Nexus 4005I中的TACACS+配置示例

簡介

本文說明如何在Nexus 4000系列交換器上設定終端存取控制器存取控制系統(TACACS+)。Nexus 4000系列中的TACACS+身份驗證與Cisco Catalyst交換機相比略有不同。

必要條件

需求

思科建議您瞭解以下主題：Cisco Nexus 7000系列NX-OS基礎命令。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• Cisco Nexus 4005I交換器

• 思科安全存取控制伺服器(ACS)5.x

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

慣例

請參閱思科技術提示慣例以瞭解有關檔案慣例的資訊。

組態

本節中的配置示例說明如何配置Nexus 4005I交換機和TACACS+伺服器。

逐步說明

完成以下步驟，設定Nexus交換器和TACACS+伺服器：

1. 啟用TACACS+協定功能。

   必須使用預共用金鑰配置ACS伺服器的IP地址。如果有多個ACS伺服器，則必須配置兩台主機。

2. 啟用AAA概念和AAA伺服器組。

   在此配置示例中，AAA組名的名稱為「ACS」。

TACACS+ CLI組態

!--- Enable TACACS+ on the device.

feature tacacs+ 
tacacs-server host 10.0.0.1 key 7 Cisco
tacacs-server host 10.0.0.2 key 7 Cisco
tacacs-server directed-request


!--- Provide the name of your ACS server.

aaa group server tacacs+ ACS

!--- Mention the IP address of the tacacs-servers !--- referred to in the "tacacs-server host" command.

server 10.0.0.1 
server 10.0.0.2

!--- Telnet and ssh sessions.

aaa authentication login default group ACS local 

!--- Console sessions.

aaa authentication login console group ACS local 

!--- Accounting command.

aaa accounting default group ACS

注意：在ACS伺服器中使用相同的預共用金鑰「Cisco」在Nexus 4000系列和ACS伺服器之間進行身份驗證。

注意：如果TACACS+伺服器發生故障，您可以在交換機中配置使用者名稱和密碼，從而回退到本地進行身份驗證。

Nexus作業系統不使用許可權級別的概念，而是使用角色。預設情況下，您被置於network-operator角色。如果您希望使用者具有完全許可權，則必須將其置於network-admin角色中，並且必須配置TACACS伺服器以在使用者登入時向下推送屬性。若是TACACS+，您會傳回一個值為roles="roleA"的TACACS自訂屬性。 對於完全訪問使用者，可使用：cisco-av-pair*shell:roles="network-admin"

cisco-av-pair*shell:roles="network-admin"(The
	 * makes it optional)

shell:roles="network-admin"

驗證

使用本節中的命令驗證TACACS+伺服器配置：

• show tacacs-server — 顯示TACACS+伺服器配置。

• show aaa authentication [login {error-enable | mschap}] — 顯示配置的身份驗證資訊。

輸出直譯器工具(僅供已註冊客戶使用)(OIT)支援某些show命令。使用OIT檢視show命令輸出的分析。

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。

相關資訊

• 配置AAA
• 設定TACACS+
• 技術支援與文件 - Cisco Systems