TACACS+ -cisco路由器-到本地数据库的故障转移，而不是按它应该的方式操作

Question

我已经使用了TACACS+，现在我正在尝试设置它，以便在TACACS+服务器不可用时在本地进行故障转移。

我的目标是它首先检查TACACS服务器，然后是故障转移，如果它是不可接触的。

我的理解是，下面的配置行将实现这一目标，在"group tacacs+“命令之后使用"local”一词来实现这一点：

aaa身份验证登录vtymethod组tacacs+本地

测试:我禁用服务器上的TACACS服务，并尝试与本地用户进行身份验证，并被告知用户不在组中(就像TACACS拒绝它一样)。

我可以使用以下命令行来实现上面所述的最终目标：

aaa身份验证登录vtymethod本地组tacacs+

所以它首先检查用户是否在本地可用.一直以来，我的理解是，将其放在最后将允许其故障转移，并希望TACACS首先被检查.

关于我哪里出问题有什么建议吗？

Answer 1

实际上，我已经在用各种思科交换机和路由器做这件事了。以下是IOS信托公司的相关代码行。

aaa new-model
aaa authentication login default group tacacs+ local
tacacs-server host **redacted**
tacacs-server directed-request
tacacs-server **redacted**

如您所见，是的，您在"tacacs+“后面加上"local”。

至于故障转移所需的时间，当您试图验证TACACS源时，路由器必须至少15秒(超时5秒，以及3次尝试与服务器联系)才能到达TACACS源，然后身份验证源才会更改为本地。https://supportforums.cisco.com/discussion/11350726/two-acs-server-failover

Answer 2

最后的本地关键字对故障转移是正确的。

问题是，故障转移不是瞬时的，最多需要30秒才能发生。

很明显，在测试时，我等待的时间不足以让它意识到TACACS服务器是不可用的(虽然我认为这个机制更多的是检查tacacs，但它失败了，它失败了)

Answer 3

aaa新型

aaa身份验证登录{方法}组{服务器}{回退}

是的，使用本地数据库应该是“本地”。也许tac +开发指南可以回答您的问题。

配置用户和组TACACS+

每个用户可能属于一个组(但只属于一个组)。每一组可能依次属于另一组，无穷无尽地等等。用户和组声明如下。在这里，我们宣布两个用户“弗雷德”和“百合”，和两个组，“管理”和“工作人员”。

Fred是"admin“组的成员，而"admin”组则是“员工”组的成员。莉莉不是任何团体的成员。

user =莉莉{#用户百合不是任何组#的成员，而且还没有配置任何其他组件}

user = fred {# fred是组管理成员= admin }的成员。

group = admin {# group admin是组工作人员的成员= staff }

group = staff {# group staff不是任何组}递归和组的成员，当守护进程查找值(例如密码)时，它将首先查看用户是否有自己的密码。如果不是，它将查看她是否属于某个组，如果属于，则该组是否定义了密码。否则，此过程将通过组的层次结构继续进行(一个组可以是另一个组的成员)，直到找到一个值，或者没有更多的组。此递归过程用于查找过期日期、pap、arap和chap“机密”，以及授权参数(请参阅稍后)。

因此，一种典型的配置技术是将用户分组，并在组声明中指定尽可能多的组范围特征。然后，可以根据需要使用单个用户声明来覆盖选定用户的组设置。

http://www.stben.net/tacacs/users_guide.html