前言
Catalyst交换机系列(Catalyst 4000、运行CatcOs)的Catalyst 5000和Catalyst 6000 支持某种认证形式,开始在2.2代码。增进添加了带有最新版本。TACACS+ (TCP端口49,不是XTACACS UDP 端口49),远程访问拨入用户服务(RADIUS),或者Kerberos服务器用户设置为验证、授权和记帐(AAA)是相同象为路由器用户。本文包含最小的命令的示例必要启用这些功能。其它选项是可用的在交换机说明文件为版本在考虑中。
背景信息
由于最新编码版本支持其它选项,您在交换机将需要确定编码版本您通过发出show version命令 使用。一旦确定了在交换机使用的编码版本,使用表如下确定什么选项是可用的在您的设备,并且哪些选项您希望配置。
一般,总保持在交换机当添加认证和授权时。测试配置在另一个窗口为了避免偶然地锁定。
配置步骤
步骤A - TACACS+认证
带有初期的编码版本,命令不是一样复杂的象在一些最新版本。其它选项在最新版本可能取得到在您的交换机。
确定有后门到交换机如果服务器发生故障通过发出以下命令: set authentication login local enable
启用TACACS+认证通过发出以下命令: set authentication login tacacs enable
定义服务器通过发出以下命令: set tacacs server tacacs_server
定义服务器密钥(这是可选带有TACACS+,因为引起交换机对服务器数据被加密。如果使用,它必须与服务器一致 )通过发出以下命令: set tacacs key your_key
步骤B - RADIUS认 证
带有初期的编码版本,命令不是一样复杂的象在一些最新版本。其它选项在最新版本可能取得到在您的交换机。
确定有后门到交换机如果服务器发生故障通过发出以下命令: set authentication login local enable
启用RADIUS认证通过发出以下命令: set authentication login radius enable
定义服务器。在其他Cisco设备,默认RADIUS端口是 1645/1646 (authentication/accounting)。
在Catalyst,默认端口是1812/1813。 如果使用CiscoSecure或与其他Cisco设备联络的一个服务器,使用的端口是1645/1646。发出以下命令定义服务器: set radius server radius_server auth-port 1645 acct-port 1646 primary
定义服务器密钥。
因为引起交换机对服务器密码根据RADIUS 请求注释 (RFC),被加密这是必须的。 如果使用,它必须与服务器 一致。 发出以下命令: set radius key your_key
步骤C - 本地用户 名验证/授权
开始在CATOS版本7.5.1,本地用户认证是可能的(例如,您可能使用在Catalyst用户名和口令达到验证/授权存储,而不是认证通过一个本地密码)。
只有二个权限级别为本地用户认证,0或者15。级别0是无特权的exec级别。第15级是特许启用级别。
通过添加在本例中的以下命令,用户"poweruser"在Telnet在激活模式到达或控制台对交换机和用户"nonenable"在Telnet在EXEC模式或控制台到达 到交换机。
set localuser user poweruser password powerpass privilege 15
set localuser user nonenable password nonenable
注意: 如果用户"nonenable" 知道enable password,该用户能继续到激活模式
在配置以后,密码被存储加了密。
本地用户名认证可以与远程TACACS+ exec 或者命令记帐或者远程RADIUS exec 记帐一道使用。它可能与远程TACACS+ exec或命令授权一道也使用,但不有道理如此执行因为用户名将需要存储两个TACACS+服务器并且本地交换机。
步骤D - TACACS+命令授权
在我们的示例,我们通知交换机为仅配置命令要求授权使用TACACS+。在TACACS+ 服务器发生 故障情形下,认证将是无。这适用于控制台端口和Telnet会话。 发出以下命令:
set authorization commands enable config tacacs none both
在本例中,您可能配置TACACS+服务器通过设置以下参数允许:
command=set
arguments (permit)=port 2/12
set port enable 2/12 命令将被发送到TACACS+服务器为验证。
注意: 由于命令授权被启用,不同于在启用其中没有认为命令的路由器,交换机将字面上发送命 令 启用到服务器当启 用尝试。切记也配置服务器允许命令 启用。
步骤 E - TACACS+ EXEC授权
在我们的示例,我们通知交换机为EXEC 会话要求授权使用TACACS+。在TACACS+服务器发生故障情形下,授权将是无。这适用于控制台端口和Telnet会话。发出以下命令:
set authorization exec enable tacacs+ none both
除认证请求之外,这导致分开的授权请求对TACACS+服务器从交换机。如果用户配置文件在 TACACS服务器为shell/exec配置,该用户能访问交换机。
这防止用户没有在服务器配置的shell/exec服务(例如点到点(PPP)用户)记录到交换机。他们将收到读EXEC模式授权发生故障的消息。除 permitting/denying EXEC模式之外为用户,用户可以是牵强的到激活模式当进入由有在服务器时15指定的权限级别(你一定运行 Bug ID CSCdr51314是固定的)的代码。
