300系列托管交换机上的TACACS+服务器配置
目标
TACACS+是思科专有协议,通过用户名和密码提供身份验证和授权。要配置TACACS+服务器,用户必须拥有15访问权限,这允许用户访问交换机的所有配置功能。300系列托管交换机可以充当TACACS+客户端,在该客户端中,通过正确配置的TACACS+服务器,所有连接的用户都可以在网络中进行身份验证和授权。本文介绍如何在300系列托管交换机上配置TACACS+服务器。
注意:有关如何向用户分配权限访问15的详细信息,请参阅300系列托管交换机上的用户帐户配置文章。
适用设备
· SF/SG 300系列托管交换机
软件版本
•v1.2.7.76
配置TACACS+服务器的默认参数
本节介绍如何配置TACACS+服务器的默认参数。在不使用服务器的其他自定义配置时,会使用这些参数。
步骤1.登录Web配置实用程序并选择Security > TACACS+。TACACS+页面将打开:
步骤2.在Source IP Address字段中,输入TACACS+服务器所需的默认IP地址。
步骤3.在Key String字段中,选择如何输入密钥。此密钥用于交换机和TACACS+服务器之间交换消息。这是使用的默认密钥字符串。此密钥必须与在TACACS+服务器上配置的密钥相同。如果TACAS+服务器添加了新密钥字符串,则新添加的密钥字符串优先于默认密钥字符串。单击其中一个可用选项的单选按钮:
·已加密 — 此选项允许您输入加密密钥。
·纯文本 — 此选项允许您以纯文本格式输入密钥。
步骤4.在Timeout for Reply字段中,输入TACACS+服务器与交换机之间的连接到期之前应经过的时间(以秒为单位)。
步骤5.单击Apply以保存TACACS+服务器的默认参数。
添加TACACS+服务器
本节介绍如何将TACACS+服务器添加到300系列托管交换机。
步骤1.登录Web配置实用程序并选择Security > TACACS+。TACACS+页面将打开:
步骤2.单击“添加”。系统将显示Add a TACACS+ Server窗口:
步骤3.在Server Definition字段中,选择如何定义服务器。单击其中一个可用选项的单选按钮:
·按IP地址 — 此选项允许您使用IP地址定义服务器。
·按名称 — 此选项允许您使用完全限定域名(FQDN)定义服务器。
步骤4.在Server IP Address/Name字段中,根据您在步骤3中的选择输入TACACS+服务器的IP地址或域名。
步骤5.在Priority字段中,输入服务器所需的优先级。如果交换机无法与优先级最高的服务器建立会话,则交换机将尝试优先级最高的服务器。零被视为最高优先级。
步骤6.在Source IP Address字段中,点击一个选项以定义源IP地址。可用选项包括:
·用户默认 — 此选项使用默认参数部分中配置的默认源IP地址。
·用户定义 — 此选项使用用户定义的交换机源IP地址。从下拉列表中选择一个可用的用户定义IP地址。
步骤7.在Key String字段中,输入TACACS+服务器与交换机之间的加密密钥。此密钥必须与在TACACS+服务器上配置的密钥相同。单击其中一个可用选项的单选按钮以输入此信息:
·使用默认值 — 此选项使用之前配置的默认参数。
·用户定义(加密) — 此选项允许您输入新的加密密钥。
·用户定义(明文) — 此选项允许您以纯文本格式输入密钥。
步骤8.在Timeout for Reply字段中,输入服务器与交换机之间的连接到期之前应经过的时间(以秒为单位)。单击其中一个可用选项的单选按钮:
·使用默认值 — 此选项使用先前配置的默认参数。
·用户定义 — 此选项允许您输入新值。
步骤9.在Authentication Port字段中,输入用于建立TACACS+会话的端口号。
第10步。(可选)在Single Connection字段中,选中Enable复选框,以便交换机在TACACS+和交换机之间保持单个打开连接。此选项更高效,因为交换机不会为每个TACACS+操作打开或关闭连接。相反,通过单个连接,交换机可以处理多个TACACS+操作。
步骤11.单击“应用”保存。
注意:下图描述了配置后的更改:
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
13-Dec-2018 |
初始版本 |
反馈