Настройка TACACS-авторизации на MES2300-xx/3300-xx/3500-xx/5312/53xxA/53xx-xx/54xx-xx/5500-32

Протокол TACACS+ обеспечивает централизованную систему безопасности для проверки пользователей, получающих доступ к устройству, при этом поддерживая совместимость с RADIUS и другими процессами проверки подлинности.

1. Для начала необходимо указать ip-адрес tacacs-сервера и указать key:
   
   console(config)# tacacs-server host 192.168.10.5 key secret
   
   
   
2. Далее установить способ аутентификации для входа в систему по протоколу tacacs+:
   
   console(config)# aaa authentication login authorization default tacacs local
   
   
   
3. Установить способ аутентификации при повышении уровня привилегий:
   
   console(config)# aaa authentication enable authorization default tacacs enable
   
   
   Чтобы не потерять доступ до коммутатора (в случае недоступности tacacs-сервера), рекомендуется создать учетную запись в локальной базе данных и задать пароль на привилегированный режим.
   
   
4. Создать учетную запись:
   
   console(config)# username tester password eltex privilege 15

   
   
5. Задать пароль на доступ в привилегированный режим:
   
   console(config)# enable password eltex
   
   
   
6. Разрешить ведение учета (аккаунта) для сессий управления.
   
   console(config)# aaa accounting login start-stop group tacacs+
   
   
   
7. Включить ведение учета введенных в CLI команд по протоколу tacacs+.
   
   console(config)# aaa accounting commands stop-only group tacacs+
   
   Примечание: По умолчанию используется проверка по локальной базе данных (aaa authentication login default local).
   
   
   
8. Включить авторизацию вводимых команд на сервере Tacacs:
   
   console(config)# aaa authorization commands default group tacacs+ local
   
   
   После этого каждая вводимая команда будет проходить авторизацию на сервере.
   
   Примечание: Данный функционал доступен начиная с версии 6.5.2.1.