Bug Toolkit (注册的用户) -使用此工具搜索根据软件版本、功能集和关键字的已知Bug。
步骤 F - RADIUS执行授权
没有命令启用RADIUS执行授权。选择是设置服务类型(RADIUS属性6)为Admistrative (即值6) 在RADIUS服务器启动用户到激活模式在RADIUS 服务器。如果服务类型为任何东西设置除6 管理之外(例如,1登录、7 shell或者2构筑的) ,用户将是在交换机EXEC提示,但不是启用提示。
步骤G - 记帐 - TACACS+或RADIUS
启用TACACS+记帐为:
得到交换机提示的用户,发出以下命令: set accounting exec enable start-stop tacacs+
远程登录在交换机的外面用户,发出以下命令: set accounting connect enable start-stop tacacs+
重新启动交换机,发出以下命令: set accounting system enable start-stop tacacs+
执行命令的用户,发出以下命令: set accounting commands enable all start-stop tacacs+
提示到服务器例如,对更新记录一次每分钟表示,用户仍然登录,发出以下命令: set accounting update periodic 1
启用RADIUS记帐为:
得到交换机提示的用户,发出以下命令: set accounting exec enable start-stop radius
远程登录在交换机的外面用户,发出以下命令: set accounting connect enable start-stop radius
重新启动交换机,发出以下命令: set accounting system enable start-stop radius
提示到服务器例如,对更新记录一次每分钟表示,用户仍然登录,发出以下命令: set accounting update periodic 1
TACACS+ 免费软件记录
下面是示例记录在服务器如何可能出现:
Fri Mar 24 13:22:41 2000 10.31.1.151 pinecone telnet85
171.68.118.100 stop task_id=5 start_time=953936729 timezone=UTC
service=shell disc-cause=2 elapsed_time=236
Fri Mar 24 13:22:50 2000 10.31.1.151 pinecone telnet85
171.68.118.100 stop task_id=15 start_time=953936975 timezone=UTC
service=shell priv-lvl=0 cmd=enable
Fri Mar 24 13:22:54 2000 10.31.1.151 pinecone telnet85
171.68.118.100 stop task_id=16 start_time=953936979 timezone=UTC
service=shell priv-lvl=15 cmd=write terminal
Fri Mar 24 13:22:59 2000 10.31.1.151 pinecone telnet85
171.68.118.100 stop task_id=17 start_time=953936984 timezone=UTC
service=shell priv-lvl=15 cmd=show version
Fri Mar 24 13:23:19 2000 10.31.1.151 pinecone telnet85
171.68.118.100 update task_id=14 start_time=953936974 timezone=UTC
service=shell
RADIUS在UNIX记录输出
下面是示例记录在服务器如何可能出现:
Client-Id = 10.31.1.151
NAS-Port-Type = 0
User-Name = "login"
Acct-Status-Type = Start
Acct-Authentic = RADIUS
User-Service-Type = 7
Acct-Session-Id = "0000002b"
Acct-Delay-Time = 0
Client-Id = 10.31.1.151
NAS-Port-Type = 0
User-Name = "login"
Calling-Station-Id = "171.68.118.100"
Acct-Status-Type = Start
User-Service-Type = Login-User
Acct-Session-Id = "0000002c"
Login-Service = Telnet
Login-Host = 171.68.118.100
Acct-Delay-Time = 0
Client-Id = 10.31.1.151
NAS-Port-Type = 0
User-Name = "login"
Calling-Station-Id = "171.68.118.100"
Acct-Status-Type = Stop
User-Service-Type = Login-User
Acct-Session-Id = "0000002c"
Login-Service = Telnet
Login-Host = 171.68.1
