...
| Info |
|---|
TACACS+ kann zwar auch per LANconfig oder das Konfigurations-Menü in WEBconfig eingerichtet werden, dabei wird aber nur die Authentifizierung aktiviert. Die Authorisierung sowie das Accounting können nur per Konsole oder im LCOS-Menübaum in WEBconfig aktiviert werden. Aus diesem Grund ist es sinnvoll, TACACS+ gänzlich per Konsole einzurichten. Eine bestehende Konsolen-Sitzung wird durch die Konfiguration von TACACS+ nicht beendet. Dadurch können können die Befehle einzeln gesetzt werden, ohne dass Gefahr besteht, sich vom Gerät auszusperren. |
1.1 Verbinden Sie sich per Konsole mit dem Gerät und geben den Befehl zum Hinzufügen eines TACACS+-Servers im Format add Setup/TACACS+/Server/ {Server-Address} <IP-Addresse oder DNS-Name des TACACS+-Servers> ein.
| Info |
|---|
Optional kann - sofern vorhanden - ein Backup-Server konfiguriert werden. Dazu muss ein zweiter Eintrag im Pfad Setup/TACACS+/Server/ hinterlegt werden. Der zweite Server fungiert dann als Backup. Geben Sie dazu den Befehl im Format add Setup/TACACS+/Server/ {Server-Address} <IP-Addresse oder DNS-Name des Backup-TACACS+-Servers> ein. |
1.2 Geben Sie den Befehl zum Setzen des Secret-Keys im Format set Setup/TACACS+/Shared-Secret <Secret-Key> ein. Der Secret-Key wird zur Authentifizierung des Gerätes am TACACS+-Server verwendet.
...
1.4 Geben Sie abschließend den Befehl set Setup/Config/Authentication TACACS+ ein, damit für die Authentifizierung am Gerät TACACS+ verwendet wird.
| Info | ||
|---|---|---|
| ||
Der Parameter Fallback-to-local-users steuert, ob ein Fallback auf die lokalen Benutzer erfolgt, wenn der/die TACACS+-Server nicht erreichbar sind. In der Standard-Konfiguration ist der Fallback erlaubt (allowed). Authorisation-Type Der Parameter Authorisation-Type steuert, ob jeder Konsolen-Befehl einzeln autorisiert wird (Commands) oder ob der Zugriff einmalig komplett autorisiert wird (Shell). In der Standard-Konfiguration wird jeder Konsolen-Befehl einzeln autorisiert. |
2. Geräte-Konfiguration aufrufen und bearbeiten:
...
2.3 Geräte-Konfiguration per Konsole aufrufen und bearbeiten:
2.3.1 Geräte-Konfiguration per Konsole aufrufen und bearbeiten mit aktiver Authentifizierung:
| Info |
|---|
Wird die Konfiguration des Gerätes per Konsole mit einem normalen Benutzer aufgerufen (nicht mit dem Benutzer root), erhält der Benutzer initial lediglich Read-Only Rechte. Es können also keine Befehle ausgeführt werden. Damit der Benutzer erweiterte Berechtigungen erlangen kann, muss auf dem TACACS-Server dem Benutzer oder der Gruppe ein "enable" Passwort zugewiesen werden. |
2.3.1.1 Geben Sie auf der Konsole den TACACS-Benutzer gefolgt von dem zugehörigen Passwort ein.
2.3.1.2 Geben Sie den Befehl enable ein gefolgt von dem "enable" Passwort.
2.3.2 Geräte-Konfiguration per Konsole aufrufen und bearbeiten mit aktiver Authentifizierung und Authorisierung:
| Info |
|---|
Bei aktiver Authorisierung müssen alle Befehle, die auf dem Gerät ausgeführt werden sollen explizit im TACACS+-Server hinterlegt werden. Die erlaubten Befehle und Argumente finden Sie auf der folgenden Seite im Referenzhandbuch: |
Wird ein nicht erlaubter Befehl auf dem Gerät ausgeführt, gibt dieses die Meldung Command execution prohibited by TACACS+ aus,
3. Rechtezuweisung unter TACACS+:
...
| Inhalt nach Stichwort | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|