TACACS技術白皮書
摘要:TACACS是實現AAA功能的一種安全協議,主要是通過TACACS客戶端與TACACS服務器通信來實現多種用戶的AAA功能。
HWTACACS采用TCP協議承載報文,TCP端口號是49。
- H3C
hwtacacs scheme device-tacacs //配置radius scheme
primary authentication xxx.xxx.xxx.xxx //認證服務器地址
primary authorization xxx.xxx.xxx.xxx //授權服務器地址
key authentication cipher ************ //認證配置密鑰
key authorization cipher ************ //授權配置密鑰
key accounting cipher ************ //授權配置密鑰
user-name-format without-domain //配置不攜帶域名格式
nas-ip 172.xxx.xxx.xxx //發送源地址(SW-MGMT-IP)
domain device-login //配置設備登錄hwtacacs
authentication login hwtacacs-scheme device-tacacs local //認證順序為tacacs,本地
authorization login hwtacacs-scheme device-tacacs local //授權順序為tacacs,本地
accounting login hwtacacs-scheme device-tacacs none //審計順序為tacacs
authorization command hwtacacs-scheme device-tacacs //命令授權為tacacs
super password role network-admin hash “xx” //特權密碼
command-privilege level 1 view shell display current-configuration
command-privilege level 1 view shell display device manuinfo
//配置級別1權限
domain default enable device-login //配置默認域
- 華為
配置HWTACACS認證服務器
Hwtacacs enable //開啟Hwtacacs功能
hwtacacs-server template device-tacacs //建立服務模板
配置HWTACACS認證服務器
hwtacacs-server authentication xxx.xxx.xxx.xxx
hwtacacs-server authorization xxx.xxx.xxx.xxx
hwtacacs-server accounting xxx.xxx.xxx.xxx
hwtacacs-server source-ip 172.xxx.xxx.xxx.xxx //交換機管理地址
hwtacacs-server timer response-timeout 2
配置HWTACACS服務器密鑰
hwtacacs-server shared-key cipher ************
配置認證方案,配置認證方案hwtacacs,認證模式為先進行HWTACACS認證,后進行本地認證
aaa
authentication-scheme hwtacacs
authentication-mode hwtacacs local
配置授權方案,配置授權方案hwtacacs1,授權模式為先進行HWTACACS授權,后進行本地授權
authorization-scheme hwtacacs1
authorization-mode hwtacacs local
authorization-cmd 15 hwtacacs local
配置計費方案,配置計費方案hwtacacs1,計費模式為先進行HWTACACS
accounting-scheme hwtacacs1
accounting-mode hwtacacs
accounting start-fail online
accounting interim-fail online
配置hwtacacs域
domain hwtacacs
authentication-scheme hwtacacs
accounting-scheme hwtacacs1
authorization-scheme hwtacacs1
hwtacacs-server device-tacacs
配置全局默認管理域
domain hwtacacs admin
遠程登入授權
user-interface vty 0 4
authentication-mode aaa
只讀賬號登入授權
command-privilege level 1 view system display current-configuration
command-privilege level 1 view shell display device manufacture-info
command-privilege level 1 view shell display logbuffer
- Cisco
配置AAA server 和key
aaa new-model
tacacs-server host xxx.xxx.xxx.xxx
tacacs-server key ************
或者(15.2(2)E3)
tacacs server tacacs-server
address ipv4 xxx.xxx.xxx.xxx
key ************
配置認證方式(代表tacacs+ server失效后.使用本地認證)
aaa authentication login default group tacacs+ local
配置授權
aaa authorization exec default group tacacs+ local
aaa authorization commands 15 default group tacacs+ local
配置用戶行為審計
aaa accounting commands 15 default start-stop group tacacs+
aaa accounting exec default start-stop group tacacs+
aaa accounting connection default start-stop group tacacs+
privilege exec level 1 show startup-config
privilege exec level 1 show logging
//配置級別1權限
認證授權
line vty 0 4
login authentication default
authorization exec default
accounting connection default
accounting exec default
配置認證源vlan
ip tacacs source-interface Vlan xx