作者:黄永和

Mail:huangyonghe at gmail.com

一、TACACS+ 全局配置

1. 认证配置
Router1＃c onfigure terminal
Router1(config)#aaa new-model
Router1(config)#aaa authentication login default group tacacs+ local

加上local 代表tacacs+ server失效后.使用本地认证
2、配置授权
Router1(config)#aaa authorization exec default group tacacs+  local
Router1(config)#aaa authorization commands 15 default group tacacs+

3、配置tacacs-server
Router1(config)#tacacs-server host 10.253.100.100
Router1(config)#tacacs-server key cisco

4.  记录用户行为审计
提问 记录用户输入的配置命令和时间
回答
Router1(config)#aaa accounting commands 15 default start-stop  group tacacs+
Router1(config)#aaa accounting exec default start-stop group tacacs+
Router1(config)#aaa accounting connection default start-stop group tacacs+

二、登录界面实施配置
1.在telnet实施认证与授权
Router1(config)#line vty 0 4

Router1(config-line)#login authentication default
­登录认证

Router1(config-line)#authorization exec default
授权
2.在telnet实施审计
Router1(config-line)#accounting connection default
Router1(config-line)#accounting commands 15 default
Router1(config-line)#accounting exec default
审计登录后操作日志

在部分交换机的user guide里面,并没有提到要在line vty 0 4里面配置accounting,可能容易误导用户以为配置全局配置就收工

3.在console port实施同样的配置

三、效果

1.在console port使用TAC+认证后才能进入

2.使用TAC+普通用户登录后，使用本地enable password进入特权模式

3.使用TAC+配置shell exec与privilege 15后，可以让用户直接进入特权模式

4.在TAC+界面的TAC+ administration active可以检查到设备上面的记录

四、遇到的问题

1.我用的Cisco ACS 3.3.1 存在一个bug,Perflib的问题，小心如果更换java环境版本的话可能会造成Cisco Radius/TACAS server在服务里面起不来
2.网上有很多地方说到这个命令
aaa authentication enable default tacact+ enable
但是加上这个命令后造成了我很多麻烦,或者是我的配置有问题
表现为
1)、console port enable出现username and password后，无法登录
2)、TAC+普通用户组telnet后，在>无法使用enable进入
3)、用户与用户组属性Network Access Restrictions (NAR)无法显示


五、引申

如果设备过多的话，要分成设备组，可以在TAC+ -->interface configuration-->Adanced options--->Network Device groups,然后在