Tacacs+登录询问启用密码&日志不工作

Question

我是TACACS的新手，所以请回答我的初级问题:)

我已经在Ubuntu上配置了TACACS+。现在，我可以登录TACACS+服务器中定义的用户进行切换。我创建了两个用户，一个用于支持，一个用于管理。

第一季-

我只允许固定的CMD集作为支持小组。

第二季-

/var/ Log /tac*中的日志文件为空。如何使用tacacs+身份验证启用哪个用户登录到哪个交换机的日志？

下面是我的TACACS服务器配置键= testing123

accounting file = /var/log/tacplus.log
default authentication = file /etc/passwd
group = support {    default service = denyservice = shell {priv-lvl = 15}cmd = interface { permit [faFAgiGI].* }}
group = unicorns {
    default service = permit
    service = exec {
    priv-lvl = 15
    }
}
user = mary {
    name = "Network Support"
    member = support
}
user = tina {
    name = "Network Unicorn"
    member = unicorns
}

以下是我的开关配置

aaa new-model
aaa authentication login default local group tacacs+ enable
tacacs-server host 2.3.4.5
tacacs-server key 0 testing123

Answer 1

我只允许固定的CMD集作为支持小组。

这个问题有两个方面：

1. 您需要配置您的设备以使用TACACS进行授权：

(config)#aaa authorization commands 15 ...
(config)#aaa authorization config-commands
(config)#aaa authorization exec default ...

1. 您的tac_plus配置看起来很奇怪。更改它，使其更像块样式：

group = support {
    default service = deny

    service = shell {
        priv-lvl = 15
    }

    cmd = interface {
        permit [faFAgiGI].* 
    }
}

这有一些问题。

1. 因为您的默认服务是deny，而且您只定义了一个interface子命令，所以support组中的用户根本无法做任何事情--因为他们需要进入configure模式才能使用interface子命令。
2. 由于要将support组中的用户放到配置中的priv 15，所以他们不需要enable。如果您希望它们在登录时必须使用enable，则删除配置中的set priv-lvl = 15行，并在设备上配置AAA以使用TACACS访问enable模式：

(config)#aaa authentication enable ...

1. cmd定义需要移动到service = shell块中。

下面是一个修改后的配置，供您试用：

group = support {
    default service = deny

    service = shell {
        set priv-lvl = 15

        cmd = show {
            permit .*
        }

        cmd = configure {
            permit ^terminal
        }

        cmd = interface {
            permit [faFAgiGI].* 
        }
    }
}

/var/ Log /tac*中的日志文件为空。如何使用tacacs+身份验证启用哪个用户登录到哪个交换机的日志？

这可能取决于您正在使用的tac_plus实现。有些实现允许您指定用于身份验证/授权/记帐的日志文件。无论哪种方式，仍然需要在设备上配置accounting部分：

(config)#aaa accounting commands ...