TACACS+配置过程
huangyonghe 发表于 - 2008/2/10 23:15:00
作者:黄永和
Mail:huangyonghe at gmail.com
一、TACACS+ 全局配置
1. 认证配置 Router1#c onfigure terminal Router1(config)#aaa new-model Router1(config)#aaa authentication login default group tacacs+ local
加上local 代表tacacs+ server失效后.使用本地认证 2、配置授权 Router1(config)#aaa authorization exec default group tacacs+ local Router1(config)#aaa authorization commands 15 default group tacacs+
3、配置tacacs-server Router1(config)#tacacs-server host 10.253.100.100 Router1(config)#tacacs-server key cisco
4. 记录用户行为审计 提问 记录用户输入的配置命令和时间 回答 Router1(config)#aaa accounting commands 15 default start-stop group tacacs+ Router1(config)#aaa accounting exec default start-stop group tacacs+ Router1(config)#aaa accounting connection default start-stop group tacacs+
二、登录界面实施配置 1.在telnet实施认证与授权 Router1(config)#line vty 0 4
Router1(config-line)#login authentication default 登录认证
Router1(config-line)#authorization exec default 授权 2.在telnet实施审计 Router1(config-line)#accounting connection default Router1(config-line)#accounting commands 15 default Router1(config-line)#accounting exec default 审计登录后操作日志
在部分交换机的user guide里面,并没有提到要在line vty 0 4里面配置accounting,可能容易误导用户以为配置全局配置就收工
3.在console port实施同样的配置
三、效果
1.在console port使用TAC+认证后才能进入
2.使用TAC+普通用户登录后,使用本地enable password进入特权模式
3.使用TAC+配置shell exec与privilege 15后,可以让用户直接进入特权模式
4.在TAC+界面的TAC+ administration active可以检查到设备上面的记录
四、遇到的问题
1.我用的Cisco ACS 3.3.1 存在一个bug,Perflib的问题,小心如果更换java环境版本的话可能会造成Cisco Radius/TACAS server在服务里面起不来 2.网上有很多地方说到这个命令 aaa authentication enable default tacact+ enable 但是加上这个命令后造成了我很多麻烦,或者是我的配置有问题 表现为 1)、console port enable出现username and password后,无法登录 2)、TAC+普通用户组telnet后,在>无法使用enable进入 3)、用户与用户组属性Network Access Restrictions (NAR)无法显示
五、引申
如果设备过多的话,要分成设备组,可以在TAC+ -->interface configuration-->Adanced options--->Network Device groups,然后在 |
发表评论: