一、TACACS+ 全局配置
1. 认证配置
Router1#configure terminal
Router1(config)#aaa new-model
Router1(config)#aaa authentication login default group tacacs+ local
加上local 代表tacacs+ server失效后.使用本地认证
2、配置授权
Router1(config)#aaa authorization exec default group tacacs+ local
Router1(config)#aaa authorization commands 15 default group tacacs+
3、配置tacacs-server
Router1(config)#tacacs-server host 10.253.100.100
Router1(config)#tacacs-server key cisco
4. 记录用户行为审计
记录用户输入的配置命令和时间
Router1(config)#aaa accounting commands 15 default start-stop group tacacs+
Router1(config)#aaa accounting exec default start-stop group tacacs+
Router1(config)#aaa accounting connection default start-stop group tacacs+
二、登录界面实施配置
1.在telnet实施认证与授权
Router1(config)#line vty 0 4
Router1(config-line)#login authentication default
­登录认证
Router1(config-line)#authorization exec default
授权
注意(如果不用commands限制,没必要在登录时实施authorization commands,可能会因为这个小小的命令导致你摸不着头脑 )
2.在telnet实施审计
Router1(config-line)#accounting connection default
Router1(config-line)#accounting commands 15 default
Router1(config-line)#accounting exec default
审计登录后操作日志
在部分交换机的user guide里面,并没有提到要在line vty 0 4里面配置accounting,可能容易误导用户以为配置全局配置就收工
3.在console port实施同样的配置
三、效果
1.在console port使用TAC+认证后才能进入
2.使用TAC+普通用户登录后,使用本地enable password进入特权模式
3.使用TAC+配置shell exec与privilege 15后,可以让用户直接进入特权模式
4.在TAC+界面的TAC+ administration active可以检查到设备上面的记录
四、遇到的问题
1.我用的Cisco ACS 3.3.1 存在一个bug,Perflib的问题,小心如果更换java环境版本的话可能会造成Cisco Radius/TACAS server在服务里面起不来
2.网上有很多地方说到这个命令
aaa authentication enable default tacact+ enable
但是加上这个命令后造成了我很多麻烦,或者是我的配置有问题
表现为
1)、console port enable出现username and password后,无法登录
2)、TAC+普通用户组telnet后,在>无法使用enable进入
3)、用户与用户组属性Network Access Restrictions (NAR)无法显示
五、延伸
(1)如果设备过多的话,要分成设备组,可以在TAC+ -->interface configuration-->Adanced options--->Network Device groups,然后在Network Configuration里,分成不同的group来增加AAA client,但AAA server不用同时增加
(2)鉴于安全管理,由于用户帐户可能需要自主修改密码或者帐户借给他人使用之后需要修改过来,所以可以在Cisco ACS的光盘里或者安装文件夹里有个ACS Utilities--->> User Change-able password, 安装UCP之后,能过本起本启动的Web server(IIS or Apache for windows),建立virtual directories,布署User Change-able password Web user interface
1. 认证配置
Router1#configure terminal
Router1(config)#aaa new-model
Router1(config)#aaa authentication login default group tacacs+ local
加上local 代表tacacs+ server失效后.使用本地认证
2、配置授权
Router1(config)#aaa authorization exec default group tacacs+ local
Router1(config)#aaa authorization commands 15 default group tacacs+
3、配置tacacs-server
Router1(config)#tacacs-server host 10.253.100.100
Router1(config)#tacacs-server key cisco
4. 记录用户行为审计
记录用户输入的配置命令和时间
Router1(config)#aaa accounting commands 15 default start-stop group tacacs+
Router1(config)#aaa accounting exec default start-stop group tacacs+
Router1(config)#aaa accounting connection default start-stop group tacacs+
二、登录界面实施配置
1.在telnet实施认证与授权
Router1(config)#line vty 0 4
Router1(config-line)#login authentication default
­登录认证
Router1(config-line)#authorization exec default
授权
注意(如果不用commands限制,没必要在登录时实施authorization commands,可能会因为这个小小的命令导致你摸不着头脑 )
2.在telnet实施审计
Router1(config-line)#accounting connection default
Router1(config-line)#accounting commands 15 default
Router1(config-line)#accounting exec default
审计登录后操作日志
在部分交换机的user guide里面,并没有提到要在line vty 0 4里面配置accounting,可能容易误导用户以为配置全局配置就收工
3.在console port实施同样的配置
三、效果
1.在console port使用TAC+认证后才能进入
2.使用TAC+普通用户登录后,使用本地enable password进入特权模式
3.使用TAC+配置shell exec与privilege 15后,可以让用户直接进入特权模式
4.在TAC+界面的TAC+ administration active可以检查到设备上面的记录
四、遇到的问题
1.我用的Cisco ACS 3.3.1 存在一个bug,Perflib的问题,小心如果更换java环境版本的话可能会造成Cisco Radius/TACAS server在服务里面起不来
2.网上有很多地方说到这个命令
aaa authentication enable default tacact+ enable
但是加上这个命令后造成了我很多麻烦,或者是我的配置有问题
表现为
1)、console port enable出现username and password后,无法登录
2)、TAC+普通用户组telnet后,在>无法使用enable进入
3)、用户与用户组属性Network Access Restrictions (NAR)无法显示
五、延伸
(1)如果设备过多的话,要分成设备组,可以在TAC+ -->interface configuration-->Adanced options--->Network Device groups,然后在Network Configuration里,分成不同的group来增加AAA client,但AAA server不用同时增加
(2)鉴于安全管理,由于用户帐户可能需要自主修改密码或者帐户借给他人使用之后需要修改过来,所以可以在Cisco ACS的光盘里或者安装文件夹里有个ACS Utilities--->> User Change-able password, 安装UCP之后,能过本起本启动的Web server(IIS or Apache for windows),建立virtual directories,布署User Change-able password Web user interface