认证部分
R1(config)#aaa new-model
R1(config)#tacacs-server host 192.168.0.20 key cisco
R1(config)#aaa authentication login vty group tacacs+
R1(config)#line vty 0 15
R1(config-line)#login authentication vty
----------------------------------------------------------------------------------
授权部分
R2(config)#aaa authorization exec vty group tacacs+
R2(config)#line vty 0 15
R2(config-line)#authorization exec vty
-----------------------------------------------------------------------------------
privilege本地命令授权(如果不在level 5范围里的命令,必须用privilege先本地授权,并在ACS进行授权,才能最终生效。例如,show run不在level 5用户的命令范围内,必须用privilege exec level 5 show run)
R2(config)#privilege exec level 5 configure termi 在特权模式下允许level5的用户可以输入conf t命令
R2(config)#privilege configure all level 5 router 在全局模式下允许执行router命令下的所有子命令
----------------------------------------------------------------------------------
将level 5等级用户可以键入的命令送到ACS上去授权
R2(config)#aaa authorization commands 5 vty group tacacs+
R2(config)#line vty 0 15
R2(config-line)#authorization commands 5 vty
如果在本地设备上配置过conf t 命令授权,现在想把conf t下的所有命令也在ACS上做授权,就需要明文键入一句语句。
aaa authorization config-commands
------------------------------------------------------------------------------------
测试ACS用户认证
aaa group tacacs+ acs1 cisco new-code
-------------------------------------------------------------------------------------
exec审计配置
对exec审计
R2(config)#aaa accounting exec vty start-stop group tacacs+
因为level 5等级用户可以调用level 0 level 1等级的命令,故要全部写上
R2(config)#aaa accounting command 0 vty start-stop group tacacs+
R2(config)#aaa accounting command 1 vty start-stop group tacacs+
R2(config)#aaa accounting command 5 vty start-stop group tacacs+
在vty线路中对审计进行调用
R2(config)#line vty 0 15
R2(config-line)#accounting exec vty
R2(config-line)#accounting command 0 vty
R2(config-line)#accounting command 1 vty
R2(config-line)#accounting command 5 vty
-----------------------------------------------------------------------------------
查看ACS进程状态
show application status acs
停止ACS服务
acs stop
开始ACS进程状态
acs start
--------------------------------------------------------------------------------------
配置SSH AAA认证
http://xpvista.blog.51cto.com/420483/175410
本文转自daniel8294 51CTO博客,原文链接:http://blog.51cto.com/acadia627/1286314,如需转载请自行联系原作者