تكوين موجه Cisco لمصادقة الطلب باستخدام TACACS+
المحتويات
المقدمة
يوضح هذا المستند كيفية تكوين موجه Cisco لمصادقة الطلب باستخدام TACACS+ الذي يتم تشغيله على UNIX. لا يقدم TACACS+ عدد ميزات ACS الآمن من Cisco والمتوفر تجاريا ل Windows أو Cisco Secure ACS ل UNIX.
تم إيقاف تشغيل برنامج TACACS+ الذي كان موفرا من قبل Cisco Systems ولم يعد مدعوما من قبل Cisco Systems.
اليوم، يمكنك العثور على العديد من إصدارات البرامج المجانية ل TACACS+ المتوفرة عند البحث عن "TACACS+ مجاني" على محرك البحث المفضل لديك عبر الإنترنت. لا توصي Cisco بشكل خاص بتنفيذ أي برنامج مجاني TACACS+ خاص.
يتوفر خادم التحكم في الوصول الآمن (ACS) من Cisco للشراء من خلال قنوات المبيعات والتوزيع العادية من Cisco في جميع أنحاء العالم. يتضمن مصدر المحتوى الإضافي الآمن من Cisco لنظام التشغيل Windows جميع المكونات اللازمة للتثبيت المستقل على محطة عمل تعمل بنظام التشغيل Microsoft Windows. يتم شحن محرك حلول ACS الآمن من Cisco باستخدام ترخيص برنامج Cisco Secure ACS المثبت مسبقا. ارجع إلى نشرة منتج ACS 4.0 الآمن من Cisco للحصول على أرقام المنتجات. قم بزيارة الصفحة الرئيسية لطلب الشراء من Cisco (العملاء المسجلون فقط) لتقديم طلب شراء.
ملاحظة: تحتاج إلى حساب CCO مع عقد خدمة مرتبط للحصول على إصدار تجريبي لمدة 90 يوما ل Cisco Secure ACS ل Windows (للعملاء المسجلين فقط).
تم تطوير تكوين الموجه في هذا المستند على موجه يعمل ببرنامج Cisco IOS® Software، الإصدار 11.3.3. برنامج IOS الإصدارات 12.0.5.T من Cisco والاستخدام اللاحق ل Tacacs+ بدلا من TACACS+. تظهر جمل مثل مصادقة AAA تعيين الدخول الافتراضي ل tacacs+ enable كمجموعة افتراضية لتسجيل دخول مصادقة AAA تمكين TACACS+.
يمكنك تنزيل البرنامج الحر TACACS+ ودليل المستخدم بواسطة FTP مجهول إلى ftp-eng.cisco.com في دليل /pub/tacacs.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.
الاصطلاحات
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
التكوينات
في هذا القسم، تُقدّم لك معلومات تكوين الميزات الموضحة في هذا المستند.
ملاحظة: أستخدم أداة بحث الأوامر (للعملاء المسجلين فقط) للعثور على معلومات إضافية حول الأوامر المستخدمة في هذا المستند.
يستخدم هذا المستند التكوينات التالية:
| تكوين الموجّه |
|---|
! aaa new-model aaa authentication login default tacacs+ enable aaa authentication ppp default if-needed tacacs+ aaa authorization exec default tacacs+ if-authenticated aaa authorization commands 1 default tacacs+ if-authenticated aaa authorization commands 15 default tacacs+ if-authenticated aaa authorization network default tacacs+ enable password ww ! chat-script default "" at&fls0=1&h1&r2&c1&d2&b1e0q2 OK ! interface Ethernet0 ip address 10.6.1.200 255.255.255.0 ! !--- Challenge Handshake Authentication Protocol !--- (CHAP/PPP) authentication user. interface Async1 ip unnumbered Ethernet0 encapsulation ppp async mode dedicated peer default ip address pool async no cdp enable ppp authentication chap ! !--- Password Authentication Protocol (PAP/PPP) authentication user. interface Async2 ip unnumbered Ethernet0 encapsulation ppp async mode dedicated peer default ip address pool async no cdp enable ppp authentication pap ! !--- Authentication user with autocommand PPP. interface Async3 ip unnumbered Ethernet0 encapsulation ppp async mode interactive peer default ip address pool async no cdp enable ! ip local pool async 10.6.100.101 10.6.100.103 tacacs-server host 171.68.118.101 tacacs-server timeout 10 tacacs-server key cisco ! line 1 session-timeout 20 exec-timeout 120 0 autoselect during-login script startup default script reset default modem Dialin transport input all stopbits 1 rxspeed 115200 txspeed 115200 flowcontrol hardware ! line 2 session-timeout 20 exec-timeout 120 0 autoselect during-login script startup default script reset default modem Dialin transport input all stopbits 1 rxspeed 115200 txspeed 115200 flowcontrol hardware ! line 3 session-timeout 20 exec-timeout 120 0 autoselect during-login autoselect ppp script startup default script reset default modem Dialin autocommand ppp transport input all stopbits 1 rxspeed 115200 txspeed 115200 flowcontrol hardware ! end |
| ملف تكوين TACACS+ على خادم FreeWare |
|---|
!--- Handshake with router !--- AS needs 'tacacs-server key cisco'.
key = "cisco"
!--- User who can Telnet in to configure.
user = admin {
default service = permit
login = cleartext "admin"
}
!--- CHAP/PPP authentication line 1 - !--- password must be cleartext per CHAP specifications.
user = chapuser {
chap = cleartext "chapuser"
service = ppp protocol = ip {
default attribute = permit
}
}
!--- PPP/PAP authentication line 2.
user = papuser {
login = file /etc/passwd
service = ppp protocol = ip {
default attribute = permit
}
}
!--- Authentication user line 3.
user = authauto {
login = file /etc/passwd
service = ppp protocol = ip {
default attribute = permit
}
} |
إعداد Microsoft Windows
إعداد Microsoft Windows للمستخدمين 1 و 2
في هذا القسم، تُقدّم لك معلومات تكوين الميزات الموضحة في هذا المستند.
