tacacs认证

A. 关于思科的AAA 认证

aaa authentication login test tacacs+ 启用AAA登陆源认证，test为列表名，TACACS+为认证方法aaa authentication login default group tacacs+ 配置默认的登陆访问。aaa authentication login 配置一个或多个认证方法列表。group tacacs+ 的作用是指示交换机使用一个全部为TACACS+服务器的列表来执行认证。AAA支持5种授权方法：1、TACACS+ 服务器/客户端模式的方法2、RADIUS 服务器/客户端模式的方法3、If-authenticated 成功为该用户授权4、None 为相应接口禁用授权功能5、Local 用户名和密码的本地数据库

B. ASA 使用ACS TACACS+ 进行用户的认证授权疑问

你要在来shell(exec) Privilege level :15 才是定义了级别。要自到shell command authorization sets 里面的命令集添加EXIT命令在边边的Permit unmatched args 要打勾,之后应用到组里去.

C. TACACS+的介绍

TACACS+(Terminal Access Controller Access Control System)终端访问控制器访问控制系统。与我们IDsentrie的Radius协议相近。不过TACACS+用的是TCP协议，Radius用的是UDP,不知回道各有什么优答点和缺点呢。它们的重要作用就是3A。 所谓3A, 即Authentication认证，Authorization授权， Accounting计费。 在测试Radius时，我对authentication已经比较了解，但是对authorization还比较模糊，这次测试tacacs+,使我对authorization也开始了解了。授权简单的说就是给用户开放某些资源。

D. 如何在 TACACS+ 服务器的拨号接口上应用访问列表

目前2811设备所在网络A通过双连接至网络B，Tacacs server连接在网络B中，
链路1：-----ppp---------------------7200-------------网络B-----Tacacs server
链路2：2811-----ethetnet----3550-----7500--------------网络B-----Tacacs server
正常情况下2811，3550，7200，7500均可以通过AAA认证，当2811------7200之间的ppp链路断了以后，3550，7200，7500仍然可以通过认证，但是2811不能取得认证，通过debug tacacs events和telnet <tacacs+> 49 发现2811不能到达Tacacs server 的49端口，检查在2811----3550之间没有acl限制，且在2811上使用扩展ping命令至Tacacs server可以ping通，
问题：为什么会出现情况？可能原因会在什么地方?望高人指点迷津。谢谢

debug tacacs events显示如下：（注：2台ACS，10.1.253.1为主，10.1.253.2为备）
Jul 9 04:45:00.326: TAC+: Opening TCP/IP to 10.1.253.1/49 timeout=5
Jul 9 04:45:05.326: TAC+: TCP/IP open to 10.1.253.1/49 failed -- Connection timed out; remote host not responding
Jul 9 04:45:05.326: TAC+: Opening TCP/IP to 10.1.253.2/49 timeout=5
router_2811#
Jul 9 04:45:10.326: TAC+: TCP/IP open to 10.1.253.2/49 failed -- Connection timed out; remote host not responding
通过telnet检测tacacs的49端口发现：
router_2811#telnet 10.1.253.1 tacacs
...
% Connection timed out; remote host not responding
正常可以认证的情况下通过telnet检查结果如下：
router_2811#telnet 10.1.253.1 tacacs
Trying 10.1.253.1, 49 ... Open
qu
qu
[Connection to 10.1.253.1 closed by foreign host]
router_2811#

E. cisco交换机中的AAA认证指令含义

aaa authentication ppp default group tacacs+ local 用于协议的认证名字是 default（也就是默认），使用的是本地用户认证 和 用户组 （名字）tacacs aaa authentication ppp no_tacacs local 用于ppp协议的认证名字是 no_tacacs ，使用的是本地用户认证 aaa authorization exec no_tacacs local 用于exec的认证名字是 no_tacacs ，使用的是本地用户认证 aaa authorization network no_tacacs local 用于network的认证名字是 no_tacacs ，使用的是本地用户认证 aaa authorization network For_dialer_in group tacacs+ local 用于network的认证名字是 For_dialer_in （也就是默认），使用的是本地用户认证 和 用户组 （名字）tacacs aaa accounting exec default start-stop group tacacs+ 用于exec的认证名字是 default ，使用的是本地用户组认证（组名：tacacs+） 其实你可以自己在敲命令的时候，在每一个命令下都打上？号！查看一下每一个命令单词的提示！这样会好理解的！ 至于AAA，多数是结合其他命令一起用的！ 例如配置好了PPP认证的命令后或者配置好telnet后！有配置的AAA的，那系统就会去你设置的aaa里查找指定的认证列表名的自定策略！

F. TACACS+的协议报文类型

TACACS+共有7种类型的消息：
认证：
1、版Authentication_START
2、Authentication_CONTIUNE
3、Authentication_REPLY
授权权：
4、Authorization_REQUEST
5、Authorization_RESPONSE
计费：
6、Accounting_REQUEST
7、Accounting_REPLY

