基本认证功能已经实现,可以使用0-15级别用户实现授权,记帐功能可以使用ACS中 report and activity--》tacacs+ administation active.csv可以看到用户在3550emi上输入的所有命令。
作者:zdnet安全频道 来源:论坛整理 2008年10月27日
关键字: 路由器
acs3.0(tacacs+)----vlan1---3550----vlan2----pc1
acs的配置:
user setup: 建立一个用户3550,属于default,密码1234
group setup: 编辑default group属性,在shell command author set中选中 assign a shell command author set为已经编辑好的 3550command
shared profile: 选中shell commands author sets, 然后add new entry 名为3550command 如下添加参数
configure permit terminal
在左边的方框内添加命令,在右边的方框内添加参数(可以选择 permit unmatch args决定策略)。 注意命令和参数不能简写。 可以添加多条命令,则3550用户就可以享有响应的权限。
network configure: 指定AAA client参数--》3550 192.168.1.1 key=123 tacacs+cisco IOS; 指定server 参数: 主机名 192.168.1.100 key=123 认证类型=tacacs+
3550emi交换机上配置
aaa new_model
aaa authen login default group tacacs+
aaa author commands 15 default group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
tacacs+_server host 192.168.1.100 key 123
基本认证功能已经实现
可以使用0-15级别用户实现授权
记帐功能可以使用ACS中 report and activity--》tacacs+ administation active.csv可以看到用户在3550emi上输入的所有命令。
在pc和acs server上均可以登陆3550emi,操作一样。 以上配置 acs+router/swith