用acs tacacs＋实现登录路由器交换机

acs3.0（tacacs＋）----vlan1---3550----vlan2----pc1
acs的配置：
user setup： 建立一个用户3550，属于default，密码1234
group setup： 编辑default group属性，在shell command author set中选中 assign a shell command author set为已经编辑好的 3550command
shared profile： 选中shell commands author sets， 然后add new entry 名为3550command 如下添加参数
configure
permit terminal
在左边的方框内添加命令，在右边的方框内添加参数（可以选择 permit unmatch args决定策略）。　注意命令和参数不能简写。　可以添加多条命令，则3550用户就可以享有响应的权限。
network configure： 指定AAA client参数－－》3550 192.168.1.1 key=123 tacacs+cisco IOS； 指定server 参数： 主机名 192.168.1.100 key＝123 认证类型＝tacacs＋
3550emi交换机上配置
aaa new_model
aaa authen login default group tacacs+
aaa author commands 15 default group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
tacacs+_server host 192.168.1.100 key 123
基本认证功能已经实现
可以使用0－15级别用户实现授权
记帐功能可以使用ACS中 report and activity－－》tacacs＋ administation active.csv可以看到用户在3550emi上输入的所有命令。
在pc和acs server上均可以登陆3550emi，操作一样。 以上配置 acs＋router/swith

【相关文章】

• TACACS +和RADIUS比较