Introduction
Ce document décrit le comportement du groupe local tacacs+ d'aaa authentication login default de commande sur un périphérique du système d'exploitation d'Interconnexion de réseaux de Cisco (IOS).
Remarque: Assurez-vous que l'aaa new-model est activé sur le périphérique.
Configurez
Remarque: Utilisez l'Outil de recherche de commande (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.
Configurez ces commandes sur le périphérique en mode de configuration globale :
aaa new-model
aaa authentication login default local group tacacs+
Juste « le nouveau modèle d'AAA » étant configuré, l'authentification locale est appliquée à toutes les lignes et interfaces (excepté ligne ligne escroquerie 0 de console).
Ici la liste de méthode d'AAA est appliquée sur toutes les tentatives de procédure de connexion sur toutes les lignes du périphérique, où la première base de données locale est vérifiée s'il y a lieu et puis, serveur du système de contrôle d'accès de Terminal Access Controller (TACACS) est essayée.
username cisco privilege 15 password 0 cisco
Base de données locale des utilisateurs.
tacacs-server host 10.20.220.141
tacacs-server key cisco
Serveur TACACS configuré.
Vérifiez
Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.
- Activez le debug tacacs et le debug aaa authentication sur le périphérique au test.
RUT#show debug
General OS:
TACACS access control debugging is on
AAA Authentication debugging is on
2. Exécutez un telnet sur le périphérique :
RUT#show ip interface brief | exclude unassigned
Interface IP-Address OK? Method Status Protocol
FastEthernet0/1 10.197.235.96 YES DHCP up up
Loopback0 192.168.1.2 YES manual up up
RUT#telnet 192.168.1.2
Trying 192.168.1.2 ... Open
User Access Verification
Username: cisco
*Jul 23 09:34:37.023: AAA/BIND(0000001E): Bind i/f
*Jul 23 09:34:37.023: AAA/AUTHEN/LOGIN (0000001E): Pick method list 'default'
Password:
RUT>
Vous notez qu'il n'a pas essayé d'atteindre le serveur TACACS pendant que le nom d'utilisateur Cisco était trouvé localement.
Maintenant, si vous essayez d'utiliser un laisser-passer qui n'est pas configuré localement sur la case :
RUT#telnet 192.168.1.2
Trying 192.168.1.2 ... Open
User Access Verification
Username:
*Jul 23 09:36:01.099: AAA/BIND(0000001F): Bind i/f
*Jul 23 09:36:01.099: AAA/AUTHEN/LOGIN (0000001F): Pick method list 'default'
Username: cisco1
*Jul 23 09:36:11.095: TPLUS: Queuing AAA Authentication request 31 for processing
*Jul 23 09:36:11.095: TPLUS: processing authentication start request id 31
*Jul 23 09:36:11.095: TPLUS: Authentication start packet created for 31(cisco1)
*Jul 23 09:36:11.095: TPLUS: Using server 10.20.220.141
*Jul 23 09:36:11.095: TPLUS(0000001F)/0/NB_WAIT/47A14C34: Started 5 sec timeout
*Jul 23 09:36:16.095: TPLUS(0000001F)/0/NB_WAIT/47A14C34: timed out
*Jul 23 09:36:16.095: TPLUS(0000001F)/0/NB_WAIT/47A14C34: timed out, clean up
*Jul 23 09:36:16.095: TPLUS(0000001F)/0/47A14C34: Processing the reply packet
% Authentication failed
Vous notez qu'il essaye d'atteindre le serveur TACACS 10.20.220.141. C'est un comportement par défaut prévu. Il n'y a aucun nom d'utilisateur cisco1 configuré sur le serveur TACACS, par conséquent affiche l'échec de l'authentification.
Si le périphérique a des gens du pays du groupe tacacs+ d'aaa authentication login default dans la configuration, c'est la première préférence est TACACS. Si le TACACS est accessible, mais aucun utilisateur n'a configuré là-dessus, il retour et essai recherchera dans le databasde local. Il affichera % de message d'échec de l'authentification.
Dépannez
Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.
Commentaires