终端访问控制器访问控制系统(TACACS+)用于确保安全性。它提供两个功能:认证 和 授权.该协议通过交换机与TACACS+服务器之间的加密协议交换来工作。交换机必须是TACACS+服务器的客户端。TACACS+仅支持IPv4。在TACACS+服务器上具有15级权限的用户可以操作交换机。
本文档的目的是解释ESW2-350G交换机上TACACS+参数的配置。TACACS+服务器不能用作802.1x身份验证服务器,以确保网络安全。
· ESW2-350G
· ESW2-350G-DC
•v1.2.6.28
步骤1.登录Web配置实用程序,然后选择Security > TACACS+。TACACS+页面将打开:
步骤2.选中TACACS+ Accounting字段中的Enable复选框,以启用与TACACS+或RADIUS服务器的登录会话。
注意:TACACS+仅支持IP版本4。
步骤3.单击与所需文本模式对应的单选按钮,然后在Key String字段中输入密钥字符串值。它用于与所有TACACS+服务器通信。交换机的配置方式是,它可以使用此处给出的密钥或为特定服务器指定的密钥。特定服务器的密钥可在“添加TACACS+服务器”页中提供。有两种文本模式可用。
·已加密 — 密钥字符串值以加密形式显示。
·纯文本 — 密钥字符串值以纯文本形式显示。
注意:如果未在此字段中输入密钥字符串,则“添加TACACS+服务器”页中使用的服务器密钥必须与TACACS+服务器使用的加密密钥兼容。如果在此字段以及特定TACACS+字段中输入密钥字符串,则下一节将介绍为特定TACACS+服务器配置的密钥字符串进行优先级配置。
步骤4.在Timeout for Reply字段中输入回复的超时。这是交换机与TACACS+服务器之间连接超时的延迟持续时间。如果在“添加TACACS+服务器”页中为特定服务器输入了值,则该值将用作超时持续时间,否则使用此值。
步骤5.单击“应用”。TACACS+设置会添加到运行配置文件。
步骤1.登录Web配置实用程序,然后选择Security > TACACS+。TACACS+页面将打开:
步骤2.在TACACS+ Server Table中单击Add以添加TACACS+服务器。系统将显示Add TACACS+ Server窗口:
步骤3.在Server Definition字段中,如果TACACS+服务器的IP地址已知,请单击By IP address单选按钮;如果服务器名称已知,则单击By name单选按钮。
步骤4.根据步骤3中选择的选项,在Server IP Address/Name字段中输入服务器的IP地址或名称。
步骤5.在“优先级”字段中输入优先级。零为最高优先级的TACACS+服务器。如果交换机无法与优先级最高的服务器建立连接,则交换机会尝试与优先级最高的服务器建立连接。范围从 0 至 65535。
步骤6.单击所需的文本模式,然后在Key String字段中输入密钥字符串值。这用于与所有TACACS+服务器通信。此交换机的配置方式如下:它可以使用此处给出的密钥或为特定服务器指定的密钥。特定服务器的密钥可在“添加TACACS+服务器”页中提供。有两种文本模式可用。
可用选项定义如下:
·使用默认值 — 使用默认值。
·用户定义(加密) — 密钥字符串值以加密形式显示,且更加安全。在Key String字段中输入特定TACACS+服务器的加密密钥字符串值。
·用户定义(明文) — 密钥字符串值以明文形式显示。在Key String字段中输入特定TACACS+服务器的密钥字符串值。
步骤7. Timeout for Reply是交换机与TACACS+服务器之间的连接超时之前经过的时间量。单击“回复超时”字段中所需的单选按钮。
可用选项定义如下:
·使用默认值 — 使用默认值5秒。
·用户定义 — 输入应答值的超时(以秒为单位)。
步骤8.在Authentication IP Port字段中,通过此端口输入身份验证IP端口,TACACS+会话将发生。默认值为 49。
步骤9.(可选)在Single Connection字段中选中Enable。这可在交换机和TACACS+服务器之间实现单个连接。如果TACACS+服务器不支持单个连接,则它会切换到多个连接。
步骤10.单击Apply将新配置的TACACS+服务器配置保存到交换机的运行配置文件。
步骤11.(可选)要在配置文件中以明文形式显示敏感数据,请单击将敏感数据显示为明文。
步骤12.(可选)要编辑TACACS+服务器表条目,请选中所需条目的复选框,然后单击Edit。请参阅“添加TACACS+服务器”部分中的步骤2至9。
步骤13.(可选)要删除TACACS+服务器表条目,请选中不需要的条目的复选框,然后单击删除。