Cisco TACACS身份验证配置

Question

我正在继承一个DoD网络(与互联网完全分离)。我看到了一些我认为不需要的东西，但我从来没有使用过TACACS，只是Radius。

该开关被配置为通过TACACS对活动目录进行身份验证，这样我就可以使用我的常规用户名和密码登录。在我以前的网络上，我们有两条行可以进行Radius身份验证和授权，而且它工作得很好。下面是配置的顶部

aaa new-model

aaa group server tacacs+ TACACS-GROUP
 server-private x.x.x.x key 7 ****
 server-private x.x.x.x key 7  *****
 ip tacacs source-interface Loopback0
!
aaa authentication login default group TACACS-GROUP local
aaa authentication login CON group TACACS-GROUP local
aaa authentication login VTY group TACACS-GROUP local
aaa authorization console
aaa authentication login console group TACACS-GROUP local
aaa authorization exec default group TACACS-GROUP local
aaa authorization commands 1 default group TACACS-GROUP if-authenticated
aaa authorization commands 15 default group TACACS-GROUP if-authenticated
aaa accounting exec default start-stop group TACACS-GROUP
aaa accounting commands 15 default start-stop group TACACS-GROUP

然后骗子和维蒂吐露心声。

line con 0
 logging synchronous
 login authentication CON
 transport output ssh
 stopbits 1
line vty 0 4
 access-class VTY_IN in vrf-also
 privilege level 15
 logging synchronous
 login authentication VTY
 transport input ssh
 transport output ssh
line vty 5 15
 access-class VTY_IN in vrf-also
 logging synchronous
 login authentication VTY
 transport input ssh
 transport output ssh

我在考虑一个默认组，而不是默认组、CON组和VTY组。另外，我想我可以去掉CON和VTY中的登录身份验证行。另外，我可以去掉传输输出SSH。

我是不是遗漏了什么？很多很老的网络家伙建了这个，所以我想有人认为你需要它，或者你确实需要它，而他们只是不断地把这些东西放进去，因为“这是我们一直在做的”。

在端，有两个安全组。networkRO和networkRW，希望它们是自我解释的。

Answer 1

您发布的配置非常常见，我认为它的开发尽可能灵活，为VTY和控制台访问提供了不同的方法，并为常规用户和特权用户提供了单独的命令授权。

所以是的，你可以简化它。您可以删除CON和VTY方法，只需使用默认方法(因为它们都是相同的)。

transport ssh命令做得不多，如果假设您在任何地方都启用了ssh，那么就没有必要了。但是一些安全审计可能需要它，所以要小心删除它。实际上，现在我来考虑一下，可能有些STIGs需要定义TACACS访问方法，所以在删除它之前再检查一下。

我想知道删除两到三条配置行是否会对你的生活产生很大影响。它不会改变设备的行为，这是一个非常温和的简化。您还可能无意中失败了一些安全审核。在DoD系统上，这可能很重要。