在Catalyst交换机配置TACACS+、RADIUS和Kerberos
作者 佚名技术
来源 网络技术
浏览
发布时间 2012-07-02
Catalyst交换机系列(Catalyst 4000、运行CatcOs)的Catalyst 5000和Catalyst 6000 支持某种认证形式,开始在2.2代码。增进添加了带有最新版本。TACACS+ (TCP端口49,不是XTACACS UDP 端口49),远程访问拨入用户服务(RADIUS),或者Kerberos服务器用户设置为验证、授权和记帐(AAA)是相同象为路由器用户。本文包含最小的命令的示例必要启用这些功能。其它选项是可用的在交换机说明文件为版本在考虑中。 背景信息 由于最新编码版本支持其它选项,您在交换机将需要 确定编码版本您通过发出show version命令 使用。一旦确定了在交换 机使用的编码版本,使用表如下确定什么选项是可用的在您的设备 ,并且哪些选项您希望配置。 一般, 总保持在交换机当添加认证和授权时。测试配置在另一个窗 口为了避免偶然地锁定。 配置步骤 步骤A - TACACS+认证 带有初期的编码版本,命令不是一 样复杂的象在一些最新版本。其它选项在最新版本可能取得 到在您的交换机。 确定有后门到交 换机如果服务器发生故障通过发出以下命令: set authentication login local enable 启用TACACS+认证通过发出以下命令: set authentication login tacacs enable 定义服务器通过发出以下命 令: set tacacs server #.#.#.# 定义服务器密钥(这是可选带有TACACS+,因为引起交 换机对服务器数据被加密。 如果使用,它必须与服务器一致 )通过发出以下命令: 设置tacacs关键 your_key 步骤B - RADIUS认 证 带有初期的编码 版本,命令不是一样复杂的象在一些最新版本。其它选项在 最新版本可能取得到在您的交换机。 确定有后门到交换机如果服务器发生故障通过发出以 下命令: set authentication login local enable 启用RADIUS认证通过发出以下命令: set authentication login radius enable 定义服务器。在其他 Cisco设备,默认RADIUS端口是 1645/1646 (authentication/accounting)。 在Catalyst,默认端口是1812/1813。 如果使 用CiscoSecure或与其他Cisco设备联络的一个服务器,使用的端口 是1645/1646。发出以下命令定义服务器: set radius server #.#.#.# auth-port 1645 acct-port 1646 primary 定义服务器密钥。 因为引起交换机对服务器密码根据RADIUS 请求注释 (RFC),被加密这是必须的。 如果使用,它必须与服务器 一致。 发出以下命令: 设置半径关键 your_key 步骤C - 本地用户 名验证/授权 开始在 CATOS版本7.5.1,本地用户认证是可能的(例如,您可能使用在 Catalyst用户名和口令达到验证/授权存储,而不是认证通过一个本 地密码)。 只有二个权限级别为本地 用户认证,0或者15。级别0是无特权的exec级别。 第 15级是特许启用级别。 通过添加在 本例中的以下命令,用户"poweruser"在Telnet在激活模式到达或控 制台对交换机和用户"nonenable"在Telnet在EXEC模式或控制台到达 到交换机。 set localuser user poweruser password powerpass privilege 15 set localuser user nonenable password nonenable 注意: 如果用户"nonenable" 知道 enable password,该用户能继续到激活模式 在配置以后 ,密码被存储加了密。 本地用户名 认证可以与远程TACACS+ exec 或者命令记帐或者远程RADIUS exec 记帐一道使用。它可能与远程TACACS+ exec或命令授权一道 也使用,但不有道理如此执行因为用户名将需要存储两个TACACS+服 务器并且本地交换机。 步骤D - TACACS+命令授权 在我们的示例,我们通知交换机为 仅配置命令要求授权使用TACACS+。在TACACS+ 服务器发生 故障情形下,认证将是无。 这适用于控制台端口和Telnet会 话。 发出以下命令: set authorization命令 enable config tacacs none both 在本例中,您可能配置TACACS+服务器通过设置以下参数允许: command=set argu |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
你可能对下面的文章感兴趣
上一篇: IP多层交换示例配置下一篇: 思科3550交换机配置
关于在Catalyst交换机配置TACACS+、RADIUS和Kerberos的所有评论