tacacs認證

A. 關於思科的AAA 認證

aaa authentication login test tacacs+ 啟用AAA登陸源認證，test為列表名，TACACS+為認證方法aaa authentication login default group tacacs+ 配置默認的登陸訪問。aaa authentication login 配置一個或多個認證方法列表。group tacacs+ 的作用是指示交換機使用一個全部為TACACS+伺服器的列表來執行認證。AAA支持5種授權方法：1、TACACS+ 伺服器/客戶端模式的方法2、RADIUS 伺服器/客戶端模式的方法3、If-authenticated 成功為該用戶授權4、None 為相應介面禁用授權功能5、Local 用戶名和密碼的本地資料庫

B. ASA 使用ACS TACACS+ 進行用戶的認證授權疑問

你要在來shell(exec) Privilege level :15 才是定義了級別。要自到shell command authorization sets 裡面的命令集添加EXIT命令在邊邊的Permit unmatched args 要打勾,之後應用到組里去.

C. TACACS+的介紹

TACACS+(Terminal Access Controller Access Control System)終端訪問控制器訪問控制系統。與我們IDsentrie的Radius協議相近。不過TACACS+用的是TCP協議，Radius用的是UDP,不知回道各有什麼優答點和缺點呢。它們的重要作用就是3A。 所謂3A, 即Authentication認證，Authorization授權， Accounting計費。 在測試Radius時，我對authentication已經比較了解，但是對authorization還比較模糊，這次測試tacacs+,使我對authorization也開始了解了。授權簡單的說就是給用戶開放某些資源。

D. 如何在 TACACS+ 伺服器的撥號介面上應用訪問列表

目前2811設備所在網路A通過雙連接至網路B，Tacacs server連接在網路B中，
鏈路1：-----ppp---------------------7200-------------網路B-----Tacacs server
鏈路2：2811-----ethetnet----3550-----7500--------------網路B-----Tacacs server
正常情況下2811，3550，7200，7500均可以通過AAA認證，當2811------7200之間的ppp鏈路斷了以後，3550，7200，7500仍然可以通過認證，但是2811不能取得認證，通過debug tacacs events和telnet <tacacs+> 49 發現2811不能到達Tacacs server 的49埠，檢查在2811----3550之間沒有acl限制，且在2811上使用擴展ping命令至Tacacs server可以ping通，
問題：為什麼會出現情況？可能原因會在什麼地方?望高人指點迷津。謝謝

debug tacacs events顯示如下：（註：2台ACS，10.1.253.1為主，10.1.253.2為備）
Jul 9 04:45:00.326: TAC+: Opening TCP/IP to 10.1.253.1/49 timeout=5
Jul 9 04:45:05.326: TAC+: TCP/IP open to 10.1.253.1/49 failed -- Connection timed out; remote host not responding
Jul 9 04:45:05.326: TAC+: Opening TCP/IP to 10.1.253.2/49 timeout=5
router_2811#
Jul 9 04:45:10.326: TAC+: TCP/IP open to 10.1.253.2/49 failed -- Connection timed out; remote host not responding
通過telnet檢測tacacs的49埠發現：
router_2811#telnet 10.1.253.1 tacacs
...
% Connection timed out; remote host not responding
正常可以認證的情況下通過telnet檢查結果如下：
router_2811#telnet 10.1.253.1 tacacs
Trying 10.1.253.1, 49 ... Open
qu
qu
[Connection to 10.1.253.1 closed by foreign host]
router_2811#

E. cisco交換機中的AAA認證指令含義

aaa authentication ppp default group tacacs+ local 用於協議的認證名字是 default（也就是默認），使用的是本地用戶認證 和 用戶組 （名字）tacacs aaa authentication ppp no_tacacs local 用於ppp協議的認證名字是 no_tacacs ，使用的是本地用戶認證 aaa authorization exec no_tacacs local 用於exec的認證名字是 no_tacacs ，使用的是本地用戶認證 aaa authorization network no_tacacs local 用於network的認證名字是 no_tacacs ，使用的是本地用戶認證 aaa authorization network For_dialer_in group tacacs+ local 用於network的認證名字是 For_dialer_in （也就是默認），使用的是本地用戶認證 和 用戶組 （名字）tacacs aaa accounting exec default start-stop group tacacs+ 用於exec的認證名字是 default ，使用的是本地用戶組認證（組名：tacacs+） 其實你可以自己在敲命令的時候，在每一個命令下都打上？號！查看一下每一個命令單詞的提示！這樣會好理解的！ 至於AAA，多數是結合其他命令一起用的！ 例如配置好了PPP認證的命令後或者配置好telnet後！有配置的AAA的，那系統就會去你設置的aaa里查找指定的認證列表名的自定策略！

F. TACACS+的協議報文類型

TACACS+共有7種類型的消息：
認證：
1、版Authentication_START
2、Authentication_CONTIUNE
3、Authentication_REPLY
授權權：
4、Authorization_REQUEST
5、Authorization_RESPONSE
計費：
6、Accounting_REQUEST
7、Accounting_REPLY

