...
1.1 Verbinden Sie sich per Webinterface mit dem Switch und wechseln in das Menü Security → TACACS+ → Server Summary.
1.2 Klicken Sie auf Add, um einen Eintrag für einen Server zu erstellen.
1.3 Passen Sie die folgenden Parameter an und klicken auf Submit:
- Server: Tragen Sie die IP-Adresse oder den DNS-Namen des TACACS+-Servers ein (in diesem Beispiel 192.168.1.100).
- Port: Passen Sie den Port bei Bedarf an. In diesem Beispiel wird der Standard-Port 49 verwendet.
- Key String: Tragen Sie den Secret Key ein. Der Secret Key wird zur Authentifizierung des Gerätes am TACACS+-Server verwendet.
| Info |
|---|
Optional können weitere Einträge für TACACS+-Server hinterlegt werden. Diese fungieren als Backup, falls der erste Server nicht erreichbar ist. Es können bis zu fünf TACACS+-Server hinterlegt werden. |
1.4 Wechseln Sie in das Menü System → AAA → Authentication List.
1.5 Wählen Sie das gewünschte Protokoll aus (in diesem Beispiel HTTPS mit der httpslist) und klicken auf Edit, um weitere Einstellungen vorzunehmen.
| Info |
|---|
Die folgenden Schritte gelten analog für die Protokolle HTTP (httplist) und Telnet bzw. SSH (networklist). |
1.6 Wählen Sie bei Selected Methods die Option Local aus und klicken auf das Pfeil-Symbol, welches nach links zeigt, um dieses zu entfernen.
1.7 Wählen Sie bei gedrückter <STRG> Taste bei Available Methods nacheinander die Optionen TACACS und Local aus und klicken auf das Pfeil-Symbol, welches nach rechts zeigt, um diese hinzuzufügen.
| Info |
|---|
Die Methoden bei Selected Methods werden der Reihe nach durchlaufen. Daher muss zuerst TACACS und danach Local hinterlegt werden. Ist der TACACS+-Server nicht erreichbar, erfolgt ein Fallback auf die lokale Benutzer-Tabelle. |
1.8 Klicken Sie auf Submit, um die Änderungen zu übernehmen.
1.9 Wechseln Sie in den Reiter Authorization List und wählen die Liste dfltCmdAuthList aus. Klicken Sie anschließend auf Edit, um weitere Einstellungen vorzunehmen.
| Info |
|---|
Die Autorisierung kann nur für die Konfiguration per Console. Telnet und SSH aktiviert werden, nicht aber für das Webinterface. Wenn Sie die Schritte 1.10 bis 1.12 auch für die dfltExecAuthList ausführen, erfolgt die Anmeldung mit erweiterten Rechten. Die erweiterten Rechte müssen also nicht extra über den Befehl Enable angefordert werden. |
1.10 Wählen Sie bei Selected Methods die Option None aus und klicken auf das Pfeil-Symbol, welches nach links zeigt, um dieses zu entfernen.
1.11 Wählen Sie bei Sie bei Available Methods die Option TACACS aus und klicken auf das Pfeil-Symbol, welches nach rechts zeigt, um diese hinzuzufügen.
1.12 Klicken Sie auf Submit, um die Änderungen zu übernehmen.
1.7 Wählen Sie unter Accounting Method Configuration für das gewünschte Protokoll unter Method die Option tacacs aus, um das TACACS-Accounting zu aktivieren.
| Info |
|---|
Das Accounting kann nur für die Konfiguration per Console. Telnet und SSH aktiviert werden, nicht aber für das Webinterface. |
13 Wechseln Sie in den Reiter Accounting List und stellen sicher, dass die dfltCmdList und die dfltExecList mit den im Screenshot angegebenen Einstellungen hinterlegt sind.
| Info |
|---|
Sollten die Einstellungen abweichen, können Sie die Listen mit einem Klick auf das "Power-On" Symbol auf die Standard-Einstellungen zurücksetzen. |
1.14 Wechseln Sie in den Reiter Accounting Selection und stellen sicher, dass bei Exec jeweils die dfltExecList und bei Commands jeweils die dfltCmdList hinterlegt ist.
1.15 Klicken 1.9 Klicken Sie in der rechten oberen Ecke auf das rote Disketten-Symbol, um Save Configuration, damit die Konfiguration als Start-Konfiguration zu speichern gespeichert wird.
| Info |
|---|
Die Die Start-Konfiguration bleibt bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten. Die Speicherung der aktuellen Konfiguration als Start-Konfiguration können Sie alternativ auch über die Konsole mit dem Befehl write memory vornehmen. |
1.16 Bestätigen Sie die Abfrage mit einem Klick auf OK.
1.17 Die Konfigurations-Schritte auf dem Switch sind damit abgeschlossen.
2. Geräte-Konfiguration aufrufen und bearbeiten:
...
- Username: Geben Sie den TACACS-Benutzer ein (in diesem Beispiel TACACS-User).
- Password: Geben Sie das Passwort für den TACACS-Benutzer ein.
2.2 Geräte-Konfiguration per Konsole aufrufen und bearbeiten:
22.1 Geben Sie auf der Konsole den TACACS-Benutzer gefolgt von dem zugehörigen Passwort ein.
2.2.2 Wird ein nicht erlaubter Befehl auf dem Gerät ausgeführt, gibt dieses die Meldung Command is not Authorized aus.
...
| Inhalt nach Stichwort | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|