AAA Authentication Login Default Local Group TACACS+ 명령 이해

소개

이 문서에서는 Cisco IOS^® 디바이스에서 aaa authentication login default local group tacacs+ 명령의 동작에 대해 설명합니다.

사전 요구 사항

요구 사항

Cisco에서는 다음 사항을 권장합니다. 

• 디바이스에서 aaa new-model이 활성화됩니다.

사용되는 구성 요소

이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

구성

참고: 이 섹션에서 사용되는 명령에 대한 자세한 내용을 보려면 Cisco Tool Catalog에서 Cisco CLI Analyzer를 사용하십시오. 등록된 Cisco 사용자만 내부 Cisco 툴 및 정보에 액세스할 수 있습니다.

글로벌 컨피그레이션 모드에서 디바이스에서 다음 명령을 구성합니다.

aaa new-model
aaa authentication login default local group tacacs+

With just(함께 aaa new model 구성된 경우 로컬 인증이 모든 회선 및 인터페이스에 적용됩니다(콘솔 회선 con 0 제외).

여기서 AAA 방법 목록은 디바이스의 모든 라인에서 모든 로그인 시도에 적용됩니다. 여기서 첫 번째 로컬 데이터베이스를 선택한 다음 필요한 경우 TACACS(Terminal Access Controller Access Control System) 서버를 시도합니다.

username cisco privilege 15 password 0 cisco

로컬 사용자 데이터베이스:

tacacs-server host 10.20.220.141
tacacs-server key cisco

이제 TACACS 서버가 구성되었습니다.

다음을 확인합니다.

설정이 올바르게 작동하는지 확인하려면 이 섹션을 활용하십시오.

1. 테스트 중인 디바이스에서 Debug TACACS 및 Debug AAA Authentication을 활성화합니다.

RUT#show debug 
 General OS: 
   TACACS access control debugging is on 
   AAA Authentication debugging is on

   2 . 디바이스에서 텔넷을 수행합니다.

RUT#show ip interface brief | exclude unassigned 
 Interface                  IP-Address      OK? Method Status                Protocol 
 FastEthernet0/1            10.197.235.96   YES DHCP   up                    up       
 Loopback0                  192.168.1.2     YES manual up                    up     

RUT#telnet 192.168.1.2 
 Trying 192.168.1.2 ... Open 

 User Access Verification 

 Username: cisco 
 *Jul 23 09:34:37.023: AAA/BIND(0000001E): Bind i/f   
 *Jul 23 09:34:37.023: AAA/AUTHEN/LOGIN (0000001E): Pick method list 'default' 
 Password: 

 RUT>

사용자 이름 cisco가 로컬에서 발견되었으므로 TACACS 서버에 연결하려고 시도하지 않았습니다.

이제 상자에 로컬로 구성되지 않은 자격 증명을 사용하려고 하면

RUT#telnet 192.168.1.2 
 Trying 192.168.1.2 ... Open 

 User Access Verification 

 Username: 
 *Jul 23 09:36:01.099: AAA/BIND(0000001F): Bind i/f   
 *Jul 23 09:36:01.099: AAA/AUTHEN/LOGIN (0000001F): Pick method list 'default' 
 Username: cisco1 
 *Jul 23 09:36:11.095: TPLUS: Queuing AAA Authentication request 31 for processing 
 *Jul 23 09:36:11.095: TPLUS: processing authentication start request id 31 
 *Jul 23 09:36:11.095: TPLUS: Authentication start packet created for 31(cisco1) 
 *Jul 23 09:36:11.095: TPLUS: Using server 10.20.220.141 
 *Jul 23 09:36:11.095: TPLUS(0000001F)/0/NB_WAIT/47A14C34: Started 5 sec timeout 
 *Jul 23 09:36:16.095: TPLUS(0000001F)/0/NB_WAIT/47A14C34: timed out 
 *Jul 23 09:36:16.095: TPLUS(0000001F)/0/NB_WAIT/47A14C34: timed out, clean up 
 *Jul 23 09:36:16.095: TPLUS(0000001F)/0/47A14C34: Processing the reply packet 
 % Authentication failed

TACACS 서버 10.20.220.141에 연결하려고 시도하는 것을 볼 수 있습니다. 이는 예상되는 기본 동작입니다. TACACS 서버에 구성된 사용자 이름 cisco1이 없으므로 인증 실패로 표시됩니다.

컨피그레이션의 기본 그룹 tacacs+ local에 디바이스에 AAA 인증 로그가 있는 경우 첫 번째 기본 설정은 TACACS입니다. TACACS에 연결할 수 있지만 사용자가 TACACS에 대해 구성하지 않은 경우, TACACS는 폴백하지 않고 로컬 데이터베이스에서 검색을 시도합니다. Authentication failed(인증 실패)라는 메시지가 표시됩니다.

문제 해결

현재 이 구성의 문제를 해결하는 데 사용할 수 있는 특정 정보가 없습니다.

관련 정보

• 액세스 서버에서 기본 AAA 구성
• Cisco 기술 지원 및 다운로드