المقدمة
يصف هذا المستند سلوك الأمر AAA TACACS+ الافتراضي للمجموعة المحلية لمصادقة AAA على جهاز Cisco IOS®.
المتطلبات الأساسية
المتطلبات
توصي Cisco بما يلي:
- يتم تمكين طراز AAA الجديد على الجهاز.
المكونات المستخدمة
لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
ملاحظة: أستخدم Cisco CLI Analyzer (محلل واجهة سطر الأوامر من Cisco) من كتالوج أدوات Cisco للحصول على مزيد من المعلومات حول الأوامر المستخدمة في هذا القسم. لا يستطيع الوصول إلى أدوات Cisco والمعلومات الداخلية إلا لمستخدمي Cisco المسجلين.
شكلت هذا أمر على الأداة في شامل تشكيل أسلوب:
aaa new-model
aaa authentication login default local group tacacs+
باستخدام aaa new model التكوين العادل، يتم تطبيق المصادقة المحلية على جميع الخطوط والواجهات (باستثناء سطر وحدة التحكم con 0).
هنا يتم تطبيق قائمة أساليب AAA على جميع محاولات تسجيل الدخول على جميع خطوط الجهاز، حيث يتم التحقق من قاعدة البيانات المحلية الأولى ثم يتم تجربة خادم نظام التحكم في الوصول إلى وحدة تحكم الوصول إلى المحطة الطرفية (TACACS) إذا لزم الأمر.
username cisco privilege 15 password 0 cisco
قاعدة بيانات المستخدم المحلي:
tacacs-server host 10.20.220.141
tacacs-server key cisco
تم تكوين خادم TACACS الآن.
التحقق من الصحة
استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.
- قم بتمكين مصادقة TACACS وتصحيح الأخطاء AAA على الجهاز قيد الاختبار.
RUT#show debug
General OS:
TACACS access control debugging is on
AAA Authentication debugging is on
2. قم بتنفيذ برنامج Telnet على الجهاز:
RUT#show ip interface brief | exclude unassigned
Interface IP-Address OK? Method Status Protocol
FastEthernet0/1 10.197.235.96 YES DHCP up up
Loopback0 192.168.1.2 YES manual up up
RUT#telnet 192.168.1.2
Trying 192.168.1.2 ... Open
User Access Verification
Username: cisco
*Jul 23 09:34:37.023: AAA/BIND(0000001E): Bind i/f
*Jul 23 09:34:37.023: AAA/AUTHEN/LOGIN (0000001E): Pick method list 'default'
Password:
RUT>
تلاحظ أنه لم يحاول الوصول إلى خادم TACACS حيث تم العثور على اسم المستخدم Cisco محليا.
الآن، إذا حاولت إستخدام بيانات اعتماد لم يتم تكوينها محليا على المربع:
RUT#telnet 192.168.1.2
Trying 192.168.1.2 ... Open
User Access Verification
Username:
*Jul 23 09:36:01.099: AAA/BIND(0000001F): Bind i/f
*Jul 23 09:36:01.099: AAA/AUTHEN/LOGIN (0000001F): Pick method list 'default'
Username: cisco1
*Jul 23 09:36:11.095: TPLUS: Queuing AAA Authentication request 31 for processing
*Jul 23 09:36:11.095: TPLUS: processing authentication start request id 31
*Jul 23 09:36:11.095: TPLUS: Authentication start packet created for 31(cisco1)
*Jul 23 09:36:11.095: TPLUS: Using server 10.20.220.141
*Jul 23 09:36:11.095: TPLUS(0000001F)/0/NB_WAIT/47A14C34: Started 5 sec timeout
*Jul 23 09:36:16.095: TPLUS(0000001F)/0/NB_WAIT/47A14C34: timed out
*Jul 23 09:36:16.095: TPLUS(0000001F)/0/NB_WAIT/47A14C34: timed out, clean up
*Jul 23 09:36:16.095: TPLUS(0000001F)/0/47A14C34: Processing the reply packet
% Authentication failed
يمكنك أن ترى أنها تحاول الوصول إلى خادم TACACS 10.20.220.141. إنه سلوك افتراضي متوقع. لا يوجد اسم مستخدم cisco1 تم تكوينه على خادم TACACS، وبالتالي، فإن النتيجة هي فشل المصادقة.
إذا كان لدى الجهاز مصادقة AAA تسجيل دخول المجموعة الافتراضية tacacs+ محلي في التكوين، فإن تفضيله الأول هو TACACS. إذا كان TACACS قابلا للوصول إليه، ولكن لم يتم تكوين أي مستخدم عليه، فإنه لا يعمل على إنشاء خط إحتياطي ويحاول البحث في قاعدة البيانات المحلية. وبدلا من ذلك، يعرض الرسالة، فشلت المصادقة .
استكشاف الأخطاء وإصلاحها
لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.
معلومات ذات صلة
التعليقات