Задача.
Настроить аутентификацию через сервер TACACS+ с IP-адресом 10.10.10.2 и ключом 12345678.
...
Включить учет вводимых пользователем команд и входа/выхода пользователей из системы.
Добавим настройки сервераЗададим общие параметры подключения к tacacs серверам:
...
ma4000# configure terminal
...
ma4000(config)# tacacs-server key 12345678
ma4000(config)
...
# tacacs-server timeout 3
Добавим сервер tacacs в список используемых серверов и зададим индивидуальные для этого сервера параметры подключения:
ma4000(config)# tacacs-server host 10.10.10.2
...
Изменим параметры аутентификации, чтобы сначала использовалась TACACS, а затем local:
...
ma4000(config-tacacs-(10.10.10.2))# port-number 50006 - задаём номер порта tacacs сервера
ma4000(config-tacacs-(10.10.10.2))# priority 0 - определяем порядок использования tacacs серверов, 0 - наиболее приоритетный сервер
ma4000(config-tacacs-(10.10.10.2))# timeout 10 - задаём время ожидания ответа от сервера в секундах, по истечении этого времени сервер считается недоступным
ma4000(config-tacacs-(10.10.10.2))# key 23415672 - задаём ключ аутентификации и шифрования для данного сервера
Установим метод аутентификации для входа в систему:
ma4000# configure terminal
ma4000(config)# aaa authentication login default tacacs+
Изменим параметры аутентификации для повышения привилегий (enable):
...
Имеется возможность указать метод аутентификации для конкретного типа соединения, в качестве примера укажем локальную аутентификацию (без использования tacacs) для консольного соединения. Задаём имя листа (может быть любым), которое будет использоваться для обозначения соответствия метода аутентификации и способа соединения:
ma4000(config)# aaa
...
Если сервер TACACS+ недоступен, то для аутентификации для повышения привилегий будет использоваться пароль пользователя.
...
authentication login list example
Устанавливаем соответствие данного способа соединения и метода аутентификации:
ma4000(config)# line console
ma4000(config-line-console)# login authentication list example
При необходимости можно включить учет входа/выхода пользователей из системы:
...
ma4000(config)# aaa accounting start-stop tacacs+
Включим Так же есть возможность включить учет вводимых пользователем команд:
...
ma4000(config)# aaa accounting commands tacacs+
Применим настройки:
...
ma4000(config)# do commit
ma4000(config)# do commit