ACS5.6实现华三交换机的TACACS认证

配置案例； 使用管理员权限实现H3C交换机接入的TACACS认证

一、登陆系统；默认用户名为acsadmin密码为default

二、服务器端：

1、创建用户（登陆网络设备的用户）

填写用户信息，带*为必填

2、设置用户登录级别

定义用户名

设置默认权限和最高权限（如果需要设置其他权限可以自己定义）

3、设置命令授权级别

4、创建设备认证策略

三、设备端配置

H3C 交换机

hwtacacs scheme 定义TACACS名称

 primary authentication“认证服务器地址”

 primary authorization“认证服务器地址”

 primary accounting“认证服务器地址”

 key authentication“认证密钥”

 key authorization“认证密钥”

 key accounting“认证密钥”

 user-name-format without-domain

#

domain TACACS名称

 authentication login hwtacacs-schemefywasu_tacacs local

 authentication super hwtacacs-schemefywasu_tacacs  local

 authorization command hwtacacs-schemefywasu_tacacs  local

 accounting command hwtacacs-schemefywasu_tacacs  local

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

domain system

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

domain defaultenable fywasu_tacacs   指定定义的TACACS域为默认认证域

user-interface vty 015

 authentication-mode scheme

 user privilege level 3

不一样。华为的一层一层套模板，思科的简单一点，以tacacs+为例：\x0d\x0aaaa new-model //启用aaa\x0d\x0aaaa authentication login TEST group tacacs+ line //配置登录认证\x0d\x0aaaa authorization exec TEST group tacacs+ none //配置认证exec\x0d\x0aaaa authorization commands 1 TEST group tacacs+ none //配置授权命令为1级\x0d\x0aaaa authorization commands 15 TEST group tacacs+ none //配置授权命令为15级 \x0d\x0aaaa accounting exec TELNET start-stop group tacacs+ //配置授权exec\x0d\x0aaaa accounting commands 1 TELNET start-stop group tacacs+ //配置命令审计为1级\x0d\x0aaaa accounting commands 15 TELNET start-stop group tacacs+ //配置命令审计为15级\x0d\x0aaaa accounting network TELNET start-stop group tacacs+ //审计网络\x0d\x0aaaa accounting connection TELNET start-stop group tacacs+ //审计连接\x0d\x0a \x0d\x0atacacs-server host 1.1.1.1 //指向aaa服务器\x0d\x0atacacs-server key cisco //配置共享密钥\x0d\x0a \x0d\x0aline vty 0 4\x0d\x0a authorization commands 1 TEST\x0d\x0a authorization commands 15 TEST\x0d\x0a authorization exec TEST\x0d\x0a accounting connection TEST\x0d\x0a accounting commands 1 TEST\x0d\x0a accounting commands 15 TEST\x0d\x0a accounting exec TEST\x0d\x0a login authentication TEST\x0d\x0a//在远程line下调用AAA组，注意前面和后面的TEST都是名称\x0d\x0a \x0d\x0aOK 了，telnet测试就可以了。\x0d\x0aAAA服务器上的配置就不多说了，百度一下ACS配置，很多。

---