...
This article describes how to set up TACACS+ on an XS-51xx / XS-61xx and GS-45xx series, along with any special characteristics that have to be observed when logging on.
Requirements:
- LCOS SX ab Version as of version 5.20 RU10 (download latest version)
- Beliebiger Web-Browser für den Zugriff per WebinterfaceAny browser for access via the web interface
Procedure:
1. Konfigurationsschritte auf dem Switch) Configuration steps on the switch:
1.1 Verbinden Sie sich per Webinterface mit dem Switch und wechseln in das Menü ) Connect to the web interface of the switch and navigate to the menu Security → TACACS+ → Server Summary.
1.2 Klicken Sie auf Add, um einen Eintrag für einen Server zu erstellen) Click Add to create an entry for a server.
1.3 Passen Sie die folgenden Parameter an und klicken auf ) Modify the following parameters and then click Submit:
- Server: Tragen Sie die IP-Adresse oder den DNS-Namen des TACACS+-Servers ein (in diesem Beispiel Enter the IP address or DNS address of the TACAS+ server (in this example 192.168.1.100).
- Port: Passen Sie den Port bei Bedarf an. In diesem Beispiel wird der Standard-Port 49 verwendet Change the Port if necessary. For this example we are using the standard port 49.
- Key String: Tragen Sie den Secret Key ein. Der Secret Key wird zur Authentifizierung des Gerätes am TACACS+-Server verwendet.Enter the Secret Key. The secret key is used to authenticate the device on the TACACS+ server.
| Info |
|---|
An option is to store additional entries for TACACS+ servers. These act as a backup in case the first server is not accessible. Up to five TACACS+ servers can be entered |
| Info |
Optional können weitere Einträge für TACACS+-Server hinterlegt werden. Diese fungieren als Backup, falls der erste Server nicht erreichbar ist. Es können bis zu fünf TACACS+-Server hinterlegt werden. |
1.4 Wechseln Sie in das Menü ) Navigate to the menu System → AAA → Authentication List.
1.5 Wählen Sie das gewünschte Protokoll aus (in diesem Beispiel HTTPS mit der httpslist) und klicken auf Edit, um weitere Einstellungen vorzunehmen.) Select the required protocol (in this example HTTPS with the httpslist) and click Edit to make further settings.
| Info |
|---|
| Info |
Die folgenden Schritte gelten analog für die Protokolle The protocols HTTP (httplist) und and Telnet bzw. and SSH (networklist) are selected in a similar way. |
1.6 Wählen Sie bei ) Under Selected Methods die Option Local aus und klicken auf das Pfeil-Symbol, welches nach links zeigt, um dieses zu entfernen, choose the option Local and click the arrow icon pointing left to remove it.
1.7 Wählen Sie bei gedrückter <STRG> Taste bei Available Methods nacheinander die Optionen TACACS und Local aus und klicken auf das Pfeil-Symbol, welches nach rechts zeigt, um diese hinzuzufügen.) Under Available Methods, hold down the <CTRL> button and select the options TACACS and Local and add them by clicking the arrow icon pointing to the right.
| Info |
|---|
The methods under Selected Methods are run through in sequence. Therefore the first must be set as TACACS and then Local. If the TACACS+ server cannot be reached, authentication falls back on the local user table |
| Info |
Die Methoden bei Selected Methods werden der Reihe nach durchlaufen. Daher muss zuerst TACACS und danach Local hinterlegt werden. Ist der TACACS+-Server nicht erreichbar, erfolgt ein Fallback auf die lokale Benutzer-Tabelle. |
1.8 Klicken Sie auf Submit, um die Änderungen zu übernehmen) Click Submit to accept the changes.
1.9 Wechseln Sie in den Reiter Authorization List und wählen die Liste dfltCmdAuthList aus. Klicken Sie anschließend auf Edit, um weitere Einstellungen vorzunehmen.) Go to the Authorization List tab and select the list dfltCmdAuthList. Then click Edit to make further settings.