Catalyst交换机系列(Catalyst 4000、运行CatcOs)的Catalyst 5000和Catalyst 6000 支持某种认证形式,开始在2.2代码。增进添加了带有最新版本。TACACS+ (TCP端口49,不是XTACACS UDP 端口49),远程访问拨入用户服务(RADIUS),或者Kerberos服务器用户设置为验证、授权和记帐(AAA)是相同象为路由器用户。本文包含最小的命令的示例必要启用这些功能。其它选项是可用的在交换机说明文件为版本在考虑中。
背景信息
由于最新编码版本支持其它选项,您在交换机将需要确定编码版本您通过发出show version命令 使用。一旦确定了在交换机使用的编码版本,使用表如下确定什么选项是可用的在您的设备,并且哪些选项您希望配置。
一般,总保持在交换机当添加认证和授权时。测试配置在另一个窗口为了避免偶然地锁定。
配置步骤
步骤A - TACACS+认证
带有初期的编码版本,命令不是一样复杂的象在一些最新版本。其它选项在最新版本可能取得到在您的交换机。
确定有后门到交换机如果服务器发生故障通过发出以下命令: set authentication login local enable
启用TACACS+认证通过发出以下命令: set authentication login tacacs enable
定义服务器通过发出以下命令: set tacacs server tacacs_server
定义服务器密钥(这是可选带有TACACS+,因为引起交换机对服务器数据被加密。如果使用,它必须与服务器一致 )通过发出以下命令: set tacacs key your_key
步骤B - RADIUS认 证
带有初期的编码版本,命令不是一样复杂的象在一些最新版本。其它选项在最新版本可能取得到在您的交换机。
确定有后门到交换机如果服务器发生故障通过发出以下命令: set authentication login local enable
启用RADIUS认证通过发出以下命令: set authentication login radius enable
定义服务器。在其他Cisco设备,默认RADIUS端口是 1645/1646 (authentication/accounting)。
在Catalyst,默认端口是1812/1813。 如果使用CiscoSecure或与其他Cisco设备联络的一个服务器,使用的端口是1645/1646。发出以下命令定义服务器: set radius server radius_server auth-port 1645 acct-port 1646 primary
定义服务器密钥。
因为引起交换机对服务器密码根据RADIUS 请求注释 (RFC),被加密这是必须的。 如果使用,它必须与服务器 一致。 发出以下命令: set radius key your_key
步骤C - 本地用户 名验证/授权
开始在CATOS版本7.5.1,本地用户认证是可能的(例如,您可能使用在Catalyst用户名和口令达到验证/授权存储,而不是认证通过一个本地密码)。
只有二个权限级别为本地用户认证,0或者15。级别0是无特权的exec级别。第15级是特许启用级别。
通过添加在本例中的以下命令,用户"poweruser"在Telnet在激活模式到达或控制台对交换机和用户"nonenable"在Telnet在EXEC模式或控制台到达 到交换机。
set localuser user poweruser password powerpass privilege 15
set localuser user nonenable password nonenable
注意: 如果用户"nonenable" 知道enable password,该用户能继续到激活模式
在配置以后,密码被存储加了密。
本地用户名认证可以与远程TACACS+ exec 或者命令记帐或者远程RADIUS exec 记帐一道使用。它可能与远程TACACS+ exec或命令授权一道也使用,但不有道理如此执行因为用户名将需要存储两个TACACS+服务器并且本地交换机。
步骤D - TACACS+命令授权
在我们的示例,我们通知交换机为仅配置命令要求授权使用TACACS+。在TACACS+ 服务器发生 故障情形下,认证将是无。这适用于控制台端口和Telnet会话。 发出以下命令:
set authorization commands enable config tacacs none both
在本例中,您可能配置TACACS+服务器通过设置以下参数允许:
command=set
arguments (permit)=port 2/12
set port enable 2/12 命令将被发送到TACACS+服务器为验证。
注意: 由于命令授权被启用,不同于在启用其中没有认为命令的路由器,交换机将字面上发送命 令 启用到服务器当启 用尝试。切记也配置服务器允许命令 启用。
步骤 E - TACACS+ EXEC授权
在我们的示例,我们通知交换机为EXEC 会话要求授权使用TACACS+。在TACACS+服务器发生故障情形下,授权将是无。这适用于控制台端口和Telnet会话。发出以下命令:
set authorization exec enable tacacs+ none both
除认证请求之外,这导致分开的授权请求对TACACS+服务器从交换机。如果用户配置文件在 TACACS服务器为shell/exec配置,该用户能访问交换机。
这防止用户没有在服务器配置的shell/exec服务(例如点到点(PPP)用户)记录到交换机。他们将收到读EXEC模式授权发生故障的消息。除 permitting/denying EXEC模式之外为用户,用户可以是牵强的到激活模式当进入由有在服务器时15指定的权限级别(你一定运行 Bug ID CSCdr51314是固定的)的代码。
