锐捷网管交换机TACACS+的认证、授权和记账分离配置举例

一、 组网需求
用户的认证、授权和记账三种服务使用不同的TACACS+服务器组。

二、组网图
TACACS+的认证、授权和记账分离组网图

三、 配置要点
● 在TACACS+ server上配置设备信息、添加Login用户等。
● 在设备上开启AAA安全服务。
● 在设备上配置TACACS+服务器信息,并将其加入不同的TACACS+服务器组。
● 配置TACACS+的认证、授权和记账方法列表。
● 在特定线路上应用TACACS+认证、授权和记账方法。

四、 配置步骤
(1) 在TACACS+服务器上配置设备信息、添加Login用户

(2) 开启AAA安全服务。
Device> enable
Device# configure terminal
Device(config)# aaa new-model

(3) 配置TACACS+服务器A,并将其加入TACACS+服务器组tacacs1。(此处TACACS+服务器A的地址为
192.168.1.3,共享密钥为sharekey)。
Device(config)# tacacs-server host 192.168.1.3 key sharekey
Device(config)# aaa group server tacacs+ tacacs1
Device(config-gs-tacacs+)# server 192.168.1.3
Device(config-gs-tacacs+)# exit

(4) 参照配置服务器组tacacs1的步骤,依次配置服务器组tacacs2和tacacs3。
Device(config)# tacacs-server host 192.168.1.4 key sharekey
Device(config)# aaa group server tacacs+ tacacs2
Device(config-gs-tacacs+)# server 192.168.1.4
Device(config-gs-tacacs+)# exit
Device(config)# tacacs-server host 192.168.1.5 key sharekey
Device(config)# aaa group server tacacs+ tacacs3
Device(config-gs-tacacs+)# server 192.168.1.5
Device(config-gs-tacacs+)# exit

(5) 配置认证方法列表使用服务器组tacacs1、授权方法列表使用服务器组tacacs2、记账方法列表使用服务器组
tacacs3。
Device(config)# aaa authentication login tacacs-method group tacacs1
Device(config)# aaa authorization exec radius-method group tacacs2
Device(config)# aaa accounting exec radius-method start-stop group tacacs3

(6) 在线路上应用认证方法。
Device(config)# line vty 0 4
Device(config-line)# login authentication tacacs1
Device(config-line)# authorization exec tacacs2
Device(config-line)# accounting exec tacacs3

 

五、验证配置结果
# 用户输入在TACACS+服务器A上配置的合法用户名密码后,能够成功登录设备。
User Access Verification
Username:hostname1
Password:password1
Device#

# 登录设备后,用户只拥有TACACS+服务器B授予的权限级别,仅能运行该权限级别下的命令。
# 用户退出登录后,在TACACS+服务器C上能够查看到该用户的记账信息。

六、配置文件
!
aaa new-model
!
aaa accounting exec radius-method start-stop group tacacs3
aaa authorization exec radius-method group tacacs2
aaa authentication login radius-method group tacacs1
!
tacacs-server host 192.168.1.3 key 7 $10$275$g8oXDDIPVeA=$
tacacs-server host 192.168.1.4 key 7 $10$275$g8oXDDIPVeA=$
tacacs-server host 192.168.1.5 key 7 $10$275$g8oXDDIPVeA=$
!
!
aaa group server tacacs+ tacacs1
server 192.168.1.3
!
aaa group server tacacs+ tacacs2
server 192.168.1.4
!
aaa group server tacacs+ tacacs3
server 192.168.1.5
!
line console 0
line vty 0 4
accounting exec tacacs3
authorization exec tacacs2
login authentication tacacs1
!

七、常见错误
●设备配置的共享密钥与RADIUS服务器使用的共享密钥不一致。
● 向服务器组加入未定义的服务器。

 

ICP备案号:晋ICP备18007549号-1
站长微信:15534641008