学员提问:
怎么在思科设备上配置Tacacs服务器?
捷盈讲师及学员解答:
TACACS(终端访问控制器访问控制系统)对于Unix网络来说是一个比较老的认证协议,它允许远程访问服务器传送用户登陆密码给认证服务器,认证服务器决定该用户是否可以登陆系统。TACACS是一个加密协议,因此它的安全性不及之后的TACACS+和远程身份验证拨入用户服务协议。TACACS之后推出的版本是XTACACS。这两个协议均在RFC(请求注解)中进行了说明。
TACACS+其实是一个全新的协议。TACACS+和RADIUS在现有网络里已经取代了早期的协议。TACACS+应用传输控制协议(TCP),而RADIUS使用用户数据报协议(UDP)。一些管理员推荐使用TACACS+协议,因为TCP更可靠些。RADIUS从用户角度结合了认证和授权,而TACACS+分离了这两个操作。
一、TACACS+ 全局配置
1. 认证配置
Router1#configure terminal
Router1(config)#aaa new-model
Router1(config)#aaa authentication login default group tacacs+ local
加上local 代表tacacs+ server失效后.使用本地认证
2、配置授权
Router1(config)#aaa authorization exec default group tacacs+ local
Router1(config)#aaa authorization commands 15 default group tacacs+
3、配置tacacs-server
Router1(config)#tacacs-server host 10.253.100.100
Router1(config)#tacacs-server key cisco
4. 记录用户行为审计
记录用户输入的配置命令和时间
Router1(config)#aaa accounting commands 15 default start-stop group tacacs+
Router1(config)#aaa accounting exec default start-stop group tacacs+
Router1(config)#aaa accounting connection default start-stop group tacacs+
二、登录界面实施配置
1.在telnet实施认证与授权
Router1(config)#line vty 0 4
Router1(config-line)#login authentication default
登录认证
Router1(config-line)#authorization exec default
授权
注意(如果不用commands限制,没必要在登录时实施authorization commands,可能会因为这个小小的命令导致你摸不着头脑 )
2.在telnet实施审计
Router1(config-line)#accounting connection default
Router1(config-line)#accounting commands 15 default
Router1(config-line)#accounting exec default
审计登录后操作日志
在部分交换机的user guide里面,并没有提到要在line vty 0 4里面配置accounting,可能容易误导用户以为配置全局配置就收工
3.在console port实施同样的配置
三、效果
1.在console port使用TAC+认证后才能进入
2.使用TAC+普通用户登录后,使用本地enable password进入特权模式
3.使用TAC+配置shell exec与privilege 15后,可以让用户直接进入特权模式
4.在TAC+界面的TAC+ administration active可以检查到设备上面的记录
TACACS+其实是一个全新的协议。TACACS+和RADIUS在现有网络里已经取代了早期的协议。TACACS+应用传输控制协议(TCP),而RADIUS使用用户数据报协议(UDP)。一些管理员推荐使用TACACS+协议,因为TCP更可靠些。RADIUS从用户角度结合了认证和授权,而TACACS+分离了这两个操作。
一、TACACS+ 全局配置
1. 认证配置
Router1#configure terminal
Router1(config)#aaa new-model
Router1(config)#aaa authentication login default group tacacs+ local
加上local 代表tacacs+ server失效后.使用本地认证
2、配置授权
Router1(config)#aaa authorization exec default group tacacs+ local
Router1(config)#aaa authorization commands 15 default group tacacs+
3、配置tacacs-server
Router1(config)#tacacs-server host 10.253.100.100
Router1(config)#tacacs-server key cisco
4. 记录用户行为审计
记录用户输入的配置命令和时间
Router1(config)#aaa accounting commands 15 default start-stop group tacacs+
Router1(config)#aaa accounting exec default start-stop group tacacs+
Router1(config)#aaa accounting connection default start-stop group tacacs+
二、登录界面实施配置
1.在telnet实施认证与授权
Router1(config)#line vty 0 4
Router1(config-line)#login authentication default
登录认证
Router1(config-line)#authorization exec default
授权
注意(如果不用commands限制,没必要在登录时实施authorization commands,可能会因为这个小小的命令导致你摸不着头脑 )
2.在telnet实施审计
Router1(config-line)#accounting connection default
Router1(config-line)#accounting commands 15 default
Router1(config-line)#accounting exec default
审计登录后操作日志
在部分交换机的user guide里面,并没有提到要在line vty 0 4里面配置accounting,可能容易误导用户以为配置全局配置就收工
3.在console port实施同样的配置
三、效果
1.在console port使用TAC+认证后才能进入
2.使用TAC+普通用户登录后,使用本地enable password进入特权模式
3.使用TAC+配置shell exec与privilege 15后,可以让用户直接进入特权模式
4.在TAC+界面的TAC+ administration active可以检查到设备上面的记录