1. AX的AAA基本功能介绍

• 如果AX设备的本地管理员数据库有这个用户名和密码，则用户通过认证，获得访问系统的权限。
• 如果AX设备的本地管理员数据库有这个用户名，但密码错误，则AX设备会拒绝该访问。
• 如果AX设备的本地管理员数据库没有这个用户名，并且配置了TACACS+服务器，则AX采用这些服务器上的数据库进行认证。

• 15（admin）：允许执行所有级别的CLI命令。
• 14（config）：可以执行除了修改管理员账号的其他CLI命令。
• 1（Privileged EXEC）：可以执行特权模式或用户模式下的所有命令。
• 0（User EXEC）：可以执行用户模式下的所有命令。

• Login/Logoff 活动
• 命令

• 15（admin）：审计所有级别的CLI命令的执行情况。
• 14（config）：审计除了修改管理员账号的其他CLI命令。
• 1（Privileged EXEC）：审计特权模式或用户模式下的所有命令。
• 0（User EXEC）：审计用户模式下的所有命令。

2. 为AX配置TACACS+的AAA认证

1）  在AX上配置TACACS+服务器信息。通常情况下，建议配置第二台TACACS+作为备份服务器。

 
 


  
  
tacacs-server host 192.168.103.101 secret tacacs_secret     //设定TACACS+服务器，及共享密钥 

  
  
authentication type local tacplus           //设定认证服务器类型 
 
 

2） 配置是否需要进行授权控制。

  
  


   
   
authorization commands 15 method tacplus    //设定授权的命令行等级 
  
  

 
 


  
  
accounting exec start-stop tacplus          //设定审计管理帐号login/logoff行为 



  
  
accounting commands 15 stop-only tacplus    //设定对命令行的审计等级 
 
 

3. Cisco ACS服务器上的配置方式

  
  


   
   
Nov 30 2011 17:43:53 Error   [SYSTEM]:tacplus_read_response: authorization failed with TACACS+ server 192.168.103.101 
  
  

1）        在“Shared Profile Components”下，设置“Shell Command Authorization Set”。

2）        在“Network Configuration”中，将AX添加为“AAA Clients”。

3）        在“Group Setup”中，选择相应的组并按照下图对组设置进行编辑。

4）        将管理帐号与组进行关联。