المقدمة
يصف هذا المستند التعليمات بالتفصيل حول كيفية تكوين نظام التحكم في الوصول إلى وحدة تحكم الوصول إلى المحطة الطرفية (TACACS+) على أجهزة ONS15454/NCS2000 ونظام التحكم في الوصول (ACS) من Cisco. تتضمن جميع الموضوعات أمثلة. قائمة السمات المقدمة في هذا المستند ليست شاملة أو موثوقة وقد تتغير في أي وقت بدون تحديث هذا المستند.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- وحدة تحكم النقل (CTC) GU من Cisco
- خادم ACS
المكونات المستخدمة
لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي).
ملاحظة: إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
التكوينات المطلوبة على ONS15454/NCS2000:
1. يمكنك تكوين تكوين خادم TACACS من علامة التبويب هذه. انتقل إلى الإمداد > الأمان > خادم TACACS كما هو موضح في الصورة.
2. لإضافة تفاصيل خادم TACACS+، انقر فوق الزر إنشاء. سيقوم بفتح نافذة تكوين TACACS+ كما هو موضح في هذه الصورة.
- أدخل عنوان IP للخادم
- إضافة السر المشترك بين العقدة وخادم TACACS+
- قم بإضافة رقم منفذ المصادقة. في هذا المنفذ، ينصت خادم TACACS+ للعميل. رقم المنفذ الافتراضي هو 49
3. لتنشيط تكوين خادم TACACS+ على العقدة، حدد خانة الاختيار تمكين مصادقة TACACS وانقر على زر تطبيق كما هو موضح في الصورة.
4. لتمكين العقدة كمصدق نهائي، عند عدم إمكانية الوصول إلى خادم، انقر فوق خانة الاختيار كما هو موضح في الصورة.
5. لتعديل تكوين الخادم المعين، حدد صف تكوين الخادم المقابل، انقر فوق الزر تحرير لتعديل التكوين.
6. لحذف تكوين خادم معين، حدد صف تكوين الخادم المقابل، انقر فوق زر حذف لحذف التكوين.
التكوينات المطلوبة على خادم ACS:
1. قم بإنشاء جهاز شبكة وعميل AAA وانقر فوق الزر إنشاء في حركة موارد الشبكة كما هو موضح في الصورة.
2. امنح نفس السر المشترك كما هو موضح في تكوين عقدة ONS. وإلا، ستفشل المصادقة.
3. قم بإنشاء اسم مستخدم وكلمة مرور للمستخدم المطلوب للمصادقة عليها في Users and Identity Store PAN كما هو موضح في الصورة.
4. إنشاء ملفات تعريف shell في جزء عناصر السياسة:
أ. حدد مستوى الامتياز (من 0 إلى 3):
0 لمستخدم الاسترداد.
مستخدم الصيانة ٪1.
2 لتوفير المستخدم.
3 للمستخدم المتميز.
ب. قم بإنشاء سمة مخصصة في لوحة سمات العملاء لسمة وقت الخمول.
يشير IdTime "0" إلى أن الاتصال لن يتأخر أبدا وسيكون كذلك إلى الأبد.إذا قام المستخدم بتحديد أي وقت آخر، فسيكون الاتصال متاحا لتلك الثواني العديدة.
5. قم بإنشاء سياسات الوصول في لوحة سياسات الوصول:
أ. انقر فوق قواعد تحديد الخدمة وقم بإنشاء قاعدة:
- تحديد TACACS كبروتوكول
- الجهاز مثل كل الجهاز أو معين مماثلين والذي تم إنشاؤه سابقا
- نوع الخدمة كمسؤول جهاز افتراضي.
ب. حدد التخويل وقم بإنشاء قاعدة للتخويل تحت زر الخيار الخيار الافتراضي لمسؤول الجهاز:
- تحديد ملف تعريف Shell الذي تم إنشاؤه بالفعل
- حدد جهاز معين أو كل الأجهزة في نوع الجهاز
التحقق من الصحة
لا يوجد حاليًا إجراء للتحقق من صحة هذا التكوين.
استكشاف الأخطاء وإصلاحها
لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.