基本TACACS+組態範例

下載選項

  • PDF     (209.1 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (85.5 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (79.7 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2007 年 11 月 15 日
文件 ID:10368

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

本檔案為終端存取控制器存取控制系統+(TACACS+)提供使用者對網路存取伺服器(NAS)進行撥號驗證的基本組態範例。

必要條件

需求

本文件沒有特定需求。

採用元件

此配置是使用下列軟體和硬體版本開發和測試的:

  • NAS

  • TACACS+組態檔(免費軟體版本)

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。

註:TACACS+是Cisco專有版本的TACACS,因此僅受Cisco ACS支援。

慣例

如需文件慣例的詳細資訊,請參閱思科技術提示慣例

設定

本節提供用於設定本文件中所述功能的資訊。

注意:要查詢有關本文檔中使用的命令的其他資訊,請使用命令查詢工具 (僅限註冊客戶)。

網路圖表

本文檔使用下圖所示的網路設定。

basictacacs.gif

組態

本文檔使用如下所示的配置。

註:請確保撥入正常工作。數據機可以在本地連線並進行身份驗證後,開啟TACACS+。

NAS 
version 11.2
!
service timestamps debug datetime msec
service timestamps log uptime
service password-encryption
no service udp-small-servers
no service tcp-small-servers
!
hostname Cisco3640
!
aaa new-model
aaa authentication login default tacacs local
aaa authentication login consoleport none
aaa authentication ppp default if-needed tacacs
aaa authorization network tacacs   

!--- This is needed for static IP address assignment.

!
enable password cisco
!
username cisco password letmein
!
interface Ethernet0
 ip address 10.29.1.3 255.255.255.0
!
Interface Group-Async1
 ip unnumbered Ethernet0
 encapsulation ppp
 async mode interactive
 peer default ip address pool async
 no cdp enable
 ppp authentication chap
 group-range 1 16
!
ip local pool async 10.6.100.101 10.6.100.103
tacacs-server host 10.6.101.101
tacacs-server key cisco
!
line con 0
 login authentication consoleport   

!--- This always allows console port access.

!
line 1 16
 autoselect ppp
 autoselect during-login
 modem Dialin
 transport input all
 stopbits 1
 rxspeed 115200
 txspeed 115200
 flowcontrol hardware
!
line aux 0
!
line vty 0 4
!
end

TACACS+組態檔(免費軟體版本) 

!--- This creates a superuser (such as one with administrator permissions) !--- who is granted all privileges by "default service = permit", and has a password !--- that allows for connections in any mode.

user = Russ
{
  global = cleartext 'bar'
  default service = permit
}

!--- This creates a normal PPP user who gets an IP address from the router.

user = Jason
{
  chap = cleartext 'letmein'
  service = ppp protocol = ip {}
}

!--- This creates a user whose IP address is statically assigned.

user = Laura
{
  chap = cleartext 'letmein'
  service = ppp protocol = ip 
		{
		  addr = 10.1.1.104
		}
}

驗證

目前沒有適用於此組態的驗證程序。

疑難排解

本節提供的資訊可用於對組態進行疑難排解。

疑難排解指令

Output Interpreter Tool (僅供註冊客戶使用)支援某些show命令,這允許您檢視show命令輸出的分析。

注意:發出debug指令之前,請先參閱有關Debug指令的重要資訊

  • debug ppp negotiation — 顯示客戶端是否正在傳遞PPP協商;此時檢查地址協商。

  • debug ppp authentication — 顯示客戶端是否正在傳遞身份驗證。如果您使用的是低於11.2的Cisco IOS®軟體版本,請改為發出debug ppp chap命令。

  • debug ppp error — 顯示與PPP連線協商和操作相關的協定錯誤和錯誤統計資訊。

  • debug aaa authentication — 顯示使用什麼方法進行身份驗證(應該是TACACS+,除非TACACS+伺服器關閉)以及使用者是否正在傳遞身份驗證。

  • debug aaa authorization — 顯示用於授權的方法以及使用者是否正在傳遞它。

  • debug tacacs — 顯示傳送到伺服器的消息。

相關資訊

修訂記錄

修訂 發佈日期 意見
1.0
15-Nov-2007
初始版本

這份文件是否有所幫助?

Feedback意見

讓思科協助您