配置之后，tacacs无法访问cli。

Question

配置后，Tacacs+无法通过tacacs或telnet访问：

aaa new-model
!
!
aaa group server tacacs+ TACACS+CG
 server [server ip address]
 server [server ip address]
!
aaa authentication login default group TACACS+CG enable
aaa authentication enable default group TACACS+CG enable
aaa authorization exec default group TACACS+CG if-authenticated 
aaa authorization commands 0 default group TACACS+CG if-authenticated 
aaa authorization commands 1 default group TACACS+CG if-authenticated 
aaa authorization commands 15 default group TACACS+CG if-authenticated 
!
aaa session-id common
!
tacacs-server host [server ip address] timeout 3 key 7 [key]
tacacs-server host [server ip address] timeout 3 key 7 [key]
!

我做错什么了？我们很感激你的帮助。

Answer 1

当您输入aaa authorization commands时，TACACS将应用于您输入的每个命令。如果您没有通过TACACS进行身份验证，您将无法做任何事情。如果无法到达tacacs服务器(S)，则每个命令在尝试授权时都会出现明显的延迟。

Answer 2

我不想对上述答覆作出评论。(里奇贴的内容是正确的。您的启用密码对登录有效吗？在上面的配置中，您确实将该设置设置为登录的备份。

我这辈子见过不止一次。我能给你的最好的建议是在将来做以下两件事。

在AAA命令的末尾添加"local“

aaa authentication login default group TACACS+CG enable local

在您知道更基本的项正在正常工作之前，不要添加AAA授权命令。

让我们知道启用密码。此时您应该能够访问您的配置。

丹尼尔

Answer 3

为了能够调试允许本地登录，然后登录并使用debug tacacs观察在第二个telnet会话上使用tacacs登录id登录时发生了什么。

保存原件后粘贴到配置中。

!    
username test privilege 15 password test
!
aaa authentication login default local group TACACS+CG enable
no aaa authentication enable default group TACACS+CG enable
aaa authorization exec default if-authenticated 
aaa authorization commands 0 default  if-authenticated 
aaa authorization commands 1 default  if-authenticated 
aaa authorization commands 15 default  if-authenticated
!

作为测试用户登录后

!
debug tacacs
terminal monitor
!

然后尝试在第二个telnet会话上使用tacacs帐户登录。