因為某些ISO27001需求,需要將所有網路設備做單一帳號控管。目前是選用Cisco ACS作為TACACS+,RADIUSServer。
Server設定部分之後再補,先來設定Cisco設備上面的設定。
需求:管理者登入時需要輸入Cisco ACS內的帳號密碼,若ACS無法連線,使用內建的密碼。Enable的密碼還是存在設備上面。所有指令需要存到Cisco ACS上面做AAA的Accounting。
設定如下:
aaa new-model
aaa authentication login router_admin group tacacs+ line enable
aaa authorization exec router_admin if-authenticated
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+tacacs-server host 192.168.1.1
tacacs-server directed-request
tacacs-server key 1234line vty 0 4
password blah
login authentication router_admin
[…] Comments « Cisco Switch/Router AAA – Part 1 […]