一般在用AAA服务器进行用户授权访问管理的时候,local认证会作为一个备份策略使用。
aaa authentication login TelnetManage group tacacs+ local,
同时在line vty下配置login authentication TelnetManage
其中TelnetMange为在acs sever上配置的用户组名。
此语句配置的功能:
aaa生效的时候不调用local,aaa不生效的时候,即acs server连接失效的时候才调用local认证。
由此反之理解,如果把local放置到tacacs+的前面,那么local将先于tacacs+生效,那么aaa只有在local失效的情况下可用。
实际情况则是在我们进行如下配置aaa authentication login TelnetManage local group tacacs+后,aaa和local的用户都可以对设备进行登陆!
个人感觉应该是line vty下既然调用了aaa,那么就一定能用。而又因为aaa配置中local放到了tacacs+的前面,导致local的调用不再取决于aaa。
在实验之前,我们的技术大拿10来年的IE也是觉得aaa不会生效,实际试验则证明可以用,可见不管我们对cisco的技术掌握的多深厚精通,我们不知道他开发的IOS源代码,主观臆断是不可以的。