Inleiding
Dit document beschrijft het gedrag van de opdracht van de standaard verificatielogin, lokale groep tacacs+ op een Cisco IOS®-apparaat.
Voorwaarden
Vereisten
Cisco raadt het volgende aan:
- Het aaa new-model is ingeschakeld op het apparaat.
Gebruikte componenten
Dit document is niet beperkt tot specifieke software- en hardware-versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Configureren
Opmerking: gebruik de Cisco CLI Analyzer uit de Cisco Tool Catalog om meer informatie te verkrijgen over de opdrachten die in deze sectie worden gebruikt. Alleen geregistreerde Cisco-gebruikers hebben toegang tot interne Cisco-tools en -informatie.
Configureer deze opdrachten op het apparaat in de globale configuratiemodus:
aaa new-model
aaa authentication login default local group tacacs+
Met slechts aaa new model geconfigureerd wordt lokale verificatie toegepast op alle lijnen en interfaces (behalve consolelijn con 0).
Hier wordt de AAA methodelijst toegepast op alle inlogpogingen op alle lijnen van het apparaat, waar eerst lokale database wordt gecontroleerd en dan indien nodig, wordt de Terminal Access Controller Access Control System (TACACS) server geprobeerd.
username cisco privilege 15 password 0 cisco
Lokale gebruikersdatabase:
tacacs-server host 10.20.220.141
tacacs-server key cisco
De TACACS-server is nu geconfigureerd.
Verifiëren
Gebruik deze sectie om te controleren of uw configuratie goed werkt.
- Debug TACACS en Debug AAA-verificatie op het geteste apparaat inschakelen.
RUT#show debug
General OS:
TACACS access control debugging is on
AAA Authentication debugging is on
2. Voer een telnet op het apparaat uit:
RUT#show ip interface brief | exclude unassigned
Interface IP-Address OK? Method Status Protocol
FastEthernet0/1 10.197.235.96 YES DHCP up up
Loopback0 192.168.1.2 YES manual up up
RUT#telnet 192.168.1.2
Trying 192.168.1.2 ... Open
User Access Verification
Username: cisco
*Jul 23 09:34:37.023: AAA/BIND(0000001E): Bind i/f
*Jul 23 09:34:37.023: AAA/AUTHEN/LOGIN (0000001E): Pick method list 'default'
Password:
RUT>
U merkt dat het niet geprobeerd om de server te bereiken TACACS aangezien de gebruikersbenaming cisco plaatselijk werd gevonden.
Als u nu probeert een referenties te gebruiken die niet lokaal op het vak zijn ingesteld:
RUT#telnet 192.168.1.2
Trying 192.168.1.2 ... Open
User Access Verification
Username:
*Jul 23 09:36:01.099: AAA/BIND(0000001F): Bind i/f
*Jul 23 09:36:01.099: AAA/AUTHEN/LOGIN (0000001F): Pick method list 'default'
Username: cisco1
*Jul 23 09:36:11.095: TPLUS: Queuing AAA Authentication request 31 for processing
*Jul 23 09:36:11.095: TPLUS: processing authentication start request id 31
*Jul 23 09:36:11.095: TPLUS: Authentication start packet created for 31(cisco1)
*Jul 23 09:36:11.095: TPLUS: Using server 10.20.220.141
*Jul 23 09:36:11.095: TPLUS(0000001F)/0/NB_WAIT/47A14C34: Started 5 sec timeout
*Jul 23 09:36:16.095: TPLUS(0000001F)/0/NB_WAIT/47A14C34: timed out
*Jul 23 09:36:16.095: TPLUS(0000001F)/0/NB_WAIT/47A14C34: timed out, clean up
*Jul 23 09:36:16.095: TPLUS(0000001F)/0/47A14C34: Processing the reply packet
% Authentication failed
Je ziet dat het probeert om de TACACS-server 10.20.220.141 te bereiken. Het is een verwacht standaardgedrag. Er is geen gebruikersnaam cisco1 geconfigureerd op de TACACS-server, vandaar toont verificatie mislukt.
Als het apparaat AAA-verificatielogboek heeft in de standaardgroep tacacs+ lokaal in de configuratie, is de eerste voorkeur TACACS. Als de TACACS bereikbaar is, maar geen gebruiker heeft geconfigureerd op het, het niet terugvallen en proberen te zoeken in de lokale database. Het geeft het bericht weer, verificatie mislukt .
Problemen oplossen
Er is momenteel geen specifieke informatie beschikbaar om deze configuratie problemen op te lossen.
Gerelateerde informatie
Feedback