◆ TACACS+クライアントの設定 - 新しいIOSの設定
現在では「TACACS+サーバを登録」してから、それを「認証サーバグループに登録」する設定をします。
◆ TACACS+サーバの登録
(config)# tacacs server config-name
(config-server-tacacs)# address ipv4 address
(config-server-tacacs)# port number
(config-server-tacacs)# key string
(config-server-tacacs)# single-connection
◆ TACACS+サーバを認証サーバグループに登録( 複数のTACACS+サーバをグループに含められます )
(config)# aaa new-model
(config)# aaa group server tacacs+ group-name
(config-sg-server)# server name config-name
認証方式リスト、認可方式リスト、アカウンティング方式リストに指定します。認証方式リストなどは
別ページで解説。各方式リストの解説を読んでいない現時点では以下のコンフィグを理解できてなくOK。
◆ 認証方式リスト、認可方式リスト、アカウンティング方式リストなどに適用( 必要な方式リストに対してのみ適用 )
(config)# aaa authentication login default group group-name
(config)# aaa authorization exec default group group-name
◆ TACACS+クライアントの設定例( 機器へ管理アクセスする際のユーザ/パスワードの集中管理 )
Cisco(config) # tacacs server ISE01
Cisco(config-server-tacacs) # address ipv4 192.168.10.101
Cisco(config-server-tacacs) # key Cisco123
Cisco(config-server-tacacs) # single-connection
Cisco(config) # aaa new-model
Cisco(config) # aaa group server tacacs+ GROUP-ISE
Cisco(config-sg-radius) # server name ISE01
Cisco(config) # aaa authentication login default group GROUP-ISE
Cisco(config) # aaa authorization console
Cisco(config) # aaa authorization exec default group GROUP-ISE local
|
◆ TACACS+クライアントの設定 - レガシーな設定
AAAでTACACS+サーバをAAAクライアント(TACACS+クライアント)として使用するための設定を解説。
◆ TACACS+クライアントの設定
(config)# tacacs-server host address port number timeout seconds key string single-connection
コマンド引数 |
説明 |
address |
TACACS+サーバのIPアドレスを指定(DNSで名前解決できるならホスト名でもOK)
|
port |
オプション:デフォルトのTCPポート 49 から変更したい場合に指定。
|
timeout |
オプション:TACACS+クライアントがTACACS+サーバの応答を待つ時間を秒数で指定。
|
key |
TACACS+クライアントとサーバ間のトラフィックを暗号化するための暗号鍵。同じ値にする。 |
single-connection |
オプション:TACACS+クライアントとサーバ間のセッションが続いている間、単一のTCP接続を保持。 |
◆ TACACS+クライアントの設定例( 機器へ管理アクセスする際のユーザ/パスワードの集中管理 )
Cisco(config) # tacacs-server host 192.168.10.101 key Cisco123
Cisco(config) # tacacs-server host 192.168.10.102 key Cisco123
Cisco(config) # aaa new-model
Cisco(config) # aaa authentication login default group tacacs+
Cisco(config) # aaa authorization console
Cisco(config) # aaa authorization exec default group tacacs+
|
|