| Info |
|---|
Authorization can only be enabled for configuration via command line, Telnet, and SSH, but not for the web interface. If you execute steps 1.10 to 1.12 for the dfltExecAuthList as well, the login will be performed with extended rights. The extended rights therefore do not have to be requested separately using the Enable command |
| Info |
Die Autorisierung kann nur für die Konfiguration per Console. Telnet und SSH aktiviert werden, nicht aber für das Webinterface. Wenn Sie die Schritte 1.10 bis 1.12 auch für die dfltExecAuthList ausführen, erfolgt die Anmeldung mit erweiterten Rechten. Die erweiterten Rechte müssen also nicht extra über den Befehl Enable angefordert werden. |
1.10 Wählen Sie bei ) Under Selected Methods die Option None aus und klicken auf das Pfeil-Symbol, welches nach links zeigt, um dieses zu entfernen, choose the option None and click the arrow icon pointing left to remove it.
1.11 Wählen Sie bei ) Under Available Methods die Option TACACS aus und klicken auf das Pfeil-Symbol, welches nach rechts zeigt, um diese hinzuzufügen, choose the option TACAS and click the arrow icon pointing right to add it.
1.12 Klicken Sie auf Submit, um die Änderungen zu übernehmen) Click Submit to accept the changes.
1.13 Wechseln Sie in den Reiter Accounting List und stellen sicher, dass die dfltCmdList und die dfltExecList mit den im Screenshot angegebenen Einstellungen hinterlegt sind.) Change to the tab Accounting List and make sure that the dfltCmdList and dfltExecList are set as shown in the screenshot.
| Info |
|---|
If the settings differ, you can reset the lists to the default values by clicking the “power-on” symbol |
| Info |
Sollten die Einstellungen abweichen, können Sie die Listen mit einem Klick auf das "Power-On" Symbol auf die Standard-Einstellungen zurücksetzen. |
1.14 Wechseln Sie in den Reiter Accounting Selection und stellen sicher, dass bei Exec jeweils die dfltExecList und bei Commands jeweils die dfltCmdList hinterlegt ist) Change to the tab Accounting Selection and, for each entry, make sure that Exec is set to dfltExecList and that Commands is set to dfltCmdList.
1.15 Klicken Sie in der rechten oberen Ecke auf Save Configuration, damit die Konfiguration als Start-Konfiguration gespeichert wird.) Click Save Configuration in the top right-hand corner to save the configuration as the start configuration.
| Info |
|---|
The start configuration is retained even if the device is restarted or there is a power failure. As an alternative, the current configuration can be saved as the Start Configuration from the command line with the command write memory |
| Info |
Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten. Die Speicherung der aktuellen Konfiguration als Start-Konfiguration können Sie alternativ auch über die Konsole mit dem Befehl write memory vornehmen. |
1.16 Bestätigen Sie die Abfrage mit einem Klick auf ) Confirm the message by clicking OK.
1.17 Die Konfigurations-Schritte auf dem Switch sind damit abgeschlossen.
2. Geräte-Konfiguration aufrufen und bearbeiten:
) This concludes the configuration steps on the switch.
2) Accessing and editing the device configuration:
| Info |
|---|
A user can have either privilege level 1 or 15 |
| Info |
Ein Benutzer kann entweder Privilege Level 1 oder 15 haben:
|
2.1 Geräte-Konfiguration per Webinterface aufrufen und bearbeiten:
Geben Sie in der Anmeldemaske im Webinterface die Zugangsdaten ein und klicken auf Login:
|
2.1) Accessing and editing the device configuration from the web interface:
Enter your login details in the web-interface login screen and click Login:
- UsernameUsername: Geben Sie den TACACS-Benutzer ein (in diesem Beispiel : Enter the TACACS user (in this example TACACS-User).
- Password: Geben Sie das Passwort für den TACACS-Benutzer einEnter the password for the TACACS user.
2.2 Geräte-Konfiguration per Konsole aufrufen und bearbeiten:) Accessing and editing the device configuration from the command line:
2.2.1) On the command line, enter the TACACS user followed by the corresponding password22.1 Geben Sie auf der Konsole den TACACS-Benutzer gefolgt von dem zugehörigen Passwort ein.
2.2.2 Wird ein nicht erlaubter Befehl auf dem Gerät ausgeführt, gibt dieses die Meldung ) If an unauthorized command is executed on the device, it displays the message Command is not Authorized ausauthorized.
...
| Inhalt nach Stichwort | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|