Безопасность и VPN : Terminal Access Controller Access Control System (TACACS+)

Пример базовой конфигурации TACACS+

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ предоставляет базовый пример конфигурации для Terminal Access Controller Access Control System (TACACS) + (TACACS +) для пользовательской аутентификации модемной связи к Серверу доступа к сети (NAS).

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Эта конфигурация была разработана и протестирована с помощью программного обеспечения следующих версий:

  • NAS

  • Файл конфигурации TACACS+ (бесплатная версия)

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Примечание: TACACS + является версией для внутреннего использования Cisco TACACS, таким образом, это только поддерживается с ACS Cisco.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Дополнительные сведения о командах, используемых в данном документе, можно получить с помощью средства поиска команд (только для зарегистрированных клиентов).

Схема сети

В данном документе используется сеть, изображенная на следующей схеме.

/image/gif/paws/10368/basictacacs.gif

Конфигурации

В данном документе используются следующие конфигурации.

Примечание: Удостоверьтесь, что работает наборный (телефонный) доступ. Как только модем может подключить и подтвердить подлинность локально, включить TACACS +.

NAS
version 11.2
!
service timestamps debug datetime msec
service timestamps log uptime
service password-encryption
no service udp-small-servers
no service tcp-small-servers
!
hostname Cisco3640
!
aaa new-model
aaa authentication login default tacacs local
aaa authentication login consoleport none
aaa authentication ppp default if-needed tacacs
aaa authorization network tacacs   

!--- This is needed for static IP address assignment.

!
enable password cisco
!
username cisco password letmein
!
interface Ethernet0
 ip address 10.29.1.3 255.255.255.0
!
Interface Group-Async1
 ip unnumbered Ethernet0
 encapsulation ppp
 async mode interactive
 peer default ip address pool async
 no cdp enable
 ppp authentication chap
 group-range 1 16
!
ip local pool async 10.6.100.101 10.6.100.103
tacacs-server host 10.6.101.101
tacacs-server key cisco
!
line con 0
 login authentication consoleport   

!--- This always allows console port access.

!
line 1 16
 autoselect ppp
 autoselect during-login
 modem Dialin
 transport input all
 stopbits 1
 rxspeed 115200
 txspeed 115200
 flowcontrol hardware
!
line aux 0
!
line vty 0 4
!
end

Файл конфигурации TACACS+ (бесплатная версия)

!--- This creates a superuser (such as one with administrator permissions) 
!--- who is granted all privileges by "default service = permit", and has a password 
!--- that allows for connections in any mode.

user = Russ
{
  global = cleartext 'bar'
  default service = permit
}

!--- This creates a normal PPP user who gets an IP address from the router.

user = Jason
{
  chap = cleartext 'letmein'
  service = ppp protocol = ip {}
}

!--- This creates a user whose IP address is statically assigned.

user = Laura
{
  chap = cleartext 'letmein'
  service = ppp protocol = ip 
		{
		  addr = 10.1.1.104
		}
}

Проверка.

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

Команды для устранения неполадок

Некоторые команды show поддерживаются Интерпретатором выходных данных (только для зарегистрированных пользователей); это позволяет просматривать анализ выходных данных команды show.

Примечание: Прежде чем применять команды отладки, ознакомьтесь с разделом "Важные сведения о командах отладки".

  • debug ppp negotiation — Показывает, передает ли клиент согласование PPP; на этом этапе проверьте согласование адреса.

  • debug ppp authenticaion — Показывает, передает ли клиент аутентификацию. При использовании Cisco Выпуск ПО IOS� ранее, чем 11.2, выполняете команду debug ppp chap вместо этого.

  • debug ppp error – отображает ошибки протокола и статистику ошибок, связанных с согласованием и функционированием PPP-соединения.

  • debug aaa authentication — Показывает то, чего метод используется для аутентификации (это должен быть TACACS +, пока TACACS + сервер не не работает), и передают ли пользователи аутентификацию.

  • debug aaa authorization — Показывает, какой метод используется для авторизации и передают ли пользователи его.

  • debug tacacs — Показывает сообщения, передаваемые серверу.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 10368