cisco设备vty tacacs+认证配置
2013-08-31 12:19
477 查看
认证部分
R1(config)#aaa new-model
R1(config)#tacacs-server host 192.168.0.20 key cisco
R1(config)#aaa authentication login vty group tacacs+
R1(config)#line vty 0 15
R1(config-line)#login authentication vty
----------------------------------------------------------------------------------
授权部分
R2(config)#aaa authorization exec vty group tacacs+
R2(config)#line vty 0 15
R2(config-line)#authorization exec vty
-----------------------------------------------------------------------------------
privilege本地命令授权(如果不在level 5范围里的命令,必须用privilege先本地授权,并在ACS进行授权,才能最终生效。例如,show run不在level 5用户的命令范围内,必须用privilege exec level 5 show run)
R2(config)#privilege exec level 5 configure termi 在特权模式下允许level5的用户可以输入conf t命令
R2(config)#privilege configure all level 5 router 在全局模式下允许执行router命令下的所有子命令
----------------------------------------------------------------------------------
将level 5等级用户可以键入的命令送到ACS上去授权
R2(config)#aaa authorization commands 5 vty group tacacs+
R2(config)#line vty 0 15
R2(config-line)#authorization commands 5 vty
如果在本地设备上配置过conf t 命令授权,现在想把conf t下的所有命令也在ACS上做授权,就需要明文键入一句语句。
aaa authorization config-commands
------------------------------------------------------------------------------------
测试ACS用户认证
aaa group tacacs+ acs1 cisco new-code
-------------------------------------------------------------------------------------
exec审计配置
对exec审计
R2(config)#aaa accounting exec vty start-stop group tacacs+
因为level 5等级用户可以调用level 0 level 1等级的命令,故要全部写上
R2(config)#aaa accounting command 0 vty start-stop group tacacs+
R2(config)#aaa accounting command 1 vty start-stop group tacacs+
R2(config)#aaa accounting command 5 vty start-stop group tacacs+
在vty线路中对审计进行调用
R2(config)#line vty 0 15
R2(config-line)#accounting exec vty
R2(config-line)#accounting command 0 vty
R2(config-line)#accounting command 1 vty
R2(config-line)#accounting command 5 vty
-----------------------------------------------------------------------------------
查看ACS进程状态
show application status acs
停止ACS服务
acs stop
开始ACS进程状态
acs start
--------------------------------------------------------------------------------------
配置SSH AAA认证
/article/4555837.html
R1(config)#aaa new-model
R1(config)#tacacs-server host 192.168.0.20 key cisco
R1(config)#aaa authentication login vty group tacacs+
R1(config)#line vty 0 15
R1(config-line)#login authentication vty
----------------------------------------------------------------------------------
授权部分
R2(config)#aaa authorization exec vty group tacacs+
R2(config)#line vty 0 15
R2(config-line)#authorization exec vty
-----------------------------------------------------------------------------------
privilege本地命令授权(如果不在level 5范围里的命令,必须用privilege先本地授权,并在ACS进行授权,才能最终生效。例如,show run不在level 5用户的命令范围内,必须用privilege exec level 5 show run)
R2(config)#privilege exec level 5 configure termi 在特权模式下允许level5的用户可以输入conf t命令
R2(config)#privilege configure all level 5 router 在全局模式下允许执行router命令下的所有子命令
----------------------------------------------------------------------------------
将level 5等级用户可以键入的命令送到ACS上去授权
R2(config)#aaa authorization commands 5 vty group tacacs+
R2(config)#line vty 0 15
R2(config-line)#authorization commands 5 vty
如果在本地设备上配置过conf t 命令授权,现在想把conf t下的所有命令也在ACS上做授权,就需要明文键入一句语句。
aaa authorization config-commands
------------------------------------------------------------------------------------
测试ACS用户认证
aaa group tacacs+ acs1 cisco new-code
-------------------------------------------------------------------------------------
exec审计配置
对exec审计
R2(config)#aaa accounting exec vty start-stop group tacacs+
因为level 5等级用户可以调用level 0 level 1等级的命令,故要全部写上
R2(config)#aaa accounting command 0 vty start-stop group tacacs+
R2(config)#aaa accounting command 1 vty start-stop group tacacs+
R2(config)#aaa accounting command 5 vty start-stop group tacacs+
在vty线路中对审计进行调用
R2(config)#line vty 0 15
R2(config-line)#accounting exec vty
R2(config-line)#accounting command 0 vty
R2(config-line)#accounting command 1 vty
R2(config-line)#accounting command 5 vty
-----------------------------------------------------------------------------------
查看ACS进程状态
show application status acs
停止ACS服务
acs stop
开始ACS进程状态
acs start
--------------------------------------------------------------------------------------
配置SSH AAA认证
/article/4555837.html
相关文章推荐
- 构建简易网络与网络设备的简单配置(Cisco Packet Tracer)第一弹:交换机VLAN配置
- Cisco设备作为DHCP服务器的配置方法(下)
- Cisco设备静态NAT基本配置步骤
- Cisco技术 >> 常用设备配置手册
- Cisco网络设备的SNMP及Syslog配置参考实例
- CISCO设备的基本操作(IOS和配置文件的备份还原、ssh远程连接)
- cisco AAA认证服务器及设备配置
- cisco设备配置时间日期的方法。
- 思科设备VTY认证
- ccna 06 操作与配置cisco设备
- Cisco 设备基本安全配置
- 新手配置CISCO设备密码时候需要注意地方
- cisco设备时间配置
- CISCO、huawei 设备syslog日志主机配置实例
- cisco设备上的DHCP配置
- 如何配置Cisco设备使其支持NetFlow Traffic Analyzer
- 网络设备配置与管理----调试Cisco Catalyst交换机
- 图形化Cisco设备管理实践(附安装配置视频)