比来在搭建公司的ACS,总结了一些经验写在这里。附件1是网上传布斗劲多的一份ACS、aaa以及搜罗PIX的设置装备摆设声名,很具体,熟悉aaa的伴侣可以直接看看附件1。附件2是cisco对aaa的官方声名,供参考。以下介绍ACS+aaa架构下aaa的设置装备摆设模板。 aaa的设置装备摆设可以年夜致分以下几个部门:
" C, y" F/ a* g* F$ X1.设置装备摆设ACS(tacacs或radius)处事器 ' e1 z ^$ T4 i" ?# z
tacacs-server host x.x.x.x
8 W3 ^( b4 `8 C3 S3 ~/ ] tacacs-server host x.x.x.x
) }9 C/ P' K% |, T1 o3 M tacacs-server key *****
# \$ U' t( c# P% o2.设置装备摆设设备local后门用户 5 B: z$ z7 i) i4 B6 X9 v6 d
username testuser password *****
& `' T5 _, p3 D1 t9 u! N) w 之所以设置装备摆设后门用户,是考虑到在ACS异常的时辰仍能telnet到设备。. m8 s) d4 Y# [- l+ F3 p8 [
3.启用aaa 9 \; N; n4 Q& f6 g% L7 O' r
aaa new-model
- j* N# s9 m- m1 d% l7 P6 z4.认证并应用到线路 2 c/ t5 H# s. P2 V4 c
aaa authentication login login-list group tacacs+ local/ D8 r- j3 ` o7 c. t
line vty 0 15
1 a F6 u4 I5 V$ l8 r, L login authentication login-list
) N( `, x& t) F: z. u 这里的login-list界说了访谒节制的列表,即首先使用tacacs+认证,如不美观认证失踪败则使用local后门用户认证。后面的将认证应用到vty、设置装备摆设accounting均挪用这个login-list。& [) d. R+ ~7 A0 I3 b, f, R
5.授权 + t5 I$ B& U: g: b- i
aaa authorization exec default local if-authenticated
7 A7 h& ]& u ?3 W6 f( g& b 授权的设置装备摆设分歧的需求差异会很年夜,我小我不建议太复杂的授权,具体诠释看看附件吧。. E2 n, ?; [2 z7 Q& Z- @
( j( B. O7 f3 u& Y7 `, s$ B% N
aaa accounting exec login-list start-stop group tacacs+6 j- r" J1 H7 n: N7 P
aaa accounting commands 1 login-list start-stop group tacacs+% t$ b( Y2 W4 N: G
aaa accounting commands 15 login-list start-stop group tacacs+& s6 H5 W" n4 q+ d& E' }; l
aaa accounting network login-list start-stop group tacacs+
& R; M" h/ C, g; u ACS+aaa的模式可以很好的打点收集设备的访谒节制,只可惜ACS不是免费的软件,不外也自己搭建Tacacs处事器。 |