Segurança e VPN : Terminal Access Controller Access Control System (TACACS+)

Basic TACACS+ Configuration Example

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento fornece uma configuração de exemplo básico para o controle de acesso System+ do Terminal Access Controller (TACACS+) para a autenticação do tratamento por imagens do usuário a um servidor do acesso de rede (NAS).

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

Esta configuração foi desenvolvida e testada utilizando as seguintes versões de software e hardware:

  • NAS

  • TACACS+ Arquivo de configuração (versão freeware)

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Nota: O TACACS+ é uma versão de proprietário de Cisco do TACACS assim que é apoiado somente com Cisco ACS.

Convenções

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Para localizar informações adicionais sobre os comandos usados neste documento, utilize a Ferramenta Command Lookup (somente clientes registrados).

Diagrama de Rede

Este documento utiliza a instalação de rede mostrada no diagrama abaixo.

/image/gif/paws/10368/basictacacs.gif

Configurações

Este documento utiliza as configurações mostradas abaixo.

Nota: Certifique-se de que o discado funciona. Uma vez que o modem pode conectar e autenticar localmente, gire sobre o TACACS+.

NAS
version 11.2
!
service timestamps debug datetime msec
service timestamps log uptime
service password-encryption
no service udp-small-servers
no service tcp-small-servers
!
hostname Cisco3640
!
aaa new-model
aaa authentication login default tacacs local
aaa authentication login consoleport none
aaa authentication ppp default if-needed tacacs
aaa authorization network tacacs   

!--- This is needed for static IP address assignment.

!
enable password cisco
!
username cisco password letmein
!
interface Ethernet0
 ip address 10.29.1.3 255.255.255.0
!
Interface Group-Async1
 ip unnumbered Ethernet0
 encapsulation ppp
 async mode interactive
 peer default ip address pool async
 no cdp enable
 ppp authentication chap
 group-range 1 16
!
ip local pool async 10.6.100.101 10.6.100.103
tacacs-server host 10.6.101.101
tacacs-server key cisco
!
line con 0
 login authentication consoleport   

!--- This always allows console port access.

!
line 1 16
 autoselect ppp
 autoselect during-login
 modem Dialin
 transport input all
 stopbits 1
 rxspeed 115200
 txspeed 115200
 flowcontrol hardware
!
line aux 0
!
line vty 0 4
!
end

TACACS+ Arquivo de configuração (versão freeware)

!--- This creates a superuser (such as one with administrator permissions) 
!--- who is granted all privileges by "default service = permit", and has a password 
!--- that allows for connections in any mode.

user = Russ
{
  global = cleartext 'bar'
  default service = permit
}

!--- This creates a normal PPP user who gets an IP address from the router.

user = Jason
{
  chap = cleartext 'letmein'
  service = ppp protocol = ip {}
}

!--- This creates a user whose IP address is statically assigned.

user = Laura
{
  chap = cleartext 'letmein'
  service = ppp protocol = ip 
		{
		  addr = 10.1.1.104
		}
}

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Comandos para Troubleshooting

A Output Interpreter Tool (somente clientes registrados) oferece suporte a determinados comandos show, o que permite exibir uma análise da saída do comando show.

Nota: Antes de emitir comandos debug, consulte Informações importantes sobre comandos debug.

  • debugar a negociação ppp — Mostra se um cliente está passando a negociação de PPP; verifique se há negociação de endereço nesse ponto.

  • debugar a autenticação de PPP — Mostra se um cliente está passando a autenticação. Se você está usando um software release do ½ do ¿  de Cisco IOSï mais cedo de 11.2, emita o comando debug ppp chap pelo contrário.

  • debug ppp error — mostra erros de protocolo e estatísticas de erros associados à negociação e à operação da conexão PPP.

  • debugar a autenticação aaa — Mostra que método está sendo usado para autenticar (deve ser TACACS+ a menos que o server TACACS+ estiver para baixo) e mesmo se os usuários estão passando a autenticação.

  • debug aaa authorization — Mostra que método está sendo usado para a autorização e mesmo se os usuários a estão passando.

  • debugar tacacs — Mostra as mensagens enviadas ao server.


Informações Relacionadas


Document ID: 10368