TACACS+ の基本
はじめに
この資料はユーザ ダイヤル式認証のターミナル アクセス コントローラ アクセスコントロール System+ (TACACS+)に VPDN ダイヤルインのネットワーク アクセス サーバ(NAS) a に基本サンプル設定を提供したものです(NAS)。
前提条件
要件
このドキュメントに関しては個別の要件はありません。
使用するコンポーネント
この設定の開発およびテストには、次のソフトウェアおよびハードウェアのバージョンを使用しました。
-
NAS
-
TACACS+ コンフィギュレーション ファイル(フリーウェア バージョン)
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。
注: TACACS+ は TACACS の Cisco 専用バージョンです従って Cisco ACS でだけサポートされます。
表記法
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
設定
この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。
注: このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool(登録ユーザ専用)を使用してください。
ネットワーク図
このドキュメントでは次の図に示すネットワーク構成を使用しています。
設定
このドキュメントでは次に示す設定を使用しています。
注: ダイヤルインが行えることを確認してください。 モデムの接続とローカルな認証が終わったら、TACACS+(Terminal Access Controller Access Control System)を起動します。
| NAS |
|---|
version 11.2 ! service timestamps debug datetime msec service timestamps log uptime service password-encryption no service udp-small-servers no service tcp-small-servers ! hostname Cisco3640 ! aaa new-model aaa authentication login default tacacs local aaa authentication login consoleport none aaa authentication ppp default if-needed tacacs aaa authorization network tacacs !--- This is needed for static IP address assignment. ! enable password cisco ! username cisco password letmein ! interface Ethernet0 ip address 10.29.1.3 255.255.255.0 ! Interface Group-Async1 ip unnumbered Ethernet0 encapsulation ppp async mode interactive peer default ip address pool async no cdp enable ppp authentication chap group-range 1 16 ! ip local pool async 10.6.100.101 10.6.100.103 tacacs-server host 10.6.101.101 tacacs-server key cisco ! line con 0 login authentication consoleport !--- This always allows console port access. ! line 1 16 autoselect ppp autoselect during-login modem Dialin transport input all stopbits 1 rxspeed 115200 txspeed 115200 flowcontrol hardware ! line aux 0 ! line vty 0 4 ! end |
| TACACS+ 構成ファイル(フリーウェア バージョン) |
|---|
!--- This creates a superuser (such as one with administrator permissions) !--- who is granted all privileges by "default service = permit", and has a password !--- that allows for connections in any mode.
user = Russ
{
global = cleartext 'bar'
default service = permit
}
!--- This creates a normal PPP user who gets an IP address from the router.
user = Jason
{
chap = cleartext 'letmein'
service = ppp protocol = ip {}
}
!--- This creates a user whose IP address is statically assigned.
user = Laura
{
chap = cleartext 'letmein'
service = ppp protocol = ip
{
addr = 10.1.1.104
}
} |
確認
現在、この設定に使用できる確認手順はありません。
トラブルシューティング
ここでは、設定のトラブルシューティングに役立つ情報について説明します。
トラブルシューティングのためのコマンド
特定の show コマンドは、Output Interpreter Tool(登録ユーザ専用)によってサポートされています。このツールを使用すると、show コマンド出力の分析を表示できます。
注: debug コマンドを使用する前に、『debug コマンドに関する重要な情報』を参照してください。
-
クライアントが PPPネゴシエーションを渡すかどうか debug ppp negotiation —示します; アドレス ネゴシエーションをチェックする場合に必要です。
-
クライアントが認証を取得するかどうか debug ppp authentication —示します。 Cisco IOS(TM) リリース 11.2 以前のバージョンを使用している場合は、代わりに debug ppp chap コマンドを使用します。
-
debug ppp error:PPP 接続のネゴシエーションおよび動作に関するプロトコル エラーとエラー統計情報を表示します。
-
、そしてユーザは認証を取得しているかどうか TACACS+ サーバがダウンしていなければどんな方式が認証するのに使用されているか debug aaa authentication —示します(それは TACACS+ であるはずです)。
-
debug aaa authorization —どんな方式が許可のために使用されている、そしてかどうかユーザはそれを渡しているか示します。
-
debug tacacs — サーバに送られるメッセージを表示します。
フィードバック