Ce document fournit un exemple de configuration de base pour le système TACACS+ (Terminal Access Controller Access Control System+) pour l'authentification à distance des utilisateurs vers un serveur d'accès au réseau (NAS).
Aucune spécification déterminée n'est requise pour ce document.
Cette configuration a été développée et testée à l'aide des versions logicielles et matérielles suivantes :
NAS
Fichier de configuration TACACS+ (version freeware)
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Remarque : TACACS+ est une version propriétaire de TACACS de Cisco et n'est donc pris en charge qu'avec Cisco ACS.
Pour plus d'informations sur les conventions des documents, référez-vous aux Conventions utilisées pour les conseils techniques de Cisco.
Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.
Remarque : Pour en savoir plus sur les commandes utilisées dans le présent document, utilisez l’outil de recherche de commandes (clients inscrits seulement).
Ce document utilise la configuration réseau indiquée dans le diagramme suivant :
Ce document utilise les configurations présentées ci-dessous.
Remarque : assurez-vous que la connexion commutée fonctionne. Une fois que le modem peut se connecter et s'authentifier localement, activez TACACS+.
NAS |
---|
version 11.2 ! service timestamps debug datetime msec service timestamps log uptime service password-encryption no service udp-small-servers no service tcp-small-servers ! hostname Cisco3640 ! aaa new-model aaa authentication login default tacacs local aaa authentication login consoleport none aaa authentication ppp default if-needed tacacs aaa authorization network tacacs !--- This is needed for static IP address assignment. ! enable password cisco ! username cisco password letmein ! interface Ethernet0 ip address 10.29.1.3 255.255.255.0 ! Interface Group-Async1 ip unnumbered Ethernet0 encapsulation ppp async mode interactive peer default ip address pool async no cdp enable ppp authentication chap group-range 1 16 ! ip local pool async 10.6.100.101 10.6.100.103 tacacs-server host 10.6.101.101 tacacs-server key cisco ! line con 0 login authentication consoleport !--- This always allows console port access. ! line 1 16 autoselect ppp autoselect during-login modem Dialin transport input all stopbits 1 rxspeed 115200 txspeed 115200 flowcontrol hardware ! line aux 0 ! line vty 0 4 ! end |
Fichier de configuration TACACS+ (version gratuite) |
---|
!--- This creates a superuser (such as one with administrator permissions) !--- who is granted all privileges by "default service = permit", and has a password !--- that allows for connections in any mode. user = Russ { global = cleartext 'bar' default service = permit } !--- This creates a normal PPP user who gets an IP address from the router. user = Jason { chap = cleartext 'letmein' service = ppp protocol = ip {} } !--- This creates a user whose IP address is statically assigned. user = Laura { chap = cleartext 'letmein' service = ppp protocol = ip { addr = 10.1.1.104 } } |
Aucune procédure de vérification n'est disponible pour cette configuration.
Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.
Certaines commandes show sont prises en charge par l'Output Interpreter Tool (clients enregistrés uniquement), qui vous permet de voir une analyse de la sortie de la commande show.
Note : Avant d'émettre des commandes debug, consultez Informations importantes sur les commandes de débogage.
debug ppp negotiation - Indique si un client passe la négociation PPP ; vérifiez à ce stade la négociation d'adresse.
debug ppp authentication - Indique si un client passe l'authentification. Si vous utilisez une version du logiciel Cisco IOS® antérieure à 11.2, émettez la commande debug ppp chap à la place.
debug ppp error - Affiche les erreurs de protocole et les statistiques d'erreur associées à la négociation et au fonctionnement de la connexion PPP.
debug aaa authentication - Indique quelle méthode est utilisée pour l'authentification (TACACS+ doit être utilisé sauf si le serveur TACACS+ est arrêté) et si les utilisateurs passent ou non l'authentification.
debug aaa Authorization : indique quelle méthode est utilisée pour l'autorisation et si les utilisateurs la passent ou non.
debug tacacs : affiche les messages envoyés au serveur.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
15-Nov-2007 |
Première publication |