<!--[if !supportLists]-->第四章 <!--[endif]-->TACAS+
4.1. 用戶登錄集中鑒權
提問 使用集中的鑒權方式對用戶登錄設備進行控制
回答
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#aaa new-model
Router1(config)#aaa authentication login default group tacacs+
Router1(config)#aaa authentication enable default group tacacs+
Router1(config)#tacacs-server host 172.25.1.1
Router1(config)#tacacs-server key COOKBOOK
Router1(config)#end
Router1#
注釋 部署集中化鑒權就不需要在每臺設備上配置用戶名密碼了,改密碼也變得簡單了
4.2. 限制特定命令的執行權限
提問 對設備可執行命令權限進行基于用戶的授權
回答
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#aaa new-model
Router1(config)#aaa authorization exec default group tacacs+
Router1(config)#aaa authorization commands 15 default group tacacs+
Router1(config)#tacacs-server host 172.25.1.1
Router1(config)#tacacs-server key neoshi
Router1(config)#end
Router1#
注釋 無
4.3. TACACS+服務器無法訪問
提問 防止出現TACACS+服務器故障導致所有用戶都不能登錄
回答
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#aaa new-model
Router1(config)#aaa authentication login default group tacacs+ enable
Router1(config)#aaa authentication enable default group tacacs+ enable
Router1(config)#aaa authorization commands 15 default group tacacs+ if-authenticated
Router1(config)#tacacs-server host 172.25.1.1
Router1(config)#tacacs-server key COOKBOOK
Router1(config)#end
Router1#
注釋 在認證服務器出現故障的情況下使用enable密碼作為備份,同時建議使用if-authenticated參數在你配置授權的時候
4.4. 在特定端口禁用TACACS+鑒權
提問 為了方便禁止在控制口使用TACACS+鑒權
回答
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#aaa new-model
Router1(config)#aaa authentication login default group tacacs+ local
Router1(config)#aaa authentication login NEOSHI line
Router1(config)#line con 0
Router1(config-line)#login authentication NEOSHI
Router1(config-line)#end
Router1#
注釋
4.5. 記錄用戶行為
提問 記錄用戶輸入的配置命令和時間
回答
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#aaa new-model
Router1(config)#aaa accounting commands 1 default stop-only group tacacs+
Router1(config)#aaa accounting commands 15 default stop-only group tacacs+
Router1(config)#end
Router1#
注釋 下面是一條日志記錄,很詳盡吧
Fri Jan 3
4.6. 記錄系統事件
提問 記錄系統事件
回答
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#aaa new-model
Router1(config)#aaa accounting exec default start-stop group tacacs+
Router1(config)#aaa accounting connection default start-stop group tacacs+
Router1(config)#aaa accounting system default stop-only group tacacs+
Router1(config)#end
Router1#
注釋 除了可以記錄用戶輸入命令以外還提供了exec(用戶開始和中止exec會話的時間記錄),connection(用戶發起外部連接的時間,地址,數據包多少等信息記錄比如telnet ssh等)和system(系統重啟,禁用AAA等系統信息)等三種系統事件的記錄
4.7. 設置TACACS+消息的源地址
提問 發送TACACS+消息時只使用特定的源地址
回答
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#ip tacacs source-interface Loopback0
Router1(config)#end
Router1#
注釋 所有本設備的記錄都來自于同一地址方便對日志進行匯總和統計
<!--[if !supportLists]-->4.8. <!--[endif]-->TACACS+服務器配置文件樣本
注釋 可以使用思科免費的TACACS+服務器也可以使用商業的服務器,配置方式略
新聞熱點
疑難解答
