基本TACACS +配置示例
简介
本文提供了终端访问控制器访问控制System+ (TACACS+)的基本样例配置,适用于网络接入服务器(NAS)的用户拨号认证。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
该配置是使用以下软件和硬件版本开发并测试的:
-
NAS
-
TACACS+配置文件(免费软件版本)
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
注意:TACACS+是TACACS的思科专有版本,因此仅受Cisco ACS支持。
规则
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
配置
本部分提供有关如何配置本文档所述功能的信息。
注:要查找有关本文档中使用的命令的其他信息,请使用命令查找工具 
(仅注册客户)。
网络图
本文档使用下图所示的网络设置。
配置
本文档使用如下所示的配置。
注意:确保拨入工作正常。当调制解调器可以本地连接并进行身份验证后,请打开TACACS+。
| NAS |
|---|
version 11.2 ! service timestamps debug datetime msec service timestamps log uptime service password-encryption no service udp-small-servers no service tcp-small-servers ! hostname Cisco3640 ! aaa new-model aaa authentication login default tacacs local aaa authentication login consoleport none aaa authentication ppp default if-needed tacacs aaa authorization network tacacs !--- This is needed for static IP address assignment. ! enable password cisco ! username cisco password letmein ! interface Ethernet0 ip address 10.29.1.3 255.255.255.0 ! Interface Group-Async1 ip unnumbered Ethernet0 encapsulation ppp async mode interactive peer default ip address pool async no cdp enable ppp authentication chap group-range 1 16 ! ip local pool async 10.6.100.101 10.6.100.103 tacacs-server host 10.6.101.101 tacacs-server key cisco ! line con 0 login authentication consoleport !--- This always allows console port access. ! line 1 16 autoselect ppp autoselect during-login modem Dialin transport input all stopbits 1 rxspeed 115200 txspeed 115200 flowcontrol hardware ! line aux 0 ! line vty 0 4 ! end |
| TACACS+配置文件(免费软件版本) |
|---|
!--- This creates a superuser (such as one with administrator permissions) !--- who is granted all privileges by "default service = permit", and has a password !--- that allows for connections in any mode.
user = Russ
{
global = cleartext 'bar'
default service = permit
}
!--- This creates a normal PPP user who gets an IP address from the router.
user = Jason
{
chap = cleartext 'letmein'
service = ppp protocol = ip {}
}
!--- This creates a user whose IP address is statically assigned.
user = Laura
{
chap = cleartext 'letmein'
service = ppp protocol = ip
{
addr = 10.1.1.104
}
} |
验证
当前没有可用于此配置的验证过程。
故障排除
本部分提供的信息可用于对配置进行故障排除。
故障排除命令
命令输出解释程序工具(仅限注册用户)支持某些 show 命令,使用此工具可以查看对 show 命令输出的分析。
注意:在发出debug命令之前,请参阅有关Debug命令的重要信息。
-
debug ppp negotiation—显示客户端是否通过了PPP协商;在此处检查地址协商。
-
debug ppp authentication—显示客户端是否通过认证。如果您使用比11.2更早的Cisco IOS®软件版本,就发出debug ppp chap命令。
-
debug ppp error - 显示与 PPP 连接协商和操作关联的协议错误和错误统计数据。
-
debug aaa authentication4a—显示使用什么方法进行认证(应为TACACS+,除非TACACS+服务器发生故障) ,以及用户是否通过了认证。
-
调试aaa 鉴权 --显示正使用什么方法进行验证,用户是否通过了验证。
-
debug tacacs-显示发到服务器的信息。
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
15-Nov-2007 |
初始版本 |
反馈