...
| Info |
|---|
TACACS+ kann zwar auch per LANconfig oder das Konfigurations-Menü in WEBconfig eingerichtet werden, dabei wird aber nur die Authentifizierung aktiviert. Die Authorisierung sowie das Accounting können nur per Konsole oder im LCOS-Menübaum in WEBconfig aktiviert werden. Aus diesem Grund ist es sinnvoll, TACACS+ gänzlich per Konsole einzurichten. Eine bestehende Konsolen-Sitzung wird durch die Konfiguration von TACACS+ nicht beendet. Dadurch können können die Befehle einzeln gesetzt werden, ohne dass Gefahr besteht, sich vom Gerät auszusperren. |
1.1 Verbinden Sie sich per Konsole mit dem Gerät und geben den Befehl zum Hinzufügen eines TACACS+-Servers im Format add Setup/TACACS+/Server/ {Server-Address} <IP-Addresse oder DNS-Name des TACACS+-Servers> ein.
| Info |
|---|
Optional kann - sofern vorhanden - ein Backup-Server konfiguriert werden. Dazu muss ein zweiter Eintrag im Pfad Setup/TACACS+/Server/ hinterlegt werden. Der zweite Server fungiert dann als Backup. Geben Sie dazu den Befehl im Format add Setup/TACACS+/Server/ {Server-Address} <IP-Addresse oder DNS-Name des Backup-TACACS+-Servers> ein. |
1.2 Geben Sie den Befehl zum Setzen des Secret-Keys im Format set Setup/TACACS+/Shared-Secret <Secret-Key> ein. Der Secret-Key wird zur Authentifizierung des Gerätes am TACACS+-Server verwendet.
...
1.4 Geben Sie abschließend den Befehl set Setup/Config/Authentication TACACS+ ein, damit für die Authentifizierung am Gerät TACACS+ verwendet wird.
| Info | ||
|---|---|---|
| ||
Der Parameter Fallback-to-local-users steuert, ob ein Fallback auf die lokalen Benutzer erfolgt, wenn der/die TACACS+-Server nicht erreichbar sind. In der Standard-Konfiguration ist der Fallback erlaubt (allowed). Authorisation-Type Der Parameter Authorisation-Type steuert, ob jeder Konsolen-Befehl einzeln autorisiert wird (Commands) oder ob der Zugriff einmalig komplett autorisiert wird (Shell). In der Standard-Konfiguration wird jeder Konsolen-Befehl einzeln autorisiert. |
2. Geräte-Konfiguration aufrufen und bearbeiten:
...
| Info |
|---|
Die Konfiguration des Gerätes kann per LANconfig nur mit dem Benutzer root geöffnet werden (der Benutzer root verfügt über Supervisor Rechte). Auf dem TACACS+-Server muss daher der Benutzer root mit entsprechenden Berechtigungen hinterlegt werden. Wird neben der Authentifizierung auch die Authorisierung verwendet, müssen für den Benutzer root auch die Befehle readconfig und writeconfig erlaubt werden. |
...
- Administrator: Geben Sie root ein. Im Gegensatz zur regulären Anmeldung wird bei Verwendung von TACACS+ nicht implizit der Benutzer root verwendet, weshalb dieser manuell eingetragen werden muss.
- Passwort: Geben Sie das Passwort für den Benutzer root ein.
...
2.3 Geräte-Konfiguration per Konsole aufrufen und bearbeiten:
2.3.1 Geräte-Konfiguration per Konsole aufrufen und bearbeiten mit aktiver Authentifizierung:
| Info |
|---|
Wird die Konfiguration des Gerätes per Konsole mit einem normalen Benutzer aufgerufen (nicht mit dem Benutzer root), erhält der Benutzer initial lediglich Read-Only Rechte. Es können also keine Befehle ausgeführt werden. Damit der Benutzer erweiterte Berechtigungen erlangen kann, muss auf dem TACACS-Server dem Benutzer oder der Gruppe ein "enable" Passwort zugewiesen werden. |
2.3.1.1 Geben Sie auf der Konsole den TACACS-Benutzer gefolgt von dem zugehörigen Passwort ein.
2.3.1.2 Geben Sie den Befehl enable ein gefolgt von dem "enable" Passwort.
2.3.2 Geräte-Konfiguration per Konsole aufrufen und bearbeiten mit aktiver Authentifizierung und Authorisierung:
| Info |
|---|
Bei aktiver Authorisierung müssen alle Befehle, die auf dem Gerät ausgeführt werden sollen explizit im TACACS+-Server hinterlegt werden. Die erlaubten Befehle und Argumente finden Sie auf der folgenden Seite im Referenzhandbuch: |
Wird ein nicht erlaubter Befehl auf dem Gerät ausgeführt, gibt dieses die Meldung Command execution prohibited by TACACS+ aus,
3. Rechtezuweisung unter TACACS+:
...
| Inhalt nach Stichwort | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|