Introduction
Ce document décrit le comportement de la commande aaa authentication login default local group tacacs+ sur un périphérique Cisco IOS (Internetworking Operating System).
Note: Assurez-vous que AAA new-model est activé sur le périphérique.
Configuration
Note: Utilisez l'Outil de recherche de commande (clients inscrits seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.
Configurez ces commandes sur le périphérique en mode de configuration globale :
aaa new-model
aaa authentication login default local group tacacs+
Avec juste "aaa new model" configuré, l'authentification locale est appliquée à toutes les lignes et interfaces (à l'exception de la ligne de console con 0).
Ici, la liste de méthodes AAA est appliquée à toutes les tentatives de connexion sur toutes les lignes du périphérique, où la première base de données locale est vérifiée, puis si nécessaire, le serveur TACACS (Terminal Access Controller Access Control System) est essayé.
username cisco privilege 15 password 0 cisco
Base de données des utilisateurs locaux.
tacacs-server host 10.20.220.141
tacacs-server key cisco
Serveur TACACS configuré.
Vérification
Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.
- Activez Debug TACACS et Debug AAA Authentication sur le périphérique testé.
RUT#show debug
General OS:
TACACS access control debugging is on
AAA Authentication debugging is on
2. Exécutez une commande telnet sur le périphérique :
RUT#show ip interface brief | exclude unassigned
Interface IP-Address OK? Method Status Protocol
FastEthernet0/1 10.197.235.96 YES DHCP up up
Loopback0 192.168.1.2 YES manual up up
RUT#telnet 192.168.1.2
Trying 192.168.1.2 ... Open
User Access Verification
Username: cisco
*Jul 23 09:34:37.023: AAA/BIND(0000001E): Bind i/f
*Jul 23 09:34:37.023: AAA/AUTHEN/LOGIN (0000001E): Pick method list 'default'
Password:
RUT>
Vous remarquerez qu'il n'a pas essayé d'atteindre le serveur TACACS car le nom d'utilisateur cisco a été trouvé localement.
Maintenant, si vous essayez d'utiliser une information d'identification qui n'est pas configurée localement dans la zone :
RUT#telnet 192.168.1.2
Trying 192.168.1.2 ... Open
User Access Verification
Username:
*Jul 23 09:36:01.099: AAA/BIND(0000001F): Bind i/f
*Jul 23 09:36:01.099: AAA/AUTHEN/LOGIN (0000001F): Pick method list 'default'
Username: cisco1
*Jul 23 09:36:11.095: TPLUS: Queuing AAA Authentication request 31 for processing
*Jul 23 09:36:11.095: TPLUS: processing authentication start request id 31
*Jul 23 09:36:11.095: TPLUS: Authentication start packet created for 31(cisco1)
*Jul 23 09:36:11.095: TPLUS: Using server 10.20.220.141
*Jul 23 09:36:11.095: TPLUS(0000001F)/0/NB_WAIT/47A14C34: Started 5 sec timeout
*Jul 23 09:36:16.095: TPLUS(0000001F)/0/NB_WAIT/47A14C34: timed out
*Jul 23 09:36:16.095: TPLUS(0000001F)/0/NB_WAIT/47A14C34: timed out, clean up
*Jul 23 09:36:16.095: TPLUS(0000001F)/0/47A14C34: Processing the reply packet
% Authentication failed
Vous remarquerez qu'il tente d'atteindre le serveur TACACS 10.20.220.141. Il s'agit d'un comportement par défaut attendu. Aucun nom d'utilisateur cisco1 n'est configuré sur le serveur TACACS. L'authentification a donc échoué.
Si le périphérique a AAA Authentication login default group tacacs+ local dans la configuration, sa première préférence est TACACS. Si le TACACS est accessible, mais qu'aucun utilisateur n'a configuré dessus, il ne bascule pas et tente de rechercher dans la base de données locale. Il affichera le message % Authentication Failed.
Dépannage
Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.
Informations connexes
Commentaires