7.1. Общие сведения о TACACS+
TACACS+ представляет собой похожий на RADIUS сеансовый протокол контроля доступа. Протокол TACACS+ использует три независимые функции: Аутентификация, Авторизация и Аккаунтинг (учёт). В отличие от RADIUS протокол TACACS+ использует TCP и шифрование передаваемых данных для обеспечения безопасности.
На данном коммутаторе TACACS+ может быть использован при авторизации и аутентификации пользователей для доступа к коммутатору по telnet или ssh.
7.2. Конфигурация TACACS+
- Задать ключ сервера TACACS+;
- Настроить тайм-аут аутентификации TACACS+;
- Настроить параметры сервера TACACS+;
- Настроить IP-адрес TACACS+ NAS.
- Задать ключ аутентификации TACACS+:
Команда | Описание |
|---|---|
tacacs-server key {0 | 7} <string> no tacacs-server key ! В режиме глобальной конфигурации | Задать глобальный ключ сервера TACACS+. Команда no удаляет этот ключ. |
2. Настроить тайм-аут аутентификации TACACS+:
Команда | Описание |
|---|---|
tacacs-server timeout <seconds> no tacacs-server timeout ! В режиме глобальной конфигурации | Задать глобальное время ожидания ответа от TACACS+ сервера в секундах. Команда no возвращает значение по-умолчанию - 3 секунды. |
3. Настроить параметры сервера TACACS+:
Команда | Описание |
|---|---|
tacacs-server authentication host <ipaddress> [port <port-number>] [timeout <seconds>] [key {0 | 7} <string>] [primary] no tacacs-server authentication host <ip-address> ! В режиме глобальной конфигурации | Сконфигурировать параметры обращения к серверу TACACS+: <ipaddress> - IP-адрес сервера; [port <port-number>] - порт назначения (по-умолчанию 49); [timeout <seconds>] - время ожидания ответа от сервера;key {0 | 7} <string>] - ключ сервера; primary - данный сервер будет использоваться в приоритетном порядке. Если параметры [timeout <seconds>] и key {0 | 7} <string>] не заданы, будут использоваться параметры, заданные глобально. Команда no удаляет заданный сервер c адресом <ip-address>. |
4. Настроить IP-адрес TACACS+ NAS:
Команда | Описание |
|---|---|
tacacs-server nas-ipv4 <ip-address> no tacacs-server nas-ipv4 ! В режиме глобальной конфигурации | Задать IP-адрес <ip-address> источника пакетов TACACS+, отправляемых коммутатором. Команда no устанавливает в качестве источника адрес IP-интерфейса, с которого были отправлены пакеты (по-умолчанию). |
7.3. Пример конфигурации TACACS+
Рисунок 56.1 - Аутентификация TACACS+
ПК подключен к коммутатору, который имеет IP-адрес 10.0.0.2 и подключен к серверу аутентификации TACACS+. IP-адрес сервера 10.0.0.3, используемый порт по-умолчанию - 49. Доступ на коммутатор по telnet контролируется сервером аутентификации.
Конфигурация будет выглядеть следующим образом:
Switch(config)#interface vlan 1 Switch(Config-if-vlan1)#ip address 10.0.0.2 255.255.255.0 Switch(Config-if-vlan1)#exit Switch(config)#tacacs-server authentication host 10.0.0.3 Switch(config)#tacacs-server key test Switch(config)#authentication line vty login tacacs
7.4. Устранение проблем при конфигурации TACACS+
Убедитесь, что:
- IP-связность коммутатора с сервером TACACS+ присутствует;
- Ключ аутентификации на коммутаторе совпадает с ключом на TACACS+ сервере;
- Подключение осуществляется к правильному TACACS+ серверу.