Eseguire un comando di autenticazione AAA su un dispositivo Cisco IOS

Opzioni per il download

  • PDF     (255.9 KB)
    Visualizza con Adobe Reader su diversi dispositivi
Aggiornato:27 novembre 2023
ID documento:200606

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive il comportamento del comando aaa authentication login default local group tacacs+ su un dispositivo Cisco IOS®.

    Prerequisiti

    Requisiti

    Cisco consiglia: 

    • Il nuovo modello aaa è abilitato sul dispositivo.

    Componenti usati

    Il documento può essere consultato per tutte le versioni software o hardware.

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Configurazione

    Nota: per ulteriori informazioni sui comandi menzionati in questa sezione, usare Cisco CLI Analyzer dal catalogo strumenti Cisco. Solo gli utenti Cisco registrati possono accedere agli strumenti e alle informazioni interne di Cisco.

    Configurare questi comandi sul dispositivo in modalità di configurazione globale:

    aaa new-model
    aaa authentication login default local group tacacs+

    Con la aaa new model configurazione appena eseguita, l'autenticazione locale viene applicata a tutte le linee e interfacce (ad eccezione della linea della console con 0).

    In questo caso, l'elenco dei metodi AAA viene applicato a tutti i tentativi di accesso su tutte le righe del dispositivo, dove viene controllato il primo database locale e quindi, se necessario, viene eseguito un tentativo di accesso al server TACACS (Terminal Access Controller Access Control System).

    username cisco privilege 15 password 0 cisco

    Database utente locale:

    tacacs-server host 10.20.220.141
    tacacs-server key cisco

    Il server TACACS è ora configurato.

    Verifica

    Per verificare che la configurazione funzioni correttamente, consultare questa sezione.

    1. Abilitare l'autenticazione Debug TACACS e Debug AAA sul dispositivo sottoposto al test.
    RUT#show debug 
     General OS: 
       TACACS access control debugging is on 
       AAA Authentication debugging is on

       2. Eseguire una connessione telnet sul dispositivo:

    RUT#show ip interface brief | exclude unassigned 
     Interface                  IP-Address      OK? Method Status                Protocol 
     FastEthernet0/1            10.197.235.96   YES DHCP   up                    up       
     Loopback0                  192.168.1.2     YES manual up                    up     
    RUT#telnet 192.168.1.2 
     Trying 192.168.1.2 ... Open 

     User Access Verification 

     Username: cisco 
     *Jul 23 09:34:37.023: AAA/BIND(0000001E): Bind i/f   
     *Jul 23 09:34:37.023: AAA/AUTHEN/LOGIN (0000001E): Pick method list 'default' 
     Password: 

     RUT>

    Si noti che non è stato effettuato alcun tentativo di raggiungere il server TACACS perché il nome utente cisco è stato trovato localmente.

    Se ora si tenta di utilizzare una credenziale non configurata localmente nella casella:

    RUT#telnet 192.168.1.2 
     Trying 192.168.1.2 ... Open 

     User Access Verification 

     Username: 
     *Jul 23 09:36:01.099: AAA/BIND(0000001F): Bind i/f   
     *Jul 23 09:36:01.099: AAA/AUTHEN/LOGIN (0000001F): Pick method list 'default' 
     Username: cisco1 
     *Jul 23 09:36:11.095: TPLUS: Queuing AAA Authentication request 31 for processing 
     *Jul 23 09:36:11.095: TPLUS: processing authentication start request id 31 
     *Jul 23 09:36:11.095: TPLUS: Authentication start packet created for 31(cisco1) 
     *Jul 23 09:36:11.095: TPLUS: Using server 10.20.220.141 
     *Jul 23 09:36:11.095: TPLUS(0000001F)/0/NB_WAIT/47A14C34: Started 5 sec timeout 
     *Jul 23 09:36:16.095: TPLUS(0000001F)/0/NB_WAIT/47A14C34: timed out 
     *Jul 23 09:36:16.095: TPLUS(0000001F)/0/NB_WAIT/47A14C34: timed out, clean up 
     *Jul 23 09:36:16.095: TPLUS(0000001F)/0/47A14C34: Processing the reply packet 
     % Authentication failed

    Come si può vedere, tenta di raggiungere il server TACACS 10.20.220.141. È un comportamento predefinito previsto. Non è stato configurato alcun nome utente cisco1 sul server TACACS, quindi l'autenticazione non è riuscita.

    Se il dispositivo ha il gruppo predefinito di accesso con autenticazione aaa tacacs+ locale nella configurazione, la sua prima preferenza è TACACS. Se TACACS è raggiungibile ma non vi è alcun utente configurato, non esegue il fallback e tenta di eseguire la ricerca nel database locale. Viene invece visualizzato il messaggio Autenticazione non riuscita.

    Risoluzione dei problemi

    Al momento non sono disponibili informazioni specifiche per la risoluzione dei problemi di questa configurazione.

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    5.0
    27-Nov-2023
    Update
    4.0
    05-Dec-2022
    Formattazione e utilizzo aggiornati.
    2.0
    30-Nov-2022
    Formattazione aggiornata. Titolo corretto e frasi introduttive.
    1.0
    08-Aug-2016
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Utsav Dutt
      Specialista del successo dei clienti

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci