| PageIdMakro |
|---|
| Seiteneigenschaften |
|---|
Description:
TACACS+ (Terminal Access Control Access Control Server) ist ein Protokoll zur Authentifizierung, Autorisierung und Accounting is a protocol for the authentication, authorization and accounting (AAA) von Benutzern. Es stellt den Zugang zu Netzwerkkomponenten nur für bestimmte Nutzer sicher (Authentifizierung), regelt die Berechtigungen der Benutzer (Autorisierung) und überträgt Daten für die Protokollierung der vom Benutzer vorgenommenen Konfigurations-Änderungen (Accounting). TACACS+ kann als Alternative zu anderen AAA-Protokollen wie RADIUS verwendet werden.of users. It provides access to the network only for certain users (authentication), it regulates the permissions of those users (authorization), and it logs user interactions (accounting). TACACS+ is an alternative to other AAA protocols such as RADIUS.
This article describes how to set up TACACS+ on an access point with In diesem Artikel wird beschrieben, wie TACACS+ auf einem Access Point mit LCOS LX (LW-xxx, LX-xxxx, OW-xxx und and OX-xxxx Serien) eingerichtet wird und welche Besonderheiten bei der Anmeldung beachtet werden müssenseries) and special characteristics that have to be observed when logging on.
Requirements:
- LCOS LX ab Version as of version 6.20 Rel (download aktuelle Versionlatest version)
- LANtools ab Version as of version 10.80 RU8 RU8 (download aktuelle Versionlatest version)
- Beliebiger Any SSH -Client für den Zugriff per Konsole (z.Bclient for command-line access (e.g. PuTTY)
Procedure:
1. Konfigurationsschritte auf dem Access Point) Configuration steps on the access point:
1.1 Öffnen Sie die Konfiguration des Access Points in LANconfig und wechseln in das Menü ) Open the configuration of the access point in LANconfig and switch to the menu item Management → Admin → TACACS+ settings.
1.2 Passen Sie die folgenden Parameter an) Change the following parameters:
- Operating: Wählen Sie im Dropdown-Menü die Option Yes ausFrom the drop-down menu, select the option Yes.
- Server address: Tragen Sie die IP-Adresse des primären TACACS+-Servers ein (in diesem Beispiel Enter the IP address of the primary TACACS+ server (in this example 192.168.10.100).
- Server port: Stellen Sie sicher, dass der Port 49 hinterlegt ist. Sollten Sie den Port auf dem TACACS+-Server angepasst haben, muss dieser hier auf den gleichen Port gesetzt werden.
- Server secret: Tragen Sie den Secret Key, ein der zur Authentifizierung mit dem TACACS+-Server verwendet wird (in diesem Beispiel secretkey).
- Check that the port is set to 49. If you have changed the port on the TACACS+ server, it must be set to the same port here.
- Server secret: Enter the Server secret for authentication with the TACACS+ server (in this example secretkey).
| Info |
|---|
You can add a backup server if required. This is used when the primary TACACS+ server is unreachable |
| Info |
Bei Bedarf können Sie einen Backup-Server hinterlegen. Dieser wird verwendet, wenn der primäre TACACS+-Server nicht erreichbar ist. |
1.3 Die Konfiguration von TACACS+ auf dem Access Point ist damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.
2. Geräte-Konfiguration aufrufen und bearbeiten:
| Info |
|---|
Bei Verwendung von TACACS+ wird WEBconfig deaktiviert und kann daher nicht verwendet werden. Wird vom TACACS+-Server das Privilege-Level 15 übergeben, werden dem Benutzer "root" Rechte zugewiesen. In diesem Fall findet keine weitere Autorisierung statt. Alle anderen Privilege-Level werden ignoriert, sodass diese gleich behandelt werden. Eine Autorisierung findet hier immer statt. |
2.1 Geräte-Konfiguration per LANconfig aufrufen und bearbeiten:
) This concludes the configuration of TACACS+ on the access point. You can now write the configuration back to the device.
2) Accessing and editing the device configuration:
| Info |
|---|
When using TACACS+, WEBconfig is disabled and therefore cannot be used. If the TACACS+ server grants the privilege level 15, the user is assigned “root” permissions. In this case, no further authorization takes place. All other privilege levels are ignored, and thus treated equally. Authorization always takes place here. |
2.1) Accessing and editing the device configuration via LANconfig:
| Info |
|---|
Without any restrictions on the TACACS user, they can make any changes with LANconfig. This differs from the implementation in LCOS, where login via LANconfig is only possible with the user “root” |
| Info |
Sind keine Beschränkungen für den TACACS-Benutzer aktiv, kann dieser über LANconfig beliebige Änderungen durchführen. Dies unterscheidet sich von der Implementierung im LCOS, bei der die Anmeldung per LANconfig nur mit dem Benutzer "root" möglich ist. |
2.1.1 Geben Sie in der Anmeldemaske in LANconfig die Zugangsdaten ein) Enter your credentials in the LANconfig login mask:
- Administrator: Geben Sie den TACACS-Benutzer ein (in diesem Beispiel Enter the TACACS user (in this example TACACS-User).
- Password: Geben Sie das Passwort für den TACACS-Benutzer einEnter the password for the TACACS user.
2.1.2 Bei Verwendung von ) When using TACACS+ fragt LANconfig beim Schreiben von Konfigurations-Änderungen immer nach, ob die Zugangsdaten korrekt sind. Bestätigen Sie diese Meldung mit einem Klick auf , LANconfig always asks whether the access credentials are correct when writing configuration changes. Confirm the message by clicking on Ignore.
2.2 Geräte-Konfiguration per Konsole aufrufen und bearbeiten) Accessing and editing the device configuration from the command line:
| Info |
|---|
Sind keine Beschränkungen für den TACACS-Benutzer aktiv, kann dieser per Konsole beliebige Änderungen durchführen. Dies unterscheidet sich von der Implementierung im LCOS, bei der der Benutzer initial lediglich über "Read-Only" Berechtigungen verfügt und erweiterte Rechte über ein "enable" Passwort anfordern kannWithout any restrictions for the TACACS user, they can make any changes from the command line. This differs from the implementation in LCOS, where the user initially only has “read-only” permissions and can request extended rights via an “enable” password. |
2.2.1 Geben Sie auf der Konsole den TACACS-Benutzer gefolgt von dem zugehörigen Passwort ein) On the command line, enter the TACACS user followed by the corresponding password.
2.2.2 Wird bei einem eingeschränkten Benutzer ein nicht erlaubter Befehl ausgeführt (in diesem Beispiel ist der gesamte Setup-Baum gesperrt), wird die Meldung not allowed ausgegeben) If a restricted user executes a prohibited command (in this example the entire setup tree is locked), the message not allowed is issued.
...
| Inhalt nach Stichwort | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|