CiscoスイッチのTACACS+設定

CiscoスイッチのTACACS+設定です。
(TACACS+サーバはACSを想定)

telnetなどでリモートアクセスする際に、ローカルのパスワードではなく、外部認証サーバを用いて、認証接続する方法です。

今回の機種はciscoで認証サーバはACSを想定しています。
TACACS+はCiscoが開発した認証プロトコルになるので、非常に相性が良いです。

・ciscoコマンド

aaa new-model
tacacs-server host [192.168.1.1]
tacacs-server host [192.168.1.1]
tacacs-server timeout [30]
tacacs-server directed-request
tacacs-server key [test]

aaa authentication login [Authname] group tacacs+ line
/// ログインする際の認証方法をtacacs+、local(telnetパス)の順に設定、 [Authname]を定義する。
aaa authorization exec [Authname] group tacacs+ none
/// ログイン時の認可方法をtacacs+、none(権限なし)の順に設定、 [Authname]に適応する。
aaa authentication login [Consolename] line
/// コンソールログイン時の認証方法をlocalに設定、[Consolename]を定義する。

line con 0
login authentication [Consolename] /// コンソールログイン認証の際に[Consolename]を使用する。

line vty 0 15
authorization exec [Authname] /// telnetログイン認可の際に[Authname]を使用する。
login authentication [Authname] 　/// telnetログイン認証の際に[Authname]を使用する。
ip tacacs source-interface [vlan10]　 /// IPアドレスを複数持っている機器の場合、ACSに問い合わせにいくIPアドレスを指定する。

・アトリビュート

「ACSイメージ」(root権限)