المقدمة
يصف هذا المستند سلوك الأمر AAA Authentication LOGIN الافتراضي للمجموعة المحلية tacacs+ على جهاز Cisco IOS®.
المتطلبات الأساسية
المتطلبات
توصي Cisco بما يلي:
- يتم تمكين طراز AAA الجديد على الجهاز.
المكونات المستخدمة
لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
ملاحظة: أستخدم Cisco CLI Analyzer (محلل واجهة سطر الأوامر من Cisco) من كتالوج أدوات Cisco للحصول على مزيد من المعلومات حول الأوامر المستخدمة في هذا القسم. لا يستطيع الوصول إلى أدوات Cisco والمعلومات الداخلية إلا لمستخدمي Cisco المسجلين.
شكلت هذا أمر على الأداة في شامل تشكيل أسلوب:
aaa new-model
aaa authentication login default local group tacacs+
مع aaa new model يتم تكوين المصادقة المحلية على جميع الخطوط والواجهات (باستثناء سطر وحدة التحكم con 0).
هنا يتم تطبيق قائمة أساليب AAA على جميع محاولات تسجيل الدخول على جميع خطوط الجهاز، حيث يتم التحقق من قاعدة البيانات المحلية الأولى ثم يتم تجربة خادم نظام التحكم في الوصول إلى وحدة تحكم الوصول إلى المحطة الطرفية (TACACS) إذا لزم الأمر.
username cisco privilege 15 password 0 cisco
قاعدة بيانات المستخدم المحلي:
tacacs-server host 10.20.220.141
tacacs-server key cisco
تم تكوين خادم TACACS الآن.
التحقق من الصحة
استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.
- قم بتمكين مصادقة TACACS وتصحيح الأخطاء AAA على الجهاز قيد الاختبار.
RUT#show debug
General OS:
TACACS access control debugging is on
AAA Authentication debugging is on
2. أنجزت telnet على الأداة:
RUT#show ip interface brief | exclude unassigned
Interface IP-Address OK? Method Status Protocol
FastEthernet0/1 10.197.235.96 YES DHCP up up
Loopback0 192.168.1.2 YES manual up up
RUT#telnet 192.168.1.2
Trying 192.168.1.2 ... Open
User Access Verification
Username: cisco
*Jul 23 09:34:37.023: AAA/BIND(0000001E): Bind i/f
*Jul 23 09:34:37.023: AAA/AUTHEN/LOGIN (0000001E): Pick method list 'default'
Password:
RUT>
تلاحظ أنه لم يحاول الوصول إلى خادم TACACS حيث تم العثور على اسم المستخدم Cisco محليا.
الآن، إذا حاولت إستخدام بيانات اعتماد لم يتم تكوينها محليا على المربع:
RUT#telnet 192.168.1.2
Trying 192.168.1.2 ... Open
User Access Verification
Username:
*Jul 23 09:36:01.099: AAA/BIND(0000001F): Bind i/f
*Jul 23 09:36:01.099: AAA/AUTHEN/LOGIN (0000001F): Pick method list 'default'
Username: cisco1
*Jul 23 09:36:11.095: TPLUS: Queuing AAA Authentication request 31 for processing
*Jul 23 09:36:11.095: TPLUS: processing authentication start request id 31
*Jul 23 09:36:11.095: TPLUS: Authentication start packet created for 31(cisco1)
*Jul 23 09:36:11.095: TPLUS: Using server 10.20.220.141
*Jul 23 09:36:11.095: TPLUS(0000001F)/0/NB_WAIT/47A14C34: Started 5 sec timeout
*Jul 23 09:36:16.095: TPLUS(0000001F)/0/NB_WAIT/47A14C34: timed out
*Jul 23 09:36:16.095: TPLUS(0000001F)/0/NB_WAIT/47A14C34: timed out, clean up
*Jul 23 09:36:16.095: TPLUS(0000001F)/0/47A14C34: Processing the reply packet
% Authentication failed
يمكنك ملاحظة أنها تحاول الوصول إلى خادم TACACS 10.20.220.141. وهو سلوك افتراضي متوقع. لا يوجد اسم مستخدم cisco1 تم تكوينه على خادم TACACS، وبالتالي تظهر فشل المصادقة.
إذا كان للجهاز سجل مصادقة AAA في المجموعة الافتراضية tacacs+ محلي في التكوين، فإن تفضيله الأول هو TACACS. إذا كان TACACS قابلا للوصول إليه، ولكن لم يقم أي مستخدم بتكوينه عليه، فهذا لا يعني أنه لن يقوم بالتراجع وحاول البحث في قاعدة البيانات المحلية. يعرض الرسالة، فشلت المصادقة .
استكشاف الأخطاء وإصلاحها
هناك حاليا ما من معلومة محددة يتوفر أن يتحرى هذا تشكيل.
معلومات ذات صلة
التعليقات