Seguridad y VPN : Terminal Access Controller Access Control System (TACACS+)

TACACS básica+ ejemplo de configuración

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento proporciona un ejemplo básico de configuración para el control de acceso System+ (TACACS+) del Terminal Access Controller para la autenticación de marcado manual del usuario a un servidor de acceso a la red (NAS).

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

Esta configuración fue desarrollada y probada utilizando las siguientes versiones de software y hardware:

  • NAS

  • Archivo de configuración de TACACS+(versión gratuita)

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Nota: El TACACS+ es una versión propietaria de Cisco del TACACS así que se soporta solamente con Cisco ACS.

Convenciones

Para obtener más información sobre las convenciones del documento, consulte Convenciones de Consejos Técnicos de Cisco.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Para obtener información adicional sobre los comandos que se utilizan en este documento, use la Command Lookup Tool (solo para clientes registrados).

Diagrama de la red

Este documento utiliza la instalación de red que se muestra en el siguiente diagrama.

/image/gif/paws/10368/basictacacs.gif

Configuraciones

Este documento usa las configuraciones detalladas a continuación.

Nota: Aseegurese que el dial-in funciona. Una vez que el módem puede conectar y autenticar localmente, gire el TACACS+.

NAS
version 11.2
!
service timestamps debug datetime msec
service timestamps log uptime
service password-encryption
no service udp-small-servers
no service tcp-small-servers
!
hostname Cisco3640
!
aaa new-model
aaa authentication login default tacacs local
aaa authentication login consoleport none
aaa authentication ppp default if-needed tacacs
aaa authorization network tacacs   

!--- This is needed for static IP address assignment.

!
enable password cisco
!
username cisco password letmein
!
interface Ethernet0
 ip address 10.29.1.3 255.255.255.0
!
Interface Group-Async1
 ip unnumbered Ethernet0
 encapsulation ppp
 async mode interactive
 peer default ip address pool async
 no cdp enable
 ppp authentication chap
 group-range 1 16
!
ip local pool async 10.6.100.101 10.6.100.103
tacacs-server host 10.6.101.101
tacacs-server key cisco
!
line con 0
 login authentication consoleport   

!--- This always allows console port access.

!
line 1 16
 autoselect ppp
 autoselect during-login
 modem Dialin
 transport input all
 stopbits 1
 rxspeed 115200
 txspeed 115200
 flowcontrol hardware
!
line aux 0
!
line vty 0 4
!
end

Archivo de configuración de TACACS+(versión gratuita)

!--- This creates a superuser (such as one with administrator permissions) 
!--- who is granted all privileges by "default service = permit", and has a password 
!--- that allows for connections in any mode.

user = Russ
{
  global = cleartext 'bar'
  default service = permit
}

!--- This creates a normal PPP user who gets an IP address from the router.

user = Jason
{
  chap = cleartext 'letmein'
  service = ppp protocol = ip {}
}

!--- This creates a user whose IP address is statically assigned.

user = Laura
{
  chap = cleartext 'letmein'
  service = ppp protocol = ip 
		{
		  addr = 10.1.1.104
		}
}

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

Comandos para resolución de problemas

La herramienta Output Interpreter (sólo para clientes registrados) permite utilizar algunos comandos “show” y ver un análisis del resultado de estos comandos.

Nota: Antes de ejecutar un comando debug, consulte Información Importante sobre Comandos Debug.

  • haga el debug de la negociación ppp — Muestra si un cliente está pasando la negociación PPP; en esta instancia, verifique la negociación de la dirección.

  • autenticación PPP del debug — Muestra si un cliente está pasando la autenticación. Si usted está utilizando una versión de software del ½ del ¿Â de Cisco IOSï anterior de 11.2, publique el comando debug ppp chap en lugar de otro.

  • debug ppp error — Muestra los errores de protocolo y las estadísticas de error relacionadas con la negociación y operación de conexiones PPP.

  • autenticación aaa del debug — Muestra qué método se está utilizando para autenticar (debe ser TACACS+ a menos que el servidor TACACS+ esté abajo) e independientemente de si los usuarios están pasando la autenticación.

  • debug aaa authorization — Muestra qué método se está utilizando para la autorización e independientemente de si los usuarios la están pasando.

  • tacacs del debug — Muestra los mensajes enviados al servidor.


Información Relacionada


Document ID: 10368