Sécurité et VPN : Terminal Access Controller Access Control System (TACACS+)

Configuration de TACACS+ sur Catalyst 1900 et 2820

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (6 octobre 2015) | Commentaires


Contenu


Introduction

La release du Catalyst 1900/2820 8.x Enterprise Edition des supports logiciels TACACS+ (pas XTACACS). L'installation utilisateur de serveur TACACS+ ou de CiscoSecure pour l'authentification est identique que pour des utilisateurs du routeur. Ce conseil technique décrit l'installation sur le Catalyst 1900 et les 2820.

Remarque: Le Basculement sur le 1900 et les 2820 est mis en application différemment que sur l'autre matériel de Cisco. Si le serveur TACACS+ est inaccessible, les mots de passe locaux ne peuvent être utilisés ou aucune authentification être exigés (selon la façon dont le commutateur est configuré). Bien que, si le serveur TACACS+ est accessible mais le démon TACACS+ est vers le bas, des mots de passe locaux et le Basculement à aucune authentification ne soient pas utilisés (en d'autres termes, vous serez verrouillé hors du commutateur).

Remarque: Des connexions de Web de HTTP sont toujours authentifiées utilisant le mot de passe local (pas tacacs+). L'utilisation des options du menu est non valide quand TACACS+ est activé. TACACS+ est utilisé pour l'authentification d'interface de ligne de commande.

Avant de commencer

Conventions

Pour plus d'informations sur les conventions des documents, référez-vous aux Conventions utilisées pour les conseils techniques de Cisco.

Conditions préalables

Aucune condition préalable spécifique n'est requise pour ce document.

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Étapes de configuration

  1. De l'interface de ligne de commande (CLI), authentification de l'enable TACACS+ pour la procédure de connexion utilisant la commande ci-dessous.

    tacacs de procédure de connexion

  2. Utilisez la commande ci-dessous de dire au commutateur où le serveur est.

    tacacs-server host 1.1.1.1

  3. Utilisez la commande ci-dessous de dire au commutateur ce qu'est la clé partagée.

    tacacs-server key Cisco

  4. Choisissez une des deux options ci-dessous.

    1. Utilisez la commande ci-dessous de dire au commutateur le mot de passe de utiliser si le serveur TACACS+ devient inaccessible.

      niveau 1 Cisco de mot de passe d'enable

      Utilisez la commande ci-dessous de dire le commutateur d'utiliser le mot de passe local si le serveur TACACS+ devient inaccessible.

      mot de passe de dernier-station de vacances de serveur TACACS

    2. Utilisez la commande ci-dessous de dire le commutateur de permettre des utilisateurs dedans sans mot de passe si le serveur TACACS+ devient inaccessible.

      la dernier-station de vacances de serveur TACACS réussissent

    Avant de quitter le commutateur, telnet au commutateur d'une autre session pour être sûr que vous pouvez obtenir en utilisant TACACS+. Avant de quitter le commutateur, incitez le serveur inaccessible pour être sûr que vous pouvez entrer sans utiliser TACACS+. Les étapes restantes sont facultatives.

  5. Utilisez la commande ci-dessous d'activer l'authentification TACACS+ pour le mode enable.

    utilisation-tacacs d'enable

    Remarque: Cette étape est nécessaire seulement si des utilisateurs d'enable doivent être authentifiés par le serveur TACACS+ ; il doit également y a une entrée d'enable dans le serveur pour que ceci fonctionne.

  6. Utilisez la commande ci-dessous d'activer l'authentification locale pour le mode enable si le serveur TACACS+ devient inaccessible.

    niveau 15 Cisco de mot de passe d'enable

    Ce mot de passe est valide seulement si le mot de passe de dernier-station de vacances de serveur TACACS est également configuré.

  7. Utilisez la commande ci-dessous de configurer le nombre de tentatives de procédure de connexion permises sur le serveur TACACS+.

    nombre de tacacs-server attempts

  8. Utilisez la commande ci-dessous de placer le délai d'expiration dans lequel le démon de serveur doit répondre (c'est facultatif, mais pourrait être nécessaire sur un réseau lent.

    tacacs-server timeout N


Informations connexes


Document ID: 9906