Basic TACACS+ Configuration Example

Opções de download

PDF (170.1 KB)
Ver no Adobe Reader em vários dispositivos
ePub (88.5 KB)
Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
Mobi (Kindle) (83.2 KB)
Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos

Atualizado:15 de novembro de 2007

ID do documento:10368

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Prerequisites

Requirements

Componentes Utilizados

Conventions

Configurar

Diagrama de Rede

Configurações

Verificar

Troubleshoot

Comandos para Troubleshooting

Informações Relacionadas

Introduction

Este documento fornece uma configuração básica de exemplo para o Terminal Access Controller Access Control System+ (TACACS+) para autenticação de discagem do usuário para um Network Access Server (NAS).

Prerequisites

Requirements

Não existem requisitos específicos para este documento.

Componentes Utilizados

Esta configuração foi desenvolvida e testada utilizando as seguintes versões de software e hardware:

NAS
TACACS+ Arquivo de configuração (versão freeware)

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Observação: o TACACS+ é uma versão proprietária da Cisco do TACACS, portanto, é compatível somente com o Cisco ACS.

NAS
TACACS+ Arquivo de configuração (versão freeware)

Observação: certifique-se de que a discagem esteja funcionando. Quando o modem puder se conectar e autenticar localmente, ative o TACACS+.

NAS
version 11.2 ! service timestamps debug datetime msec service timestamps log uptime service password-encryption no service udp-small-servers no service tcp-small-servers ! hostname Cisco3640 ! aaa new-model aaa authentication login default tacacs local aaa authentication login consoleport none aaa authentication ppp default if-needed tacacs aaa authorization network tacacs !--- This is needed for static IP address assignment. ! enable password cisco ! username cisco password letmein ! interface Ethernet0 ip address 10.29.1.3 255.255.255.0 ! Interface Group-Async1 ip unnumbered Ethernet0 encapsulation ppp async mode interactive peer default ip address pool async no cdp enable ppp authentication chap group-range 1 16 ! ip local pool async 10.6.100.101 10.6.100.103 tacacs-server host 10.6.101.101 tacacs-server key cisco ! line con 0 login authentication consoleport !--- This always allows console port access. ! line 1 16 autoselect ppp autoselect during-login modem Dialin transport input all stopbits 1 rxspeed 115200 txspeed 115200 flowcontrol hardware ! line aux 0 ! line vty 0 4 ! end

NAS

version 11.2
!
service timestamps debug datetime msec
service timestamps log uptime
service password-encryption
no service udp-small-servers
no service tcp-small-servers
!
hostname Cisco3640
!
aaa new-model
aaa authentication login default tacacs local
aaa authentication login consoleport none
aaa authentication ppp default if-needed tacacs
aaa authorization network tacacs   

!--- This is needed for static IP address assignment.

!
enable password cisco
!
username cisco password letmein
!
interface Ethernet0
 ip address 10.29.1.3 255.255.255.0
!
Interface Group-Async1
 ip unnumbered Ethernet0
 encapsulation ppp
 async mode interactive
 peer default ip address pool async
 no cdp enable
 ppp authentication chap
 group-range 1 16
!
ip local pool async 10.6.100.101 10.6.100.103
tacacs-server host 10.6.101.101
tacacs-server key cisco
!
line con 0
 login authentication consoleport   

!--- This always allows console port access.

!
line 1 16
 autoselect ppp
 autoselect during-login
 modem Dialin
 transport input all
 stopbits 1
 rxspeed 115200
 txspeed 115200
 flowcontrol hardware
!
line aux 0
!
line vty 0 4
!
end

TACACS+ Arquivo de configuração (versão freeware)
!--- This creates a superuser (such as one with administrator permissions) !--- who is granted all privileges by "default service = permit", and has a password !--- that allows for connections in any mode. user = Russ { global = cleartext 'bar' default service = permit } !--- This creates a normal PPP user who gets an IP address from the router. user = Jason { chap = cleartext 'letmein' service = ppp protocol = ip {} } !--- This creates a user whose IP address is statically assigned. user = Laura { chap = cleartext 'letmein' service = ppp protocol = ip { addr = 10.1.1.104 } }

TACACS+ Arquivo de configuração (versão freeware)


!--- This creates a superuser (such as one with administrator permissions) !--- who is granted all privileges by "default service = permit", and has a password !--- that allows for connections in any mode.

user = Russ
{
  global = cleartext 'bar'
  default service = permit
}

!--- This creates a normal PPP user who gets an IP address from the router.

user = Jason
{
  chap = cleartext 'letmein'
  service = ppp protocol = ip {}
}

!--- This creates a user whose IP address is statically assigned.

user = Laura
{
  chap = cleartext 'letmein'
  service = ppp protocol = ip 
		{
		  addr = 10.1.1.104
		}
}

debug ppp negotiation — Mostra se um cliente está passando a negociação PPP; verifique se há negociação de endereço nesse ponto.
debug ppp authentication —Mostra se um cliente está passando a autenticação. Se estiver usando uma versão do software Cisco IOS® anterior à versão 11.2, emita o comando debug ppp chap.
debug ppp error — mostra erros de protocolo e estatísticas de erros associados à negociação e à operação da conexão PPP.
debug aaa authentication —Mostra qual método está sendo usado para autenticar (deve ser TACACS+, a menos que o servidor TACACS+ esteja inativo) e se os usuários estão ou não transmitindo a autenticação.
debug aaa authorization — Mostra qual método está sendo usado para autorização e se os usuários estão ou não transmitindo-o.
debug tacacs — Mostra as mensagens enviadas ao servidor.