a la red y Cisco Secure ACS.
Comando
Descripción •
tacacs-server host ip-address
•
single-connection
•
Establece la clave de cifrado secreta compartida entre el servidor de acceso a la red y el servidor cisco secure acs.
•
Especifica un servidor aaa RADIUS.
•
Especifica una clave de cifrado para ser utilizado con el servidor aaa radius.
tacacs-server key key
radius-server host ipaddress
radius-server key key
indica la dirección del servidor cisco secure acs y especifica el uso de la función de una sola conexión tcp de cisco secure acs. Esta característica mejora el rendimiento mediante el mantenimiento de una única conexión tcp para la vida de la sesión entre el servidor de acceso a la red y el servidor cisco secure acs, en lugar de abrir y cerrar conexiones tcp para cada sesión (por defecto).
192.168.1.100
R1 Cisco Secure ACS for Windows using RADIUS
192.168.1.101
Cisco Secure ACS Solution Engine using TACACS+
R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# R1(config)#
aaa new-model tacacs-server host 192.168.1.101 single-connection tacacs-server key TACACS+Pa55w0rd radius-server host 192.168.1.100 radius-server key RADIUS-Pa55w0rd
R1(config)# aaa authentication login default ? enable Use enable password for authentication . group Use Server-grou p krb5 Use Kerberos 5 authentication. krb5-telnet Allow logins only if already authenticated via Kerberos V Telnet. line Use line password for authenticatio n. local Use local username authenticatio n. local-case Use case-sensit ive local username authenticatio n. none NO authentication. passwd-expiry enable the login list to provide password aging support R1(config)# aaa authentication login default group ? WORD Server-group name radius Use list of all Radius hosts. tacacs+ Use list of all Tacacs+ hosts. R1(config)# aaa authentication login default group
R1(config)# aaa authentication login default group tacacs+ group radius local-case
Parámetro
Descripción •
Este comando crea un valor predeterminado que se aplica automáticamente a todas las líneas y las interfaces, especificando el método o la secuencia de los métodos de autenticación.
•
Estos métodos especifican el uso de un servidor aaa. El radio del grupo y tacacs grupo + métodos se refieren a radius previamente definido o servidores tacacs +. La cadena de nombre-grupo permite el uso de un grupo predefinido de radius o tacacs + para servidores de autenticación (creada con el servidor radius aaa grupo o servidor tacacs + grupo comando aaa).
default
•
group group-name group radius group tacacs+
•
192.168.1.100
R1 Cisco Secure ACS for Windows using RADIUS
192.168.1.101
Cisco Secure ACS Solution Engine using TACACS+
R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# R1(config)# R1(config)#
aaa new-model tacacs-server host 192.168.1.101 single-connection tacacs-server key TACACS+Pa55w0rd radius-server host 192.168.1.100 radius-server key RADIUS-Pa55w0rd aaa authentication login default group tacacs+ group radius local-case
Autorización basada en servidor
•
Se utiliza para limitar los servicios disponibles para un usuario.
•
Router utiliza la información del perfil del usuario, que se encuentra ya sea en la base de datos local o en el servidor de seguridad, para configurar la sesión del usuario. –
Usuario entonces se concede el acceso a un servicio solicitado sólo si la información en el perfil de usuario lo permite.
Router(config)#
aaa authorization type { default | list-name } method1 … [method4]
Ver versión
La pantalla muestra una salida de la versión
configure terminal JR-ADMIN
No permita que "configure terminal"
JR-ADMIN, comando "show versión"? Aceptar
Autorización de comandos para el usuario JR-ADMIN, comando "config Terminal"? Rechazar
R1(config)# aaa authorization ? auth-proxy For Authentication Proxy Services cache For AAA cache configuration commands For exec (shell) commands. config-command s For configuration mode commands. configuration For downloading configurations from AAA server console For enabling console authorization exec For starting an exec (shell). ipmobile For Mobile IP services. multicast For downloading Multicast configurations from an AAA server network For network services. (PPP, SLIP, ARAP) prepaid For diameter prepaid services. reverse-access For reverse access connections template Enable template authorization R1(config)# aaa authorization exec ? WORD Named authorization list. default The default authorization list. R1(config)# aaa authorization exec default ? group Use server-group. if-authenticat ed Succeed if user has authenticated. krb5-instance Use Kerberos instance privilege maps. local Use local database. none No authorization (always succeeds). R1(config)# aaa authorization exec default group ? WORD Server-group name radius Use list of all Radius hosts. tacacs+ Use list of all Tacacs+ hosts.
R1# conf t R1(config)# username JR-ADMIN secret Str0ngPa55w0rd R1(config)# username ADMIN secret Str0ng5rPa55w0rd R1(config)# aaa new-model R1(config)# aaa authentication login default group tacacs+ R1(config)# aaa authentication login TELNET-LOGIN local-case R1(config)# aaa authorization exec default group tacacs+ R1(config)# aaa authorization network default group tacacs+ R1(config)# line vty 0 4 R1(config-line)# login authentication TELNET-LOGIN R1(config-line)# ^Z
Contabilidad basada en servidor
•
Define la forma en que se llevará a cabo la contabilidad y la secuencia en que se realizan.
•
Listas con nombre permiten designar un protocolo de seguridad especial para ser utilizado en las líneas específicas o interfaces para los servicios de contabilidad. Router(config)#
aaa accounting type { default | list-name } record-type method1 … [method2 ]
R1(config)# aaa accounting ? auth-proxy For authentication proxy events. commands For exec (shell) commands. connection For outbound connections. (telnet, rlogin) delay-start Delay PPP Network start record until peer IP address is known. exec For starting an exec (shell). gigawords 64 bit interface counters to support Radius attributes 52 & 53. multicast For multicast accounting. nested When starting PPP from EXEC, generate NETWORK records before EXEC-STOP record. network For network services. (PPP, SLIP, ARAP) resource For resource events. send Send records to accounting server. session-duration Set the preference for calculating session durations suppress Do not generate accounting records for a specific type of user. system For system events. update Enable accounting update records. R1(config)# aaa accounting exec ? WORD Named Accounting list. default The default accounting list. R1(config)# aaa accounting exec default ? none No accounting. start-stop Record start and stop without waiting stop-only Record stop when service terminates. R1(config)# aaa accounting exec default start-stop? broadcast Use Broadcast for Accounting group Use Server-group R1(config)# aaa accounting exec default start-stop group ? WORD Server-group name radius Use list of all Radius hosts. tacacs+ Use list of all Tacacs+ hosts.
R1# conf t R1(config)# username JR-ADMIN secret Str0ngPa55w0rd R1(config)# username ADMIN secret Str0ng5rPa55w0rd R1(config)# aaa new-model R1(config)# aaa authentication login default group tacacs+ R1(config)# aaa authentication login TELNET-LOGIN local-case R1(config)# aaa authorization exec group tacacs+ R1(config)# aaa authorization network group tacacs+ R1(config)# aaa accounting exec start-stop group tacacs+ R1(config)# aaa accounting network start-stop group tacacs+ R1(config)# line vty 0 4 R1(config-line)# login authentication TELNET-LOGIN R1(config-line)# ^Z