Протокол TACACS+ обеспечивает централизованную систему безопасности для проверки пользователей, получающих доступ к устройству, при этом поддерживая совместимость с RADIUS и другими процессами проверки подлинности.
- Для начала необходимо указать ip-адрес tacacs-сервера и указать key:
console(config)# tacacs-server host 192.168.10.5 key secret - Далее установить способ аутентификации для входа в систему по протоколу tacacs+:
console(config)# aaa authentication login authorization default tacacs local - Установить способ аутентификации при повышении уровня привилегий:
console(config)# aaa authentication enable authorization default tacacs enable
Чтобы не потерять доступ до коммутатора (в случае недоступности tacacs-сервера), рекомендуется создать учетную запись в локальной базе данных и задать пароль на привилегированный режим. - Создать учетную запись:
console(config)# username tester password eltex privilege 15 - Задать пароль на доступ в привилегированный режим:
console(config)# enable password eltex - Разрешить ведение учета (аккаунта) для сессий управления.
console(config)# aaa accounting login start-stop group tacacs+ - Включить ведение учета введенных в CLI команд по протоколу tacacs+.
console(config)# aaa accounting commands stop-only group tacacs+
Примечание: По умолчанию используется проверка по локальной базе данных (aaa authentication login default local). - Включить авторизацию вводимых команд на сервере Tacacs:
console(config)# aaa authorization commands default group tacacs+ local
После этого каждая вводимая команда будет проходить авторизацию на сервере.
Примечание: Данный функционал доступен начиная с версии 6.5.2.1.
Комментарии (11)