本文在连结交换机提供TACACS+认证配置示例。默认情况下,如果配置连结交换机为了通过访问控制服务器(ACS)验证,您在网络运算符/VDC运算符角色自动地安置,提供只读访问。为了将安置在网络Admin/VDC Admin角色,您需要创建在ACS 5.2的一shell。本文描述该进程。
尝试进行此配置之前,请确保满足以下要求:
定义您的连结交换机成ACS的一个客户端。
定义IP地址和相同的被共享的密钥在ACS和连结。
Note: 在您做所有变动前,请创建一个检查点或一个备份在连结。
本文档中的信息基于以下软件和硬件版本:
ACS 5.2
连结5000, 5.2(1)N1(1)
The information in this document was created from the devices in a specific lab environment.All of the devices used in this document started with a cleared (default) configuration.If your network is live, make sure that you understand the potential impact of any command.
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
本部分提供有关如何配置本文档所述功能的信息。
Note: 使用命令查找工具(仅限注册用户)可获取有关本部分所使用命令的详细信息。
完成这些步骤:
用退路的充分的权限创建连结交换机的一个本地用户:
username admin privilege 15 password 0 cisco123!
Enable (event) TACACS+,然后提供TACACS+服务器(ACS)的IP地址:
feature tacacs+
tacacs-server host IP-ADDRESS key KEY
tacacs-server key KEY
tacacs-server directed-request
aaa group server tacacs+ ACS
server IP-ADDRESS
use-vrf management
source-interface mgmt0
Note: 键必须匹配在此连结设备的ACS配置的共有的秘密。
测试TACACS服务器可用性:
test aaa group group-name username password
因为未配置,测试认证应该失效与从服务器的拒绝消息服务器。此拒绝消息确认TACACS+服务器可及的。
配置登录认证:
aaa authentication login default group ACS
aaa authentication login console group ACS
aaa accounting default group ACS
aaa authentication login error-enable
aaa authorization commands default local
aaa authorization config-commands default local
Note: 如果认证服务器是不可得到的,连结使用本地认证。
完成这些步骤:
连接到策略元素>认证和权限>设备Administration > Shell配置文件为了创建Shell配置文件。
输入一个名字对于配置文件。
在自定义Attributes选项下,请输入这些值:
属性:cisco-av-pair
需求:必须
值:shell :roles* "网络Admin VDC Admin”
提交更改为了创建连结交换机的一个基于属性的角色。
创建一个新的授权规则或者编辑一个现有的规则,在正确的访问策略。默认情况下, TACACS+请求由默认设备Admin访问策略处理。
在情况地区中,请选择适当的条件。在成果区域中,请选择连结OS shell配置文件。
单击 Ok。
Use this section to confirm that your configuration works properly.
命令输出解释程序(仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。
显示TACACS+ —显示TACACS+统计数据。
show running-config TACACS+ —显示在运行的配置的TACACS+配置。
show startup-config tacacs+ —在启动配置里显示TACACS+配置。
显示tacacs-server —显示所有被配置的TACACS+服务器参数。