cisco设备vty tacacs+认证配置

认证部分

R1(config)#aaa new-model

R1(config)#tacacs-server host 192.168.0.20 key cisco

R1(config)#aaa authentication login vty group tacacs+

R1(config)#line vty 0 15

R1(config-line)#login authentication vty

----------------------------------------------------------------------------------

授权部分

R2(config)#aaa authorization exec vty group tacacs+

R2(config)#line vty 0 15

R2(config-line)#authorization exec vty

-----------------------------------------------------------------------------------

privilege本地命令授权（如果不在level 5范围里的命令，必须用privilege先本地授权，并在ACS进行授权，才能最终生效。例如，show run不在level 5用户的命令范围内，必须用privilege exec level 5 show run）

R2(config)#privilege exec level 5 configure termi  在特权模式下允许level5的用户可以输入conf t命令

R2(config)#privilege configure all level 5 router  在全局模式下允许执行router命令下的所有子命令

----------------------------------------------------------------------------------

将level 5等级用户可以键入的命令送到ACS上去授权

R2(config)#aaa authorization commands 5 vty group tacacs+

R2(config)#line vty 0 15

R2(config-line)#authorization commands 5 vty

如果在本地设备上配置过conf t 命令授权，现在想把conf t下的所有命令也在ACS上做授权，就需要明文键入一句语句。

aaa authorization config-commands

------------------------------------------------------------------------------------

测试ACS用户认证

aaa group tacacs+ acs1 cisco new-code

-------------------------------------------------------------------------------------

exec审计配置

对exec审计

R2(config)#aaa accounting exec vty start-stop group tacacs+

因为level 5等级用户可以调用level 0 level 1等级的命令，故要全部写上

R2(config)#aaa accounting command 0 vty start-stop group tacacs+

R2(config)#aaa accounting command 1 vty start-stop group tacacs+

R2(config)#aaa accounting command 5 vty start-stop group tacacs+

在vty线路中对审计进行调用

R2(config)#line vty 0 15

R2(config-line)#accounting exec vty

R2(config-line)#accounting command 0 vty

R2(config-line)#accounting command 1 vty

R2(config-line)#accounting command 5 vty

-----------------------------------------------------------------------------------

查看ACS进程状态

show application status acs

停止ACS服务

acs stop

开始ACS进程状态

acs start

--------------------------------------------------------------------------------------

配置SSH AAA认证

http://xpvista.blog.51cto.com/420483/175410

      本文转自daniel8294 51CTO博客，原文链接：http://blog.51cto.com/acadia627/1286314，如需转载请自行联系原作者