交换机 : Cisco Nexus 5000 系列交换机

在连结4005I配置示例的TACACS+

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈


目录


简介

本文描述如何配置终端访问控制器访问控制系统(TACACS+)在连结4000系列交换机。TACACS+认证在连结比Cisco Catalyst交换机稍有变化4000系列。

先决条件

要求

Cisco 建议您了解以下主题:Cisco连结7000系列NX-OS基本命令

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 思科连结4005I交换机

  • 思科安全访问控制服务器(ACS) 5.x

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

关于文件规则的信息,请参见Cisco技术提示规则

配置

在此部分的配置示例描述如何配置连结4005I交换机和TACACS+服务器。

逐步指导

完成这些步骤为了配置连结交换机和TACACS+服务器:

  1. 启用TACACS+协议功能。

    必须配置ACS服务器的IP地址与预共享密匙。如果有超过一个ACS服务器,必须配置两台主机。

  2. 启用AAA概念和AAA服务器组。

    在本例中配置示例, AAA组名的名称是“ACS”。

TACACS+ CLI配置

ASA

!--- Enable TACACS+ on the device.

feature tacacs+ 
tacacs-server host 10.0.0.1 key 7 Cisco
tacacs-server host 10.0.0.2 key 7 Cisco
tacacs-server directed-request


!--- Provide the name of your ACS server.

aaa group server tacacs+ ACS

!--- Mention the IP address of the tacacs-servers 
!--- referred to in the "tacacs-server host" command.

server 10.0.0.1 
server 10.0.0.2

!--- Telnet and ssh sessions.

aaa authentication login default group ACS local 

!--- Console sessions.

aaa authentication login console group ACS local 

!--- Accounting command.

aaa accounting default group ACS

注意: 请使用同一预共享密匙“Cisco”在ACS服务器在4000系列的连结之间的验证和ACS服务器。

注意: 如果TACACS+服务器发生故障,您能跌倒回到通过配置用户名和密码本地验证在交换机。

连结操作系统不使用使用角色权限级别的概念。默认情况下您在网络操作员角色安置。如果希望用户有全双工权限,您在网络Admin角色必须安置他们,并且您必须配置TACACS服务器增加属性,当用户登录时。对于TACACS+,您通过上一步与值的一个TACACS自定义属性roles= " roleA”。对于一个全部存取的用户,您使用:cisco-av-pair*shell :roles= "网络Admin”

cisco-av-pair*shell:roles="network-admin"(The
	 * makes it optional)
shell:roles="network-admin"

验证

请使用in命令此部分为了验证TACACS+服务器配置:

  • 显示tacacs-server —显示TACACS+服务器配置。

  • show aaa authentication [登录{错误enable (event)|mschap}] —显示已配置的认证信息。

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

故障排除

目前没有针对此配置的故障排除信息。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 112006