云南龙网

  1. 首页 > 生活百科 > >

在Catalyst交换机配置TACACS+、RADIUS和 Kerberos

生活百科


前言
Catalyst交换机系 列(Catalyst 4000、运行CatcOs)的Catalyst 5000和Catalyst 6000 支持某种认证形式,开始在2.2代码 。增进添加了带有最新版 本 。TACACS(TCP端口49,不是XTACACS UDP 端口49),远 程访问拨入用户服务(RADIUS),或者Kerberos服务器用户设置为验 证、授权和记帐(AAA)是相同象为路由器用户 。本文包含最小 的命令的示例必要启用这些功能 。其它选项是可用的在交换 机说明文件为版本在考虑中 。
背景信息
由于最新编码版本支持其它选项,您在交换机将需要 确定编码版本您通过发出show version命令 使用 。一旦确定了在交换 机使用的编码版本,使用表如下确定什么选项是可用的在您的设备,并且哪些选项您希望配置 。
一般,总保持在交换机当添加认证和授权时 。测试配置在另一个窗 口为了避免偶然地锁定 。
配置步骤
步骤A - TACACS 认证
带有初期的编码版本,命令不是一 样复杂的象在一些最新版本 。其它选项在最新版本可能取得 到在您的交换机 。
确定有后门到交 换机假如服务器发生故障通过发出以下命令: set authentication login local enable
启用TACACS 认证通过发出以下命令: set authentication login tacacs enable
定义服务器通过发出以下命 令: set tacacs server #.#.#.#
定义服务器密钥(这是可选带有TACACS,因为引起交 换机对服务器数据被加密 。假如使用,它必须与服务器一致 )通过发出以下命令: 设置tacacs要害 your_key
步骤B - RADIUS认 证
带有初期的编码 版本,命令不是一样复杂的象在一些最新版本 。其它选项在 最新版本可能取得到在您的交换机 。
确定有后门到交换机假如服务器发生故障通过发出以 下命令: set authentication login local enable
启用RADIUS认证通过发出以下命令: set authentication login radius enable
定义服务器 。在其他 Cisco设备,默认RADIUS端口是 1645/1646 (authentication/accounting) 。
在Catalyst,默认端口是1812/1813 。假如使 用CiscoSecure或与其他Cisco设备联络的一个服务器,使用的端口 是1645/1646 。发出以下命令定义服务器: set radius server #.#.#.# auth-port 1645 acct-port 1646 primary
定义服务器密钥 。
因为引起交换机对服务器密码根据RADIUS 请求注释 (RFC),被加密这是必须的 。假如使用,它必须与服务器 一致 。发出以下命令: 设置半径要害 your_key
步骤C - 本地用户 名验证/授权
开始在 CATOS版本7.5.1,本地用户认证是可能的(例如,您可能使用在 Catalyst用户名和口令达到验证/授权存储,而不是认证通过一个本 地密码) 。
只有二个权限级别为本地 用户认证,0或者15 。级别0是无特权的exec级别 。第 15级是特许启用级别 。
通过添加在 本例中的以下命令,用户"poweruser"在Telnet在激活模式到达或控 制台对交换机和用户"nonenable"在Telnet在EXEC模式或控制台到达 到交换机 。
set localuser user poweruser passWord powerpass privilege 15
set localuser user nonenable password nonenable
注重: 假如用户"nonenable" 知道 enable password,该用户能继续到激活模式
在配置以后,密码被存储加了密 。
本地用户名 认证可以与远程TACACSexec 或者命令记帐或者远程RADIUS exec 记帐一道使用 。它可能与远程TACACSexec或命令授权一道 也使用,但不有道理如此执行因为用户名将需要存储两个TACACS 服 务器并且本地交换机 。
步骤D - TACACS 命令授权
在我们的示例,我们通知交换机为 仅配置命令要求授权使用TACACS。在TACACS服务器发生 故障情形下,认证将是无 。这适用于控制台端口和Telnet会 话 。发出以下命令:

推荐阅读


上一篇:怪你过分美丽林湘第几集去世

下一篇:三脚架的使用