TACACS+ 配置过程

最新推荐文章于 2022-09-20 03:15:09 发布
最新推荐文章于 2022-09-20 03:15:09 发布
阅读量1.8w 收藏 16
点赞数 1
分类专栏: CISCO技术文档 文章标签: authorization authentication cisco server network user
一、TACACS+ 全局配置


1. 认证配置 
Router1#configure terminal 
Router1(config)#aaa new-model 
Router1(config)#aaa authentication login default group tacacs+ local


加上local 代表tacacs+ server失效后.使用本地认证
2、配置授权
Router1(config)#aaa authorization exec default group tacacs+  local
Router1(config)#aaa authorization commands 15 default group tacacs+ 


3、配置tacacs-server 
Router1(config)#tacacs-server host 10.253.100.100
Router1(config)#tacacs-server key cisco


4.  记录用户行为审计 
记录用户输入的配置命令和时间 
Router1(config)#aaa accounting commands 15 default start-stop  group tacacs+ 
Router1(config)#aaa accounting exec default start-stop group tacacs+ 
Router1(config)#aaa accounting connection default start-stop group tacacs+ 


二、登录界面实施配置
1.在telnet实施认证与授权
Router1(config)#line vty 0 4


Router1(config-line)#login authentication default
­登录认证


Router1(config-line)#authorization exec default
授权
注意(如果不用commands限制,没必要在登录时实施authorization commands,可能会因为这个小小的命令导致你摸不着头脑 )


2.在telnet实施审计
Router1(config-line)#accounting connection default
Router1(config-line)#accounting commands 15 default
Router1(config-line)#accounting exec default
审计登录后操作日志


在部分交换机的user guide里面,并没有提到要在line vty 0 4里面配置accounting,可能容易误导用户以为配置全局配置就收工


3.在console port实施同样的配置


三、效果


1.在console port使用TAC+认证后才能进入


2.使用TAC+普通用户登录后,使用本地enable password进入特权模式


3.使用TAC+配置shell exec与privilege 15后,可以让用户直接进入特权模式


4.在TAC+界面的TAC+ administration active可以检查到设备上面的记录


四、遇到的问题


1.我用的Cisco ACS 3.3.1 存在一个bug,Perflib的问题,小心如果更换java环境版本的话可能会造成Cisco Radius/TACAS server在服务里面起不来
2.网上有很多地方说到这个命令
aaa authentication enable default tacact+ enable
但是加上这个命令后造成了我很多麻烦,或者是我的配置有问题
表现为
1)、console port enable出现username and password后,无法登录
2)、TAC+普通用户组telnet后,在>无法使用enable进入
3)、用户与用户组属性Network Access Restrictions (NAR)无法显示