التعليمات بالتفصيل
أكمل الخطوات التالية.
ملاحظة: قد تختلف تهيئة الكمبيوتر بشكل طفيف استنادا إلى إصدار نظام التشغيل الذي تستخدمه.
-
حدد Start>البرامج > الملحقات>شبكات الطلب الهاتفي لفتح نافذة شبكة الطلب الهاتفي.
-
أختر إجراء توصيل جديد من قائمة الاتصالات، وأدخل اسما للاتصال الخاص بك.
-
أدخل المعلومات الخاصة للمودم وانقر فوق تكوين.
-
في صفحة "خصائص عامة"، حدد أعلى سرعة للمودم، ولكن لا تقم بتحديد الاتصال فقط بهذه السرعة... المربع.
-
في صفحة خصائص التكوين/الاتصال، أستخدم 8 وحدات بت للبيانات، بدون تماثل، و 1 بت إيقاف. تفضيلات الاتصال التي يتم إستخدامها هي انتظار نغمة الطلب قبل الطلب وإلغاء المكالمة إذا لم تكن متصلة بعد 200 ثانية.
-
في صفحة التوصيل، انقر على خيارات متقدمة. في إعدادات الاتصال المتقدمة، حدد فقط التحكم في تدفق الأجهزة ونوع التعديل القياسي.
في صفحة خصائص التكوين/الخيارات، يجب عدم تحديد أي شيء باستثناء المربع الموجود تحت التحكم في الحالة.
-
طقطقت ok وبعد ذلك طقطقت بعد ذلك.
-
أدخل رقم هاتف الوجهة، وانقر فوق التالي مرة أخرى، ثم انقر فوق إنهاء.
-
بمجرد ظهور أيقونة التوصيل الجديد، انقر بزر الماوس الأيمن عليها واختر خصائص > نوع الخادم.
-
أختر PPP:Windows 95، Windows NT 3.5، إنترنت ولا تحقق من أي خيارات متقدمة.
-
تحقق من TCP/IP ضمن بروتوكولات الشبكة المسموح بها.
-
تحت إعدادات TCP/IP...، أختر عنوان IP المعين للخادم، وعناوين خادم الاسم المعين للخادم، وإستخدام البوابة الافتراضية على الشبكة البعيدة، ثم انقر على موافق.
-
عندما يقوم المستخدم بالنقر نقرا مزدوجا على الرمز لجعل نافذة الاتصال بالطلب، يجب على المستخدم ملء حقلي اسم المستخدم وكلمة المرور، ثم انقر على توصيل.
إعداد Microsoft Windows للمستخدم 3
تكوين المستخدم 3 (مستخدم المصادقة مع الأمر التلقائي PPP) هو نفسه للمستخدمين 1 و 2 مع هذه الاستثناءات:
-
في صفحة خصائص التكوين/الخيارات (الخطوة 6)، تحقق من جلب نافذة المحطة الطرفية بعد الطلب.
-
عندما يقوم المستخدم بالنقر نقرا مزدوجا على الرمز لفتح نافذة الاتصال بالطلب (الخطوة 13)، لا يقوم المستخدم بتعبئة حقلي اسم المستخدم وكلمة المرور. انقر المستخدم فوق الاتصال. بعد إجراء الاتصال بالموجه، يتم إنشاء أنواع المستخدمين في اسم المستخدم وكلمة المرور في الإطار الأسود الذي يظهر. بعد المصادقة، يضغط المستخدم باستمرار (F7).
التحقق من الصحة
لا يوجد حاليًا إجراء للتحقق من صحة هذا التكوين.
استكشاف الأخطاء وإصلاحها
الموجّه
ارجع إلى معلومات مهمة عن أوامر تصحيح الأخطاء قبل أن تستخدم تصدر أوامر debug.
-
terminal monitor—يعرض إخراج الأمر debug ورسائل خطأ النظام للمحطة الطرفية والجلسة الحالية.
-
debug ppp negotiation—يعرض حزم PPP المرسلة أثناء بدء تشغيل PPP، حيث يتم التفاوض مع خيارات PPP.
-
debug ppp packet—يعرض حزم PPP التي يتم إرسالها واستقبالها. (يعرض هذا الأمر مكبات حزم منخفضة المستوى.)
-
debug ppp chap—يعرض معلومات حول ما إذا كان أحد العملاء يجتاز المصادقة (لإصدارات برنامج Cisco IOS الأحدث من 11.2).
-
تصحيح الأخطاء لمصادقة AAA— يعرض معلومات حول المصادقة والتخويل والمحاسبة (AAA)/مصادقة TACACS+.
-
تصحيح أخطاء تفويض المصادقة والتفويض والمحاسبة (AAA)—يعرض معلومات حول تفويض AAA/TACACS+.
الخادم
ملاحظة: يفترض هذا رمز خادم TACACS+ FreeWare من Cisco.
tac_plus_executable -C config.file -d 16 tail -f /var/tmp/tac_plus.log
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
14-May-2009 |
الإصدار الأولي |
التعليقات