分类: 系统运维
2008-05-24 19:57:31
用户登录集中鉴权
使用集中的鉴权方式对用户登录设备进行控制
部署集中化鉴权就不需要在每台设备上配置用户名密码了,改密码也变得简单了
限制特定命令的执行权限
对设备可执行命令权限进行基于用户的授权
无
服务器无法访问
防止出现TACACS+服务器故障导致所有用户都不能登录
在认证服务器出现故障的情况下使用enable密码作为备份,同时建议使用if-authenticated参数在你配置授权的时候
在特定端口禁用TACACS+鉴权
为了方便禁止在控制口使用TACACS+鉴权
记录用户行为
记录用户输入的配置命令和时间
下面是一条日志记录,很详尽吧
记录系统事件
记录系统事件
除了可以记录用户输入命令以外还提供了exec(用户开始和中止exec会话的时间记录),connection(用户发起外部连接的时间,地址,数据包多少等信息记录比如telnet ssh等)和system(系统重启,禁用AAA等系统信息)等三种系统事件的记录
设置TACACS+消息的源地址
发送TACACS+消息时只使用特定的源地址
所有本设备的记录都来自于同一地址方便对日志进行汇总和统计
服务器配置文件样本
可以使用思科免费的TACACS+服务器也可以使用商业的服务器,配置方式略