五、延伸


(1)如果设备过多的话,要分成设备组,可以在TAC+ -->interface configuration-->Adanced options--->Network Device groups,然后在Network Configuration里,分成不同的group来增加AAA client,但AAA server不用同时增加
(2)鉴于安全管理,由于用户帐户可能需要自主修改密码或者帐户借给他人使用之后需要修改过来,所以可以在Cisco ACS的光盘里或者安装文件夹里有个ACS Utilities--->> User Change-able password, 安装UCP之后,能过本起本启动的Web server(IIS or Apache for windows),建立virtual directories,布署User Change-able password Web user interface
什么是TACACS+协议?
网络技术联盟站
04-19 716
TACACS+是一种用于网络认证、授权和账户服务的协议,通过提供分离的认证和授权功能,强大的加密保护和灵活的授权策略,帮助管理员实现对网络设备的安全访问控制和审计管理。
思科无线服务器,Cisco统一无线网络TACACS+配置
weixin_42396760的博客
08-06 2808
本文档为 Cisco 统一无线网络提供 Cisco 无线 LAN 控制器 (WLC) 和 Cisco 无线控制系统 (WCS) 中的终端访问控制器访问控制系统 + (TACACS+) 的配置示例。本文档还提供一些基本的故障排除技巧。TACACS+ 是客户端/服务器协议,为尝试获得对路由器或网络接入服务器的管理访问权限的用户提供集中式的安全保障。TACACS+ 提供以下 AAA 服务:对尝试登录到网...
Tacacs+服务器安装,tac plus服务器安装
05-22
用于说明tac plus开源软件在linux服务上的安装与运行,配置文件设置等操作
Tacacs&freeradius安装
weixin_43201868的博客
06-30 1120
**** 1.查看tacacs最新版本 http://www.shrubbery.net/tac_plus/ 2.下载 P.S. 如果Centos报错没有安装wget,用命令yum -y install wget安装。 如果安装wget报错 Could not retrieve mirrorlist http://mirrorlist.centos.org/?.. - “Could not resolve host: mirrorlist.centos.org; Unknown error”,那可能是网
Tacacs-服务搭建与配置详解
热门推荐
曹世宏的博客
10-06 1万+
其他文章: Tacacs+协议原理 Tacacs+服务搭建与配置详解 Tacacs+各厂商交换机配置 Tacacs+协议交互报文抓包示例 简介 tac_plus是TACACS +守护程序。它为网络设备和访问服务器提供身份验证,授权和计费服务。(authentication, authorisation and accounting) 此版本是原始Cisco源代码的主要重写。主要功能包括: NAS特定的主机密钥,提示,开启密码 与NAS和ACL相关的组成员身份 用于用户配置文件的灵活的外部后端(..
Cisco/Ruijie/H3C/华为 AAA认证配置Tacacs+、Radius)
wailaizhu的博客
07-12 1万+
Cisco 配置步骤 Cisco Tacacs+测试 1、配置Tacacs+服务和认证授权方式 (config)#aaa new-model (config)#aaa authentication login tac-h0101group tacacs+ //认证 (config)#aaa authorization exec tac-h0101 group tacacs+ //授权 (config)#tacacs-server host 10.3.3.3 key Aa...
LINUX下tacacs+服务器安装说明[归纳].pdf
10-11
在LINUX系统中,安装tacacs+服务器可以实现身份验证和访问控制的功能,本文将对tacacs+服务器的安装过程进行详细的说明。 一、安装tacacs+服务器前的准备 在安装tacacs+服务器之前,需要准备好安装所需的软件包,...
tacacs+ client/server library-开源
07-01
2. **安全性和加密**:TACACS+协议本身支持加密,libtacplus库也遵循这一标准,确保通信过程中数据的安全性。 3. **跨平台兼容**:作为C库,libtacplus可以轻松地在多种操作系统上编译和运行,包括但不限于Linux、...
0基础学RS(十)思科AAA认证基于服务器的AAA认证(TACACS+配置,RADIUS配置
weixin_45816894的博客
04-11 1万+
前言 上一篇讲了本地AAA的知识和相关配置,接下来将讲解基于服务器的AAA认证。本地AAA和基于服务器的AAA到底有什么区别呢?他们分别适用于什么什么样的环境? 本地AAA 本地实现的AAA对于非常小的网络来说比较合适,但是本地认证的扩展性不好。 大多数公司有多台路由器、交换机和其他基础设备,而且还有许多网络管理员和成百上千个需要接入公司局域网的用户。因此,在每台设备上为这么大规模的网络维护本地数据库是不可行的。 基于服务器的AAA 为了解决大规模网络的管理,可以使用一台或者多台AAA服务器来管理整个公司网
Basic Cisco Tacacs+ Configuration With Free Tacacs+ Software for Windows – Part 2
Cyber Security Memo
02-13 282