Bug Toolkit (注册的用户) -使用此工具搜索根据软件版本、功能集和关键字的已知Bug。
步骤 F - RADIUS执行授权
没有命令启用RADIUS执行授权。选择是设置服务类型(RADIUS属性6)为Admistrative (即值6) 在RADIUS服务器启动用户到激活模式在RADIUS 服务器。如果服务类型为任何东西设置除6 管理之外(例如,1登录、7 shell或者2构筑的) ,用户将是在交换机EXEC提示,但不是启用提示。
步骤G - 记帐 - TACACS+或RADIUS
启用TACACS+记帐为:
得到交换机提示的用户,发出以下命令: set accounting exec enable start-stop tacacs+
远程登录在交换机的外面用户,发出以下命令: set accounting connect enable start-stop tacacs+
重新启动交换机,发出以下命令: set accounting system enable start-stop tacacs+
执行命令的用户,发出以下命令: set accounting commands enable all start-stop tacacs+
提示到服务器例如,对更新记录一次每分钟表示,用户仍然登录,发出以下命令: set accounting update periodic 1
启用RADIUS记帐为:
得到交换机提示的用户,发出以下命令: set accounting exec enable start-stop radius
远程登录在交换机的外面用户,发出以下命令: set accounting connect enable start-stop radius
重新启动交换机,发出以下命令: set accounting system enable start-stop radius
提示到服务器例如,对更新记录一次每分钟表示,用户仍然登录,发出以下命令: set accounting update periodic 1
TACACS+ 免费软件记录
下面是示例记录在服务器如何可能出现:
Fri Mar 24 13:22:41 2000 10.31.1.151 pinecone telnet85
171.68.118.100 stop task_id=5 start_time=953936729 timezone=UTC
service=shell disc-cause=2 elapsed_time=236
Fri Mar 24 13:22:50 2000 10.31.1.151 pinecone telnet85
171.68.118.100 stop task_id=15 start_time=953936975 timezone=UTC
service=shell priv-lvl=0 cmd=enable
Fri Mar 24 13:22:54 2000 10.31.1.151 pinecone telnet85
171.68.118.100 stop task_id=16 start_time=953936979 timezone=UTC
service=shell priv-lvl=15 cmd=write terminal
Fri Mar 24 13:22:59 2000 10.31.1.151 pinecone telnet85
171.68.118.100 stop task_id=17 start_time=953936984 timezone=UTC
service=shell priv-lvl=15 cmd=show version
Fri Mar 24 13:23:19 2000 10.31.1.151 pinecone telnet85
171.68.118.100 update task_id=14 start_time=953936974 timezone=UTC
service=shell
RADIUS在UNIX记录输出
下面是示例记录在服务器如何可能出现:
Client-Id = 10.31.1.151
NAS-Port-Type = 0
User-Name = "login"
Acct-Status-Type = Start
Acct-Authentic = RADIUS
User-Service-Type = 7
Acct-Session-Id = "0000002b"
Acct-Delay-Time = 0
Client-Id = 10.31.1.151
NAS-Port-Type = 0
User-Name = "login"
Calling-Station-Id = "171.68.118.100"
Acct-Status-Type = Start
User-Service-Type = Login-User
Acct-Session-Id = "0000002c"
Login-Service = Telnet
Login-Host = 171.68.118.100
Acct-Delay-Time = 0
Client-Id = 10.31.1.151
NAS-Port-Type = 0
User-Name = "login"
Calling-Station-Id = "171.68.118.100"
Acct-Status-Type = Stop
User-Service-Type = Login-User
Acct-Session-Id = "0000002c"
Login-Service = Telnet
Login-Host = 171.68.1