tacacs+ и cisco

aaa new-model
tacacs-server host 88.201.x.x
tacacs-server key tackey


aaa authentication login default group tacacs+ local – аутентификация на логин. Сначала авторизация на сервере такакс+ из списка(tacacs-server host), если этот сервер в дауне, то используется локальная авторизация.
aaa authentication enable default none – авторизация на enable мне вообще не нужна. Поэтому отключаем её.

aaa accounting exec default start-stop group tacacs+
aaa accounting commands 1 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+

Аккаунтинг. Команды уровня 1 и 15 будут логгироваться на сервере.

Так же надо не забыть создать локального юзера, на случай, если такакс сервер будет недоступен.
username admin secret cisco

Про настройку такакс сервера у меня уже была заметка: https://mschedrin.wordpress.com/2008/06/19/tacacs-на-freebsd/

Рабочий конфиг для текущей конфигурации получился следующий:
# cat /usr/local/etc/tac_plus.conf
key = tackey
accounting file = /var/log/tac_plus.acct

user = admin {
default service = permit
login = des ***
service = exec {
priv-lvl = 15
}
}
}

Пользователей $enable$ создавать не нужно, т.к. enable авторизация была отключена.

Advertisements

Leave a Reply

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s