好消息,超酷的在线虚拟网络实验室上线了!点击开始实验

为获得更好的浏览效果,建议您使用 Firefox 或者 Chrome 浏览器



3.5 使用TACACS+进行telnet登录的认证

【需求】

要求用户telnet登录时输入用户名huawei和对应的口令huawei123,用户名和口令在TACACS+上验证通过后才能登录路由器。

【配置脚本】

配置脚本

#

sysname Quidway

#

hwtacacs nas-ip 192.168.1.254         /设置tacacs+的源地址/

#

hwtacacs scheme test                  /创建hwtacacs方案/

primary authentication 192.168.1.100  /配置主验证服务器地址/

primary authorization 192.168.1.100   /配置主授权服务器地址/

key authentication huawei             /配置认证密钥/

key authorization huawei              /配置授权密钥/

user-name-format without-domain       /发送账号的格式为不带域名方式/

#

radius scheme system

#

domain system

scheme hwtacacs-scheme test           /引用hwtacacs方案“test/

accounting optional                   /打开计费可选开关/

#

interface Ethernet1/0/0

ip address 192.168.1.254 255.255.255.0

#

interface NULL0

#

user-interface con 0

user-interface vty 0 4

authentication-mode scheme            /设置scheme认证/

#

return

 

 

【验证】

使用huawei/huawei123通过telnet登录系统,该账号密码在TACACS Server上验证通过后,用户才可以登录成功。

 

【提示】

1.       tacacs server上创建“huawei/huawei123”的账号口令后,可以使用该账号telnet到路由器

2.       如果配置“user-name-format without-domain”,路由器在发送账号的时候会使用huawei@system这种带域名的方式来发送,将导致认证失败

3.       要确认路由器和tacacs server上的key一致

4.       对于这种方式只需要对账号进行认证,无需进行记费。所以没有配置记费服务器的参数,并且配置了“accounting optional”来打开计费可选开关

当没有可用的计费服务器或与计费服务器通信失败时,若配置了accounting optional命令,则用户可以继续使用网络资源,否则用户将被切断。这个命令经常被用于只认证计费的情况。

5.       该配置和CISCO ACS 3.1可以正常对接,需要注意在该账号对应的group中给账号进行授权

 

X Close
X Close