RADIUS、TACACS+和思科安全網域剝離

簡介

在某些情況下，會向Cisco IOS®軟體傳送帶有「@」符號(username@website.com)的使用者名稱。發生這種情況時，需要刪除傳入使用者的域名。在這種情況下，可以使用路由器上的定向請求或伺服器上的Cisco Secure軟體來完成此操作。

開始之前

慣例

如需文件慣例的詳細資訊，請參閱思科技術提示慣例。

必要條件

本文件沒有特定先決條件。

採用元件

本文件所述內容不限於特定軟體和硬體版本。

RADIUS網域剝離

在此示例配置中，假設您正在配置承載名為website.com的域的路由器。RADIUS伺服器的IP位址為10.1.1.1。

ip host website.com 10.1.1.1 
radius-server host 10.1.1.1 auth-port 1645 acct-port 1646
radius-server directed-request

注意：radius-server directed-request命令是在Cisco IOS®軟體版本12.0(2)T中匯入。

透過此設定，當名為user@website.com的人需要驗證時，directed-request代碼會嘗試將網域名稱解析為IP位址。在本例中，由於使用本地ip host語句，website.com解析為IP地址10.1.1.1。然後路由器會查詢radius-server host線路中解析的IP地址，並將使用者名稱user的驗證請求傳送到RADIUS伺服器。

TACACS+網域剝離

您可以使用以下命令對TACACS+執行相同的程式：

ip host website.com 10.1.1.1
tacacs-server host 10.1.1.1
tacacs-server directed-request

適用於Windows網域剝離的Cisco安全ACS

如果需要從user@website.com刪除域，請配置Cisco Secure NT以僅通過完成以下步驟將使用者名稱驗證為使用者：

1. 轉至Interface Configuration > Advanced Options，選擇Distributed System Settings，然後按一下Submit。

   此外，如果剝離的使用者要轉到此伺服器以外的伺服器，請完成以下步驟：

   1. 轉至Network Configuration > Network Device Groups > Add Entry，新增身份驗證、授權和記帳(AAA)伺服器。

   2. 在目標上轉至Network Configuration > Network Device Groups，然後配置源。

2. 在源裝置上，轉至Network Configuration > Distribution Table > Add Entry。按如下方式配置設定：

   • 在Character String欄位中，鍵入域名(@website.com)。

   • 在「Position」下拉選單中，選擇「Suffix」。（請注意，字首在某些情況下也適用。）

   • 在「Strip」下拉選單中，選擇「Yes（是）」。

   • 將伺服器從AAA Server清單移動到Forward To列表。如果剝離的名稱是從源到源（意味著源與目標相同），則源將是要「轉發到」的伺服器。 如果剝離的名稱要從源轉到其他目標，則目標將是要「轉發到」的伺服器。

3. 按一下Submit儲存設定。

Cisco安全UNIX域剝離

在主網關訪問控制伺服器的AAA > Domain網頁上，指定以下設定：

• 域名：website.com

• 分隔符：@

• 域名位置：之後

• 域型別：遠端

相關資訊

• 遠端驗證撥入使用者服務(RADIUS)
• 終端存取控制器存取控制系統(TACACS+)
• 要求建議 (RFC)
• 技術支援 - Cisco Systems