(adsbygoogle = window.adsbygoogle || []).push({}); Part 1 has shown how to install the software Tacacs+ on a windows 2008 server and some fastest configuration to get it working with your W...
tacacs++ server daemon-开源
05-03
借助具有某些集群功能的AAA(塔卡奇+及以后的半径)的网络管理和控制-在服务器捆绑之间共享关键信息(活动用户,活动设备)。 CLI和Web控制以及类似于telnet的外部程序接口。 该项目将继续开发(如果有时间的话),位于github https://github.com/rvolkov/tacppd
javasnmp源码-TACACS:JavaTACACS+API(完整供客户端使用,以及用于开发服务器的框架)
06-04
java snmp源码介绍 这是用于 TACACS+ 协议的 Java API。 (GitHub 不允许在项目名称中使用“+”字符。)它旨在用作集成到您的产品中的 TACACS+ 客户端,但代码也包含用于开发服务器的框架。 最初的 TACACS(无加)协议是由美国国防部开发的。 后来被思科增强,成为 TACACS+TACACS 是终端访问控制器访问控制服务的首字母缩写词。 它被网络部门用于对 IT 网络设备(例如路由器)的访问控制。 通常,它提供身份验证(验证“用户”ID)、授权(为经过身份验证的“用户”返回权限/角色)和记帐(与“用户”活动相关的日志内容)。 统称为AAA。 有关更多信息,请尝试维基百科页面: 为什么 开发此 Java API 的目的是将我们客户现有的 TACACS+ 服务器集成为我们产品TM的 AAA 服务 - 一种花哨的 SNMP 陷阱转发器。 当时(2016 年)现有的 TACACS+ 客户端的开源 Java 实现对于我们的目的来说还不够完整。 (虽然我们感谢他们的开源,这帮助我们更快速地理解正式规范。) 了解 TACACS+ 您需要对 TACACS+ 有很
TACACS+使用方法
09-02
TACACS+ 使用是 3A 协议,即认证,授权,记录,在网管系统中,用处广泛,适合网络编程初学者使用!
Java Network Library:tacacs 在 Java 中的实现-开源
06-28
Java 网络库 - 构建包含诸如 CiscoTACACS 协议之类的东西 - 用 Ja​​va 实现
tacacs-plus-telegram-notifier
03-27
塔卡奇语加上电报通知器
Basic Cisco Tacacs+ Configuration With Free Tacacs+ Software for Windows – Part 1
cpongo881
02-09 306
(adsbygoogle = window.adsbygoogle || []).push({}); Both RADIUS and TACACS+ provides centralized validation of users attempting to gain access to a both protocols supported network devices, ...
Tacacs-各厂商交换机配置
曹世宏的博客
10-06 6280
其他文章: Tacacs+协议原理 Tacacs+服务搭建与配置详解 Tacacs+各厂商交换机配置 Tacacs+协议交互报文抓包示例 以下为整理的常见厂商的交换机tacacs+认证配置。 交换机配置Tacacs+认证思路 交换机全局开启Tacacs+认证 配置tacacs+认证模板,主要配置tacacs+认证的服务器地址,端口,密钥。 配置tacacs+的认证,授权,计费列表 全局内调用tacacs+认证方式 vty,console下调用tacacs+认证方式 华为交换机tacacs+认..
TACACS+实验(设备管理)
phoenix1415的博客
09-20 1万+
Tacacs+认证授权计费的实现全过程
Tacacs-双通道认证配置测试与总结
曹世宏的博客
12-27 4390
其他文章: Tacacs+协议原理 Tacacs+服务搭建与配置详解 Tacacs+各厂商交换机配置 Tacacs+协议交互报文抓包示例 Tacacs+双通道认证配置测试与总结 Tacacs+配置single-connection单连接模式证测试与总结 背景 一般在网络组网中,从可靠性来说,一般主要的网络设备都有两个管理地址: 一个是loopback的逻辑地址,主要用于OSPF,BGP等路由协议配置Router-id等,也可以用于远程管理设备。loopback在网络中主要是通过路由协议的传播..
TACACS+交互过程
最新发布
07-24
TACACS+(**Terminal Access Controller Access-Control System Plus**)是一种用于**网络设备访问控制**的协议,广泛用于路由器、交换机、防火墙等设备的**身份认证、授权和审计**(AAA,Authentication, Authorization, Accounting)。 TACACS+Cisco 开发的私有协议,使用 TCP 端口 **49**,与 RADIUS 不同,它将认证、授权和审计三个功能**分开处理**,安全性更高,适合大型网络环境。 --- ## ✅ 一、TACACS+ 的三大功能模块 | 模块 | 说明 | |------|------| | **Authentication(认证)** | 验证用户身份,如用户名和密码 | | **Authorization(授权)** | 决定用户可以执行哪些命令或操作 | | **Accounting(审计)** | 记录用户执行的操作、登录登出时间等 | --- ## ✅ 二、TACACS+ 的交互过程详解 整个交互过程分为三个阶段: ### 📌 1. **Authentication(认证)** 用户尝试登录设备(如 SSH 登录路由器),设备将认证请求转发给 TACACS+ 服务器。 #### 📁 交互流程: ```plaintext User Terminal <----> Network Device <----> TACACS+ Server | | | | 输入用户名 | | |------------------->| | | | 发送 START 包到 TACACS+ | | |---------------------------->| | |<--------------------------- | | | 返回 CONTINUE 包 | | 输入密码 | | |------------------->| | | | 发送 CONTINUE 包到 TACACS+ | | |---------------------------->| | |<--------------------------- | | | 返回 PASS 或 FAIL | |<-------------------| | ``` #### 📌 报文类型: - **START**:用户开始认证 - **CONTINUE**:用户输入密码后继续认证 - **REPLY**:服务器返回认证结果(PASS/FAIL) --- ### 📌 2. **Authorization(授权)** 认证通过后,设备会向 TACACS+ 服务器请求授权信息,确定用户可以执行哪些命令。 #### 📁 交互流程: ```plaintext Network Device <----> TACACS+ Server | | | 发送 AUTHEN START 包 | |-------------------->| |<------------------- | | 返回授权信息 | ``` #### 📌 示例: - 用户是否可以执行 `show running-config` - 用户是否可以进入特权模式(`enable`) - 用户是否可以配置接口等 --- ### 📌 3. **Accounting(审计)** 记录用户登录、登出以及执行的命令。 #### 📁 交互流程: ```plaintext Network Device <----> TACACS+ Server | | | 发送 ACCOUNTING 包 | |-------------------->| |<------------------- | | 返回 ACK 或 NAK | ``` #### 📌 审计内容: - 登录时间 - 登出时间 - 执行的命令 - 用户名、IP 地址等 --- ## ✅ 三、TACACS+ 报文结构(简要) TACACS+ 使用 TCP,报文结构如下: ```plaintext +---------------------+ | Header | 12 bytes +---------------------+ | Body (加密) | 可变长度 +---------------------+ ``` - **Header** 包含版本、会话 ID、包类型(Authentication/Authorization/Accounting)等。 - **Body** 是加密的,使用共享密钥进行加密(通常为 MD5 或 AES)。 --- ## ✅ 四、TACACS+ 与 RADIUS 的对比 | 特性 | TACACS+ | RADIUS | |------|---------|--------| | 协议 | TCP | UDP | | 端口 | 49 | 1812(认证),1813(计费) | | 功能 | 分离认证、授权、审计 | 合并认证与授权 | | 加密 | 整个 Body 加密 | 仅密码加密 | | 适用场景 | 大型企业网络 | 运营商、无线网络 | | 支持命令授权 | ✅ 是 | ❌ 否 | --- ## ✅ 五、Python 示例:使用 `tacacs_plus` 模块模拟认证过程(伪代码) 虽然 Python 中没有标准的 TACACS+ 客户端库,但可以使用第三方库如 `tacacs_plus` 来模拟客户端行为。 ```python from tacacs_plus.client import TACACSClient # 创建 TACACS+ 客户端 client = TACACSClient('192.168.1.100', 49, 'mysecretkey') # 发起认证 authen = client.authenticate('admin', 'password') if authen.valid: print("认证成功") else: print("认证失败") ``` > 注意:该库可能需要你自行安装或使用模拟环境,实际部署中建议使用 Cisco SecureX、TACACS.net 或其他 TACACS+ 服务器。 --- ## ✅ 六、TACACS+ 服务器部署示例(TACACS.net) TACACS.net 是一个开源的 TACACS+ 服务器,适用于 Linux 系统。 ### 📌 安装步骤(Ubuntu): ```bash sudo apt update sudo apt install tacacs+ ``` ### 📌 配置文件 `/etc/tacacs+/tac_plus.conf` 示例: ```conf key = "mysecretkey" user = admin { login = cleartext "password" service = exec { priv-lvl = 15 } } ``` --- ## ✅ 七、TACACS+ 的优势 - **安全性高**:使用 TCP 和加密通信 - **细粒度控制**:支持命令级授权 - **集中管理**:所有设备的访问控制统一由服务器管理 - **审计功能完善**:可记录所有操作,便于合规审计 --- ##
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值