Access Server通过Tacacs服务器实现安全认证:
使用一台WINDOWS NT服务器作为Tacacs服务器,地址为10.111.4.2,运行Cisco2511随机带的Easy ACS 1.0软件实现用户认证功能.
相关设置:
任务
命令
激活AAA访问控制
aaa new-model
用户登录时默认起用Tacacs+做AAA认证
aaa authentication login default tacacs+
列表名为no_tacacs使用ENABLE口令做认证
aaa authentication login no_tacacs enable
在运行PPP的串行线上采用Tacacs+做认证
aaa authentication ppp default tacacs+
由TACACS+服务器授权运行EXEC
aaa authorization exec tacacs+
由TACACS+服务器授权与网络相关的服务请求。
aaa authorization network tacacs+
为EXEC会话运行记帐.进程开始和结束时发通告给TACACS+服务器。
aaa accounting exec start-stop tacacs+
为与网络相关的服务需求运行记帐包括SLIP,PPP,PPP NCPs,ARAP等.在进程开始和结束时发通告给TACACS+服务器。
aaa accounting network start-stop tacacs+
指定Tacacs服务器地址
tacacs-server host 10.111.4.2
在Tacacs+服务器和访问服务器设定共享的关键字,访问服务器和Tacacs+服务器使用 这个关键字去加密口令和响应信息。这里使用tac作为关键字。
tacacs-server key tac
访问服务器设置如下:
hostname router
!
aaa new-model
aaa authentication login default tacacs+
aaa authentication login no_tacacs enable
aaa authentication ppp default tacacs+
aaa authorization exec tacacs+
aaa authorization network tacacs+
aaa accounting exec start-stop tacacs+
aaa accounting network start-stop tacacs+
enable secret 5 $1$kN4g$CvS4d2.rJzWntCnn/0hvE0
!
interface Ethernet0
ip address 10.111.4.20 255.255.255.0
!
interface Serial0
no ip address
shutdown
interface Serial1
no ip address
shutdown
!
interface Group-Async1
ip unnumbered Ethernet0
encapsulation ppp
async mode interactive
peer default ip address pool Cisco2511-Group-142
no cdp enable
group-range 1 16
!
ip local pool Cisco2511-Group-142 10.111.4.21 10.111.4.36
tacacs-server host 10.111.4.2
tacacs-server key tac
!
line con 0
exec-timeout 0 0
password cisco
login authentication no_tacacs
line 1 16
login authentication tacacs
modem InOut
modem autoconfigure type usr_courier
autocommand ppp
transport input all
stopbits 1
rxspeed 115200
txspeed 115200
flowcontrol hardware
line aux 0
transport input all
line vty 0 4
password cisco
!
end