G. 路由器cisco，启用进入特权模式AAA认证后进不去！

呵呵，这个问题是这样的
aaa authentication enable default enable的意思你要先搞清楚，他是说特权模式是采用特权密码来认证，你现在如果有特权密码，那么就可以输入进去

你现在应该是没有设置特权密码，而你那条命令就是必须要用特权密码来认证，但是你有没有所以就会报这个错误

我给你个方法来验证下，你现在同样敲这些命令，然后设置好特权密码在退出去试下，进来后再把特权密码删除，在重新登录，就会报你的那个错误

r1(config)#aaa new-model
r1(config)#aaa authentication enable default enable
r1(config)#enable password 123
r1(config)#exit
r1#disa
*Mar 1 00:01:04.391: %SYS-5-CONFIG_I: Configured from console by console
r1>en
Password:
r1#conf t
r1(config)#no enable password
r1(config)#exit
r1#disa
r1>
*Mar 1 00:01:19.271: %SYS-5-CONFIG_I: Configured from console by console
r1>en
% Error in authentication.
你看下我做了一个演示给你，就是你没有设置特权密码的原因
如果还有什么不明白的可以给我发邮件

H. radius和tacacs+之间的区别

RADIUS(Remote Authentication Dial In User Service)是一种在网络接入服务器（Network Access
Server）和共享认证服务器间传输认证、授权和配置信息的协议。 RADIUS 使用 UDP 作为其传输协议。此外 RADIUS
也负责传送网络接入服务器和共享计费服务器间的计费信息。

RADIUS是分布式客户机/服务器系统，它保护网络不受未授权访问的干扰。在Cisco实现中，Radius客户机运行于路由器上，并向中央RADIUS服务器发出认证请求，这里的中央服务器包含了所有的用户认证和网络服务访问信息。Cisco利用其AAA安全模式支持RADIUS，RADIUS也可以用于其他AAA安全协议，比如，TACACS,KERBEROS或本地用户名查找，所有Cisco平台都支持RADIUS。

RADIUS 主要特征如下：

客户 / 服务器模式：网络接入服务器作为 RADIUS 的客户端，负责将用户信息传递给指定的 RADIUS
服务器，然后根据返回信息进行操作。 RADIUS 服务器负责接收用户连接请求，认证用户后，返回所有必要的配置信息以便客户端为用户提供服务。 RADIUS
服务器可以作为其他 RADIUS 服务器或认证服务器的代理。

网络安全：客户端与 RADIUS
记帐服务器之间的通信是通过共享密钥的使用来鉴别的，这个共享密钥不会通过网络传送。此外，任何用户口令在客户机和 RADIUS
服务器间发送时都需要进行加密过程，以避免有人通过嗅探非安全网络可得到用户密码。

灵活认证机制： RADIUS 服务器支持多种用户认证方法。当用户提供了用户名和原始口令后， RADIUS
服务器可支持 PPP PAP 或 CHAP, UNIX 登录和其它认证机制。

协议的可扩充性：所有的事务都是由不同长度的“属性－长度－值”的三元组构成的。新的属性值的加入不会影响到原有协议的执行。
RADIUS
通信的例子：
The following example assumes login authentication, exec
authorization, and start−stop exec accounting is implemented with RADIUS when a
user Telnets to a router, performs a command, and exits the router (other
management services are not available)

TACACS & TACACS+：Terminal Access Controller Access Control
System终端访问控制器访问控制系统。通过一个或多个中心服务器为路由器、网络访问控制器以及其它网络处理设备提供了访问控制服务。TACACS
支持独立的认证（Authentication）、授权（Authorization）和计费（Accounting）功能。
TACACS+应用传输控制协议（TCP），而RADIUS使用用户数据报协议（UDP）。

TACACS+ Traffic Example：
The following example assumes
login authentication, exec authorization, command authorization, start−stopexec
accounting, and command accounting is implemented with TACACS+ when a user
Telnets to a router,performs a command, and exits the router

I. 华为数通资料里面 TACACS 是什么意思啊

TACACS-Terminal Access Controller Access-Control System .
TACACS（终端访问控制器访问控制系统）允许远程访问服务器传送用户登陆密码给认证服务器，专认证服务器决属定该用户是否可以登陆系统。
华为数通的设备配置的时候，为了保证安全性，就需要给这种设备配置一个TACACS服务器，通过这个服务器来验证设备访问者的身份，以保证设备网络的安全性。在交换机路由器等设备上通常会配置tacacs服务器的地址和验证密码就可以了。TACACS服务器上面会保存一些允许访问用户的名字和密码。

J. 思科路由器tacacs认证客户端怎么配置

taca host [ip]
tacacs key [pw]
aaa authentication login default group tacacs+
aaa autha
还有一个aaa 大概就这样