cisco设备vty tacacs+认证配置

认证部分

R1(config)#aaa new-model

R1(config)#tacacs-server host 192.168.0.20 key cisco



R1(config)#aaa authentication login vty group tacacs+




R1(config)#line vty 0 15

R1(config-line)#login authentication vty


----------------------------------------------------------------------------------

授权部分

R2(config)#aaa authorization exec vty group tacacs+

R2(config)#line vty 0 15

R2(config-line)#authorization exec vty


-----------------------------------------------------------------------------------

privilege本地命令授权(如果不在level 5范围里的命令,必须用privilege先本地授权,并在ACS进行授权,才能最终生效。例如,show run不在level 5用户的命令范围内,必须用privilege exec level 5 show run)

R2(config)#privilege exec level 5 configure termi  在特权模式下允许level5的用户可以输入conf t命令


R2(config)#privilege configure all level 5 router  在全局模式下允许执行router命令下的所有子命令

----------------------------------------------------------------------------------

将level 5等级用户可以键入的命令送到ACS上去授权

R2(config)#aaa authorization commands 5 vty group tacacs+

R2(config)#line vty 0 15

R2(config-line)#authorization commands 5 vty

如果在本地设备上配置过conf t 命令授权,现在想把conf t下的所有命令也在ACS上做授权,就需要明文键入一句语句。

aaa authorization config-commands

------------------------------------------------------------------------------------

测试ACS用户认证

aaa group tacacs+ acs1 cisco new-code

-------------------------------------------------------------------------------------


exec审计配置

对exec审计

R2(config)#aaa accounting exec vty start-stop group tacacs+

因为level 5等级用户可以调用level 0 level 1等级的命令,故要全部写上

R2(config)#aaa accounting command 0 vty start-stop group tacacs+

R2(config)#aaa accounting command 1 vty start-stop group tacacs+

R2(config)#aaa accounting command 5 vty start-stop group tacacs+

在vty线路中对审计进行调用

R2(config)#line vty 0 15

R2(config-line)#accounting exec vty

R2(config-line)#accounting command 0 vty

R2(config-line)#accounting command 1 vty

R2(config-line)#accounting command 5 vty

-----------------------------------------------------------------------------------

查看ACS进程状态

show application status acs

停止ACS服务

acs stop

开始ACS进程状态

acs start

--------------------------------------------------------------------------------------

配置SSH AAA认证

http://xpvista.blog.51cto.com/420483/175410







      本文转自daniel8294 51CTO博客,原文链接:http://blog.51cto.com/acadia627/1286314,如需转载请自行联系原作者



上一篇:《树莓派实战秘籍》——1.17添加重启按钮


下一篇:《树莓派实战秘籍》——1.17 技巧17添加重启按钮