Nakonfigurujme si teda router pre spoluprácu pre authentikáciu a authorizáciu s tacacsom a účtovacími službami nasledovne:
enable
configure terminal
tacacs-server host xxx.xxx.xxx.xxx
tacacs-server key MojTacacsKluc
aaa new-model
aaa authentication login default tacacs+ local
aaa authentication enable default tacacs+ enable
aaa authentication ppp default if-needed tacacs+ local
aaa authorization exec tacacs+ local
aaa authorization network tacacs+ none
aaa accounting exec start-stop tacacs+
aaa accounting commands 1 start-stop tacacs+
aaa accounting commands 15 start-stop tacacs+
aaa accounting network start-stop tacacs+
aaa accounting connection stop-only tacacs+
aaa accounting nested
Ctrl-Z
Nastavili sme si router pre spoluprácu s tacacsom pri authentikácii, takže sa môžeme z bližšie pozrieť, čo sme dosiahli.
aaa authentication login default tacacs+ local :
Authentikácia užívateľov pri prihlasovaní bude prebiehať prostredníctvom daemona tacacs, poprípade z lokálnej definície užívateľov, ak bude tacacs neprístupný. Pri nefukčnosti tacacsu je vhodné mať v zálohe lokálneho užívateľa, to z dôvodu aby sme sa mohli nadiaľku nalogovať na router, aj keď spadne spojenie s authentikačným serverom. To dosiahneme nasledovne:
enable
configure terminal
username admin privilege 15 password blablablabla
Ctrl-Z
a tým máme k dispozícii lokálneho užíávateľa s právami úrovne 15, čiže enable levelu.
aaa authentication enable default tacacs+ enable :
Táto voľba nám umožní uchovanie enable passwordu v konfiguračnom súbore tacacs, a pri nemožnosti authentikácie prostredníctvom authentikačného servera sa prevedie lokálne, ktoré sme si nadefinovali nasledovne:
enable
configure terminal
enable secret blablabla
enable password blablabla
V konfiguračnom súbore si nadefinujeme enable heslo ako užívateľa s názvom $enable$ resp. $enab15$, avsak defínícia $enable$ má prednosť pred $enab15$. Výsledok by mohol vyzerať nasledovne
user =$enable$ {
login = cleartext "blablabla"
}
resp.
user =$enab15$ {
login = des bxoK7Oicbixui
}
Nasledujúca voľba
aaa authentication ppp default if-needed tacacs+ local :
nám umožní authentikáciu dialup užívateľov protokolu ppp na asynchrónnych portoch routera daemonom tacacs, takže bežne vytvorený užívateľ v konfiguračnom súbore tacacsu ako napr.
user = nr-panama {
member = slaba_prevadzka
login = des barU503ivCO45
expires = "Jun 12 2002"
idletime = 10
maxsess = 1
}
bude authentikovaný pri prihlasovaní na router tacacs serverom. Znovu pri neúspechu bude prevedený pokus aj lokálne.
Jednotlivé asynchrónne zariadenia si postupne nakonfigurujeme napr. takto:
enable
configure terminal
chat-script cisco-default ABORT ERROR "" "AT Z" OK
"ATDT \T" TIMEOUT 30 \cCONNECT\c
chat-script reset-script "" "ATZS0=1"
interface Async1
ip unnumbered Ethernet0
no ip directed-broadcast
encapsulation ppp
ip tcp header-compression passive
async mode interactive
peer default ip address xxx.xxx.xxx.xxx
no cdp enable
ppp authentication pap chap
line 1 16
exec-timeout 0 0
autoselect during-login
autoselect ppp
script reset reset-script
modem InOut
transport preferred none
transport input all
escape-character NONE
telnet transparent
stopbits 1
speed 57600
flowcontrol hardware
Konfiguračné príkazy
aaa authorization exec tacacs+ local
aaa authorization network tacacs+ none
nám zabezepečia authorizáciu prostredníctvom daemona tacacs a nakoniec príkazy
aaa accounting exec start-stop tacacs+
aaa accounting commands 1 start-stop tacacs+
aaa accounting commands 15 start-stop tacacs+
aaa accounting network start-stop tacacs+
aaa accounting connection stop-only tacacs+
aaa accounting nested
nám specifikujú, ktoré položky sa budú zapisovať do accounting súboru daemonu tacacs.
V ďalšej časti sa budeme venovať spracovaniu accounting súboru a tvorbe prehľadov.