G. 路由器cisco，啟用進入特權模式AAA認證後進不去！

呵呵，這個問題是這樣的
aaa authentication enable default enable的意思你要先搞清楚，他是說特權模式是採用特權密碼來認證，你現在如果有特權密碼，那麼就可以輸入進去

你現在應該是沒有設置特權密碼，而你那條命令就是必須要用特權密碼來認證，但是你有沒有所以就會報這個錯誤

我給你個方法來驗證下，你現在同樣敲這些命令，然後設置好特權密碼在退出去試下，進來後再把特權密碼刪除，在重新登錄，就會報你的那個錯誤

r1(config)#aaa new-model
r1(config)#aaa authentication enable default enable
r1(config)#enable password 123
r1(config)#exit
r1#disa
*Mar 1 00:01:04.391: %SYS-5-CONFIG_I: Configured from console by console
r1>en
Password:
r1#conf t
r1(config)#no enable password
r1(config)#exit
r1#disa
r1>
*Mar 1 00:01:19.271: %SYS-5-CONFIG_I: Configured from console by console
r1>en
% Error in authentication.
你看下我做了一個演示給你，就是你沒有設置特權密碼的原因
如果還有什麼不明白的可以給我發郵件

H. radius和tacacs+之間的區別

RADIUS(Remote Authentication Dial In User Service)是一種在網路接入伺服器（Network Access
Server）和共享認證伺服器間傳輸認證、授權和配置信息的協議。 RADIUS 使用 UDP 作為其傳輸協議。此外 RADIUS
也負責傳送網路接入伺服器和共享計費伺服器間的計費信息。

RADIUS是分布式客戶機/伺服器系統，它保護網路不受未授權訪問的干擾。在Cisco實現中，Radius客戶機運行於路由器上，並向中央RADIUS伺服器發出認證請求，這里的中央伺服器包含了所有的用戶認證和網路服務訪問信息。Cisco利用其AAA安全模式支持RADIUS，RADIUS也可以用於其他AAA安全協議，比如，TACACS,KERBEROS或本地用戶名查找，所有Cisco平台都支持RADIUS。

RADIUS 主要特徵如下：

客戶 / 伺服器模式：網路接入伺服器作為 RADIUS 的客戶端，負責將用戶信息傳遞給指定的 RADIUS
伺服器，然後根據返回信息進行操作。 RADIUS 伺服器負責接收用戶連接請求，認證用戶後，返回所有必要的配置信息以便客戶端為用戶提供服務。 RADIUS
伺服器可以作為其他 RADIUS 伺服器或認證伺服器的代理。

網路安全：客戶端與 RADIUS
記帳伺服器之間的通信是通過共享密鑰的使用來鑒別的，這個共享密鑰不會通過網路傳送。此外，任何用戶口令在客戶機和 RADIUS
伺服器間發送時都需要進行加密過程，以避免有人通過嗅探非安全網路可得到用戶密碼。

靈活認證機制： RADIUS 伺服器支持多種用戶認證方法。當用戶提供了用戶名和原始口令後， RADIUS
伺服器可支持 PPP PAP 或 CHAP, UNIX 登錄和其它認證機制。

協議的可擴充性：所有的事務都是由不同長度的「屬性－長度－值」的三元組構成的。新的屬性值的加入不會影響到原有協議的執行。
RADIUS
通信的例子：
The following example assumes login authentication, exec
authorization, and start−stop exec accounting is implemented with RADIUS when a
user Telnets to a router, performs a command, and exits the router (other
management services are not available)

TACACS & TACACS+：Terminal Access Controller Access Control
System終端訪問控制器訪問控制系統。通過一個或多個中心伺服器為路由器、網路訪問控制器以及其它網路處理設備提供了訪問控制服務。TACACS
支持獨立的認證（Authentication）、授權（Authorization）和計費（Accounting）功能。
TACACS+應用傳輸控制協議（TCP），而RADIUS使用用戶數據報協議（UDP）。

TACACS+ Traffic Example：
The following example assumes
login authentication, exec authorization, command authorization, start−stopexec
accounting, and command accounting is implemented with TACACS+ when a user
Telnets to a router,performs a command, and exits the router

I. 華為數通資料裡面 TACACS 是什麼意思啊

TACACS-Terminal Access Controller Access-Control System .
TACACS（終端訪問控制器訪問控制系統）允許遠程訪問伺服器傳送用戶登陸密碼給認證伺服器，專認證伺服器決屬定該用戶是否可以登陸系統。
華為數通的設備配置的時候，為了保證安全性，就需要給這種設備配置一個TACACS伺服器，通過這個伺服器來驗證設備訪問者的身份，以保證設備網路的安全性。在交換機路由器等設備上通常會配置tacacs伺服器的地址和驗證密碼就可以了。TACACS伺服器上面會保存一些允許訪問用戶的名字和密碼。

J. 思科路由器tacacs認證客戶端怎麼配置

taca host [ip]
tacacs key [pw]
aaa authentication login default group tacacs+
aaa autha
還有一個aaa 大概就這樣