View Source

7.1. Общие сведения о TACACS+

TACACS+ представляет собой похожий на RADIUS сеансовый протокол контроля доступа. Протокол TACACS+ использует три независимые функции: Аутентификация, Авторизация и Аккаунтинг (учёт). В отличие от RADIUS протокол TACACS+ использует TCP и шифрование передаваемых данных для обеспечения безопасности.

На данном коммутаторе TACACS+ может быть использован при авторизации и аутентификации пользователей для доступа к коммутатору по telnet или ssh.

7.2. Конфигурация TACACS+

Задать ключ сервера TACACS+;
Настроить тайм-аут аутентификации TACACS+;
Настроить параметры сервера TACACS+;
Настроить IP-адрес TACACS+ NAS.

Задать ключ аутентификации TACACS+:

Команда

Описание

tacacs-server key {0 | 7} <string>

no tacacs-server key

! В режиме глобальной конфигурации

Задать глобальный ключ сервера TACACS+. Команда no удаляет этот ключ.

2. Настроить тайм-аут аутентификации TACACS+:

Команда

Описание

tacacs-server timeout <seconds>

no tacacs-server timeout

! В режиме глобальной конфигурации

Задать глобальное время ожидания ответа от TACACS+ сервера в секундах. Команда no возвращает значение по-умолчанию - 3 секунды.

3. Настроить параметры сервера TACACS+:

Команда

Описание

tacacs-server authentication host <ipaddress>

[port <port-number>]

[timeout <seconds>] [key {0 | 7}

<string>] [primary]

no tacacs-server authentication host

<ip-address>

! В режиме глобальной конфигурации

Сконфигурировать параметры обращения к серверу TACACS+: <ipaddress> - IP-адрес сервера;

[port <port-number>] - порт назначения (по-умолчанию 49); [timeout <seconds>] - время ожидания ответа от сервера;key {0 | 7} <string>] - ключ сервера; primary - данный сервер будет использоваться в приоритетном порядке. Если параметры [timeout <seconds>] и key {0 | 7}

<string>] не заданы, будут использоваться параметры, заданные глобально. Команда no удаляет заданный сервер c адресом <ip-address>.

4. Настроить IP-адрес TACACS+ NAS:

Команда

Описание

tacacs-server nas-ipv4 <ip-address>

no tacacs-server nas-ipv4

! В режиме глобальной конфигурации

Задать IP-адрес <ip-address> источника пакетов TACACS+, отправляемых коммутатором. Команда no устанавливает в качестве источника адрес IP-интерфейса, с которого были отправлены пакеты (по-умолчанию).

7.3. Пример конфигурации TACACS+

Документация > 07. TACACS+ > image2019-8-1_14-48-49.png

Рисунок 56.1 - Аутентификация TACACS+

ПК подключен к коммутатору, который имеет IP-адрес 10.0.0.2 и подключен к серверу аутентификации TACACS+. IP-адрес сервера 10.0.0.3, используемый порт по-умолчанию - 49. Доступ на коммутатор по telnet контролируется сервером аутентификации.

Конфигурация будет выглядеть следующим образом:

Switch(config)#interface vlan 1
Switch(Config-if-vlan1)#ip address 10.0.0.2 255.255.255.0
Switch(Config-if-vlan1)#exit
Switch(config)#tacacs-server authentication host 10.0.0.3
Switch(config)#tacacs-server key test
Switch(config)#authentication line vty login tacacs

7.4. Устранение проблем при конфигурации TACACS+

Убедитесь, что:

IP-связность коммутатора с сервером TACACS+ присутствует;
Ключ аутентификации на коммутаторе совпадает с ключом на TACACS+ сервере;
Подключение осуществляется к правильному TACACS+ серверу.