思科交换机 ACS4.0 Tacacs+ 登陆验证

為了學習 Cisco 交換機 Tacacs + 遠程登陸驗證功能, 搭建以下測試環境

 

目的:

學習 AAA 驗證模式, 設置成以下登陸方式

1) Console 口不需要驗證

2) vty 0 本地驗證

3) vty 1  5   遠程驗證

 

實現步驟:

一、安裝 Windows Server 2003 sp2

過程省略

 

二、安裝 Java 環境

jre-7u40-windows-i586.exe

 

三、安裝/配置 Cicso ACS 4.0

1) 下載并安裝 CiscoSecure ACS 4.0 (步驟略)

2) 配置 AAA Client

本地登陸 http://127.0.0.1:2002

 

 

點擊   按鈕 進入 AAA Client 管理界面

 

點擊 Add Entry 按鈕添加 AAA Clients

 

填入交換機 IP 地址和 key  (配置交換機時還會用到)后， 點擊Submit + Apply 按鈕

 

3)配置賬號

點擊  按鈕進入用戶管理畫面

 

輸入  User 點擊 Add/Edit 按鈕

 

輸入  Real Name 和 Password （test) 點擊 Submit 按鈕

 

四、配置交換機

1) 建立本地賬號

Switch(config)#user cisco password cisco

 

2) 配置 aaa server 和 key

Switch(config)#aaa new-model
Switch(config)#tacacs-server host 192.168.101.100
Switch(config)#tacacs-server key cisco

 

3) 配置驗證方案 noverify:不驗證 local 本地驗證 server 遠程驗證

Switch(config)#aaa authentication login noverify none
Switch(config)#aaa authentication login local local

Switch(config)#aaa authentication login server group tacacs+

其中 noverify/local/server 只是一個名稱，可能隨便改

none 表示不驗證, local:表示本地驗證, group tacacs+ 表示 ACS 驗證

 

4) 分套方案到對應的接口

Switch(config)#line con 0
Switch(config-line)#login authentication noverify
Switch(config-line)#line vty 0
Switch(config-line)#login authentication local
Switch(config-line)#line vty 1 5
Switch(config-line)#login authentication server
Switch(config-line)#end
Switch#wr
Building configuration...
[OK]

 

五、驗證

1) 終端機主控臺登入不驗證

 

2) vty 0 登入時本地驗證 (之前已建好賬號 cisco)

 

3) vty 1 登入時通過 ACS4.0 驗證 (之前已建好賬號 test)

 

 

筆記：

1) 在 Network Configuration 界面中, AAA Clients 中配置交機的IP地址，且 key 值要和交換機中的 key 值保持一致。

2) 實際情況下，以下命令可以讓 tacacs 驗證失敗后再進行本地驗證 (估計是為了避免服務器出現故障時無法驗證吧)

Switch(config)#aaa authentication login server group tacacs+ local

3) tacacs + 驗證功能在虛擬機(vmware station 10.0)環境下測試失敗, 所以本文采用實體機

4) 常用的驗證除了 login 外還有 enable (即當開啟特權模式時進行驗證,防止交換機配置被更改), 配置方法相同

5) windows 對應的 java 環境安裝程序版本不一樣, 從 jre-8 開始取消了安全配置中的中安全級別，只有高，和非常高.

    遠程登陸 acs 4.0 主控臺時，需要在 java 控制臺中添加信任列表才可以正常訪問