Протокол TACACS+ обеспечивает централизованную систему безопасности для проверки пользователей, получающих доступ к устройству.
Ниже приведенные настройки актуальны для версии 10.2.9 и более поздних.
1. Для начала необходимо указать IPv6 адрес TACACS-сервера, tcp порт 49 и secret key:
console(config)# tacacs-server host 2405:200:1410:1401::7:146 port 49 key test
2. Далее установить способ аутентификации для входа в систему по протоколу TACACS+:
console(config)# aaa authentication default tacacs local
По умолчанию данный профиль распространяется на все line, а также для авторизации пароля enable. Если требуется использование недефолтного листа для определенной line, то используем:
console(config)# aaa authentication user-defined test tacacs local
console(config)# line ssh
console(config-line)# aaa authentication login test
console(config-line)# aaa authentication enable test
Примечание: На коммутаторах серии 1400 и 2400 используется алгоритм опроса метода аутентификации break (после неудачной аутентификации по первому методу процесс аутентификации останавливается). Начиная с версии 10.2.8 доступна настройка метода опроса аутентификации break/chain. Алгоритм работы метода chain - после неудачной попытки аутентификации по первому методу в списке следует попытка аутентификации по следующему методу в цепочке
Чтобы не потерять доступ до коммутатора (в случае недоступности сервера), рекомендуется создать учетную запись в локальной базе данных, и задать пароль на привилегированный режим.
4. Создать учетную запись:
console(config)# username test password test privilege 15
5. Задать пароль на доступ в привилегированный режим:
console(config)# enable password test
Аккаунтинг на коммутаторах MES14xx, MES24xx, MES3400-xx, MES37хх включен по умолчанию:
- Аккаунтинг вводимых команд;
- Аккаунтинг для сессий управления.
Сообщения начинают отправляться сразу после настройки TACACS-сервера.