安全与 VPN : Terminal Access Controller Access Control System (TACACS+)

基本TACACS +配置示例

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


目录


简介

本文提供了终端访问控制器访问控制System+ (TACACS+)的基本样例配置,适用于网络接入服务器(NAS)的用户拨号认证。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

该配置是使用以下软件和硬件版本开发并测试的:

  • NAS

  • TACACS+配置文件(免费软件版本)

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

注意: TACACS+是TACACS思科专有版本,因此用Cisco ACS只支持。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

配置

本部分提供有关如何配置本文档所述功能的信息。

注意: 要查找本文档所用命令的其他信息,请使用命令查找工具仅限注册用户)。

网络图

本文档使用下图所示的网络设置。

/image/gif/paws/10368/basictacacs.gif

配置

本文档使用如下所示的配置。

注意: 确保拨入工作。一旦调制解调器能本地连接和验证,请打开TACACS+。

NAS
version 11.2
!
service timestamps debug datetime msec
service timestamps log uptime
service password-encryption
no service udp-small-servers
no service tcp-small-servers
!
hostname Cisco3640
!
aaa new-model
aaa authentication login default tacacs local
aaa authentication login consoleport none
aaa authentication ppp default if-needed tacacs
aaa authorization network tacacs   

!--- This is needed for static IP address assignment.

!
enable password cisco
!
username cisco password letmein
!
interface Ethernet0
 ip address 10.29.1.3 255.255.255.0
!
Interface Group-Async1
 ip unnumbered Ethernet0
 encapsulation ppp
 async mode interactive
 peer default ip address pool async
 no cdp enable
 ppp authentication chap
 group-range 1 16
!
ip local pool async 10.6.100.101 10.6.100.103
tacacs-server host 10.6.101.101
tacacs-server key cisco
!
line con 0
 login authentication consoleport   

!--- This always allows console port access.

!
line 1 16
 autoselect ppp
 autoselect during-login
 modem Dialin
 transport input all
 stopbits 1
 rxspeed 115200
 txspeed 115200
 flowcontrol hardware
!
line aux 0
!
line vty 0 4
!
end

TACACS+配置文件(免费软件版本)

!--- This creates a superuser (such as one with administrator permissions) 
!--- who is granted all privileges by "default service = permit", and has a password 
!--- that allows for connections in any mode.

user = Russ
{
  global = cleartext 'bar'
  default service = permit
}

!--- This creates a normal PPP user who gets an IP address from the router.

user = Jason
{
  chap = cleartext 'letmein'
  service = ppp protocol = ip {}
}

!--- This creates a user whose IP address is statically assigned.

user = Laura
{
  chap = cleartext 'letmein'
  service = ppp protocol = ip 
		{
		  addr = 10.1.1.104
		}
}

验证

当前没有可用于此配置的验证过程。

故障排除

本部分提供的信息可用于对配置进行故障排除。

故障排除命令

命令输出解释程序工具仅限注册用户)支持某些 show 命令,使用此工具可以查看对 show 命令输出的分析。

注意: 在发出 debug 命令之前,请参阅有关 Debug 命令的重要信息

  • debug ppp negotiation—显示客户端是否通过了PPP协商;在此处检查地址协商。

  • debug ppp authentication—显示客户端是否通过认证。如果使用Cisco IOS�的软件版本早于11.2,请发出debug ppp chap命令

  • debug ppp error -显示与PPP连接协商和运行有关的协议错误和错误统计数据。

  • debug aaa authentication4a—显示使用什么方法进行认证(应为TACACS+,除非TACACS+服务器发生故障) ,以及用户是否通过了认证。

  • 调试aaa 鉴权 --显示正使用什么方法进行验证,用户是否通过了验证。

  • debug tacacs-显示发到服务器的信息。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 10368