Sécurité et VPN : Terminal Access Controller Access Control System (TACACS+)

Exemple de configuration de base de TACACS+

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document fournit une configuration d'échantillon de base pour le contrôle d'accès System+ (TACACS+) de Terminal Access Controller pour l'authentification commutée d'utilisateur à un serveur d'accès à distance (NAS).

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Cette configuration a été développée et testée utilisant le logiciel et les versions de matériel suivants :

  • NAS

  • Fichier de configuration TACACS+ (version libre)

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Remarque: TACACS+ est une version propriétaire de Cisco de TACACS ainsi il est seulement pris en charge avec Cisco ACS.

Conventions

Pour plus d'informations sur les conventions des documents, référez-vous aux Conventions utilisées pour les conseils techniques de Cisco.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Pour obtenir des informations supplémentaires sur les commandes utilisées dans ce document, utilisez l'Outil de recherche de commande (clients enregistrés seulement).

Diagramme du réseau

Ce document utilise la configuration réseau indiquée dans le diagramme suivant :

/image/gif/paws/10368/basictacacs.gif

Configurations

Ce document utilise les configurations présentées ci-dessous.

Remarque: Assurez-vous que l'accès distant fonctionne. Une fois que le modem peut se connecter et authentifier localement, activez TACACS+.

NAS
version 11.2
!
service timestamps debug datetime msec
service timestamps log uptime
service password-encryption
no service udp-small-servers
no service tcp-small-servers
!
hostname Cisco3640
!
aaa new-model
aaa authentication login default tacacs local
aaa authentication login consoleport none
aaa authentication ppp default if-needed tacacs
aaa authorization network tacacs   

!--- This is needed for static IP address assignment.

!
enable password cisco
!
username cisco password letmein
!
interface Ethernet0
 ip address 10.29.1.3 255.255.255.0
!
Interface Group-Async1
 ip unnumbered Ethernet0
 encapsulation ppp
 async mode interactive
 peer default ip address pool async
 no cdp enable
 ppp authentication chap
 group-range 1 16
!
ip local pool async 10.6.100.101 10.6.100.103
tacacs-server host 10.6.101.101
tacacs-server key cisco
!
line con 0
 login authentication consoleport   

!--- This always allows console port access.

!
line 1 16
 autoselect ppp
 autoselect during-login
 modem Dialin
 transport input all
 stopbits 1
 rxspeed 115200
 txspeed 115200
 flowcontrol hardware
!
line aux 0
!
line vty 0 4
!
end

Fichier de configuration TACACS+ (version libre)

!--- This creates a superuser (such as one with administrator permissions) 
!--- who is granted all privileges by "default service = permit", and has a password 
!--- that allows for connections in any mode.

user = Russ
{
  global = cleartext 'bar'
  default service = permit
}

!--- This creates a normal PPP user who gets an IP address from the router.

user = Jason
{
  chap = cleartext 'letmein'
  service = ppp protocol = ip {}
}

!--- This creates a user whose IP address is statically assigned.

user = Laura
{
  chap = cleartext 'letmein'
  service = ppp protocol = ip 
		{
		  addr = 10.1.1.104
		}
}

Vérifiez

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Dépannage des commandes

Certaines commandes show sont prises en charge par l'Output Interpreter Tool (clients enregistrés uniquement), qui vous permet de voir une analyse de la sortie de la commande show.

Remarque: Avant d'exécuter les commandes debug, référez-vous à la section Informations importantes sur les commandes Debug.

  • debug ppp negotiation — Affiche si un client passe la négociation PPP ; contrôle en ce moment pour la négociation d'adresse.

  • debug ppp authentication — Affiche si un client passe l'authentification. Si vous utilisez une version logicielle de Cisco IOSÝ plus tôt que 11.2, émettez la commande de debug ppp chap à la place.

  • debug ppp error — Les erreurs de protocole et les statistiques sur les erreurs d'affichages ont associé avec la négociation et l'exécution de connexion PPP.

  • debug aaa authentication — Affiche quelle méthode est utilisée pour authentifier (ce devrait être TACACS+ à moins que le serveur TACACS+ soit en panne) et si les utilisateurs passent l'authentification.

  • autorisation de debug aaa — Affiche quelle méthode est utilisée pour l'autorisation et si les utilisateurs la passent.

  • debug tacacs — Affiche les messages envoyés au serveur.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 10368