Протокол TACACS+ обеспечивает централизованную систему безопасности для проверки пользователей, получающих доступ к устройству, при этом поддерживая совместимость с RADIUS и другими процессами проверки подлинности.
1. Для начала необходимо указать IP-адрес Tacacs-сервера и указать key:
console
(config)# tacacs-server host 10.10.10.1
console
(tacacs)# key secret
Примечение: На коммутаторе возможно настроить несколько серверов, указав каждому приоритет.
2. Далее установить способ аутентификации для входа в систему по протоколу tacacs+:console
(config)# aaa authentication login default tacacs local
Примечение: На коммутаторах используется алгоритм опроса метода аутентификации break (после неудачной аутентификации по первому методу процесс аутентификации останавливается).
3. Для того, чтобы привелегированный пользователь сразу попадал в привелегированный режим необходимо создать профиль авторизации для EXEC:
console
(config)# aaa authorization exec default tacacs local
4. Установить способ аутентификации при повышении уровня привилегий:console
(config)# aaa authentication enable default tacacs enable
Чтобы не потерять доступ до коммутатора (в случае недоступности Tacacs-сервера), рекомендуется создать учетную запись в локальной базе данных, и задать пароль на привилегированный режим.
5 Создать учетную запись:
console
(config)# username tester password eltex level 15
6. Задать пароль на доступ в привилегированный режим (настройка выполняется из режима EXEC):console
# enable password enable123
7. Разрешить ведение учета (аккаунта) для сессий управления.console
(config)# aaa accounting exec default start-stop tacacs
8. Включить ведение учета введенных в CLI команд по протоколу tacacs+.console
(config)# aaa accounting commands default start-stop tacacs
Примечание: По умолчанию используется проверка по локальной базе данных (aaa authentication login default local).
Примечание: По умолчанию все default-профили автоматически работают для всех line. Если требуется настройка AAA для конкретной line, тогда необходимо создавать профили с уникальным именем и привязывать их к конкретной line:
aaa authentication login "tacacs" tacacs local
aaa accounting exec "tacacs" start-stop tacacs
aaa accounting commands "tacacs" start-stop tacacs
aaa authorization exec "tacacs" tacacs local
!
line ssh
login authentication tacacs
accounting exec tacacs
accounting commands tacacs
authorization exec tacacs
Устранение неполадок в работе AAA и Tacacs:
show run
show tacacs
show authentication methods
show authorization methods