建站
咨詢
售后
建站咨詢
新聞中心
首先TACACS+是基于TCP 49的協(xié)議。所以這也能解釋tacacs+和radius的基本區(qū)別:radius是一個UDP大包被所有的授權(quán)結(jié)果一股腦的推給終端,而tacacs+的TCP就可以基于每行一個命令一個個授權(quán)。
路由器的aaa命令
站在用戶的角度思考問題,與客戶深入溝通,找到湖南網(wǎng)站設(shè)計(jì)與湖南網(wǎng)站推廣的解決方案,憑借多年的經(jīng)驗(yàn),讓設(shè)計(jì)與互聯(lián)網(wǎng)技術(shù)結(jié)合,創(chuàng)造個性化、用戶體驗(yàn)好的作品,建站類型包括:網(wǎng)站制作、網(wǎng)站建設(shè)、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣、國際域名空間、網(wǎng)頁空間、企業(yè)郵箱。業(yè)務(wù)覆蓋湖南地區(qū)。
aaa group server tacacs+ ISE
server-private 192.168.133.11 key cisco123
aaa new-model
aaa authentication login default group ISE local
aaa authentication enable default group ISE enable
aaa authorization config-commands
aaa authorization exec ISE group ISE local
aaa authorization commands 0 default group ISE local none
aaa authorization commands 1 default group ISE local none
aaa authorization commands 7 default group ISE local none
aaa authorization commands 15 default group ISE local none
aaa accounting exec default start-stop group ISE
aaa accouting commands 0 default start-stop group ISE
aaa acounting commands 1 default start-stop group ISE
aaa acounting commands 7 default start-stop group ISE
aaa accouting commands 15 default start-stop group ISE
講下default關(guān)鍵字,以前總理解不好。
default method:A default method list is configured globally and is automatically applied to all the interfaces on a device (vty/http/console/AUX)
我個人在最實(shí)驗(yàn)的時候覺得privilege 7意義不大,本身可以調(diào)用的命令就少。
device admin policy sets也是分成authentication 和authorization, 和radius的policy sets類似。authentication policy的目的就是基于正確的protocol(一般都是tacacs+)和別的限制條件(例如可以使用device type等) 使用正確的identity store。
authoriztion policy的授權(quán)結(jié)果分兩部分:command sets 和shell profile 直接截圖就知道各自包含什么。
所有命令都permit
Operator的shell,只允許show 或者進(jìn)入接口開關(guān)。
shell profile,由于兩個shell profile都是default 0 maximum 15, 不反復(fù)截圖了。
我們看到line vty 下的acl 或者timeout時間都是可以通過ISE推的。
截圖看下policy sets
我們看下tacacs+基于每條命令的授權(quán)
由于有了command sets的存在,將一條條的特定的命令搬到privilege 1-14里面實(shí)際就不是一個在生產(chǎn)環(huán)境可行的做法。
補(bǔ)充一個用radius做認(rèn)證的對比,雖然不怎么用,但是考試竟然考。。。蠢的一逼
最重要的其實(shí)知道那個authorization profile怎么配置: shell:priv-lvl=15
策略就沒啥好說的了
主要看測試結(jié)果,貼路由器的命令,記住因?yàn)閞adius是將策略結(jié)果一起推過來,所以需要也只需要配置這兩句話:
aaa authentication login default group ISE local
aaa authorization exec default group radius local
分享題目:使用ISE為IOS和ASA做tacacs+認(rèn)證
本文路徑:http://www.ef60e0e.cn/article/gcjjii.html
