RADIUS和TACACS +都提供了对尝试访问两个协议支持网络设备的用户的集中验证,该设备提供网络设备上的身份验证,授权和会计(AAA)服务。

RADIUS代表远程访问拨入用户服务,TACACS +代表终端访问控制器访问控制服务加。 RACIUS和TACACS +之间的主要功能差异是TACACS +分离出授权功能,其中RADIUS结合了身份验证和授权。半径设计为订户AAA,TACACS +专为管理员AAA而设计。 RADIUS仍可用于小型网络管理员AAA,但仅在不需要授权时,或者它是一个同质网络(所有供应商)。在网络设备需要具有异构环境或授权策略的任何方案中,TACACS +是最佳选择。

下图和表格更具差异:

此帖子和下一个帖子将显示Cisco 2960交换机上的基本TACACS +配置步骤,以与Windows的免费TACACS +软件一起使用 Tacacs.net.:

1.软件安装和验证配置

1.1下载软件

请下载来自他们网站的1.3.2版 http://www.tacacs.net/

1.2安装

双击下载文件tacacssetup_v1.3.2.zip,只需单击“下一步”以按照向导完成安装。

安装后,Tacacs.net服务将自动启动。 localhost(127.0.0.1)和RFC 1918 IP地址范围(172.16.0.0/12,192.168.0.0/16,10.0.0.0/8)默认被添加为客户端。本地计算机上管理员组中的任何用户都将被授权为后备方法。

1.3配置TACACS +服务器

该向导将根据您的操作系统将配置和日志文件安装到不同的位置。 “开始”菜单TACACS.NET程序组具有指向配置文件夹的配置快捷方式。在我的情况下,所有配置文件都已安装在此目录中:C:ProgramDataTacacs.NetConfig

检查tacplus.xml以确保服务器IP不是127.0.0.1。

修改配置文件时,您无需重新启动/重新加载服务器。服务器
监视器更改配置文件并自动重新加载它们。

1.4验证TACACS服务

Telnet 127.0.0.1 49.
Tactest -s 10.9.200.14 -U Test1 -P Test1

(TEST1是我TACACS Windows Server中的本地管理员帐户)

2.配置Cisco Switch以使用TACACS服务器

路由器(CONFIG)#AAA新模型
路由器(配置)#tacacs-server主机10.9.200.14密钥MySharedSecret
路由器(CONFIG)#AAA身份验证登录默认组TACACS +本地
路由器(CONFIG)#AAA授权exec默认组TACACS +本地
路由器(CONFIG)#行控制台0
路由器(Config-Line)#登录身份验证默认值
路由器(CONFIG)#行VTY 0 15
路由器(Config-Line)#登录身份验证默认值

基于上述配置步骤1和步骤2,交换机将在本地管理员组中使用TACACS服务器的帐户进行身份验证。

笔记:

后退组包括服务器上的所有本地管理员。它应该在生产中部署之前注释出来。


参考:

经过 Jon.

关于“基本Cisco Tacacs +配置的一个想法”Windows的免费Tacacs +软件 - 第1部分“

发表评论