Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

使用 TACACS+ 配置 CTPOS 和 CTPView 用户身份验证

TACACS+ 协议通过一个或多个集中式 TACACS+ 服务器为路由器和网络接入服务器提供访问控制(身份验证、授权和计费服务)。与 RADIUS 不同,TACACS+ 提供对身份验证、授权和计费服务的单独处理。CTPOS 和 CTPView 仅使用身份验证和授权服务,不使用计费服务。

CTP 设备充当 TACACS+ 客户端,从集中式 TACACS+ 服务器发送身份验证和授权请求,这些服务器具有针对 CTPOS CLI 用户、CTPView CLI 用户和 CTPView Web UI 用户的单独用户数据库。

TACACS+ 仅在 CTPOS 6.4 及更高版本和 CTPView 4.4 及更高版本上受支持。在早期版本中,RADIUS 用于远程身份验证和授权。从 CTPOS 6.4 版和 CTPView 4.4 版开始,支持 RADIUS 和 TACACS+。

CTP 使用 TACACS+ 身份验证,根据集中式 TACACS+ 服务器上配置的登录凭据对用户进行身份验证,并向 TACACS+ 客户端提供权限。用户将使用 TACACS+ 服务器在成功进行身份验证和授权后返回的权限登录到设备。

从 CTPView 服务器配置 TACACS+ 设置

只能从 CTPView 菜单为 CTPView CLI 和 CTPView HTTPS 用户配置 TACACS+。您不能同时启用 RADIUS 和 TACACS+。禁用 RADIUS 后,才能启用 TACACS+。

若要在 CTPView 服务器上配置 TACACS+ 设置,请执行以下操作:

  1. 从 AAA 菜单中,选择 2) SSH(2nd) - RADIUS/RSA > 2) TACACS+

    将显示 TACACS+ 的当前状态。

  2. 选择以 1) Enable 启用 TACACS+。
  3. 返回 AAA 菜单,选择 9) TACACS+ Configuration > 1) Servers 以配置 TACACS+ 服务器。
  4. 按照屏幕上的说明进行操作,并按照 表 1 中的说明配置参数。
    表 1:CTPView 服务器的 TACACS+ 设置

    功能

    您的操作

    服务器

    您最多可以为 CTPOS 和 CTPView 用户配置 10 台 TACACS+ 服务器,以便进行身份验证和授权。

    CTP 设备尝试从列表中的第一台服务器对用户进行身份验证。如果第一台服务器不可用或无法进行身份验证,则它会尝试从列表中的第二台服务器进行身份验证,依此类推。

    授权是在成功对用户进行身份验证的服务器上完成的。

    输入服务器的 IP 地址并指定共享密钥。

    共享密钥是用于对从服务器发送和接收的数据包进行加密和解密的密钥。同一密钥用于对发送到 TACACS+ 客户端以及从 TACACS+ 客户端接收的数据包进行加密和解密。

    目标端口

    TACACS+ 使用 TCP 端口发送和接收数据。

    端口 49 是为 TACACS+ 保留的,是默认端口。

    输入目标端口号。

    超时

    发送身份验证和授权请求后,TACACS+ 客户端应等待 TACACS+ 服务器响应的时间(以秒为单位)。超时值适用于配置的所有 TACACS+ 服务器。

    默认超时值为 5 秒。

    指定 1–60 范围内的值。

    离线故障切换

    如果配置的 TACACS+ 服务器不可用或未从 TACACS+ 服务器收到响应,则可以使用本地身份验证凭据。

    默认选项为 Allowed to Loc Acct

    请选择一项。

    • 不允许

    • 允许登录帐户

    拒绝故障转移

    如果 TACACS+ 服务器拒绝身份验证尝试,则可以使用本地身份验证凭据。

    默认选项为 Allowed to Loc Acct

    请选择一项。

    • 不允许

    • 允许登录帐户
  5. 从 TACACS+ 菜单中,选择 6) Initialize Web UI Template Accounts
  6. 出现提示时,输入 PostgreSQL 管理员帐户密码。

    所需的模板帐户将添加到 CTPView。这些帐户不可配置。此步骤将作为 CTPView 作为 TACACS+ 客户端的初始配置的一部分执行。但是,重复此步骤不会对 TACACS+ 配置产生不利影响。

从 CTPView Web 界面配置 TACACS+ 设置

可以从 CTPView Web 界面为 CTPOS 用户配置 TACACS+。

若要从 CTPView Web 界面配置 TACACS+,请执行以下操作:

  1. 在侧窗格中,选择“ System > Configuration”。
  2. 单击 Node Settings > TACACS+ Settings 选项卡。

    此时将显示“TACACS+ 设置”页面。

  3. 配置 如表2 所述的参数,然后单击 Submit Settings
  4. (选答)单击 System > Query > Node Settings 以验证 TACACS+ 配置详细信息。
    表 2:CTPView Web 界面的 TACACS+ 设置

    功能

    您的操作

    地位

    指定是启用还是禁用 TACACS+。

    默认情况下,TACACS+ 处于禁用状态。

    请选择一项。

    • 启用

    • 禁用

    Dest 端口

    TACACS+ 使用 TCP 端口发送和接收数据。

    端口 49 是为 TACACS+ 保留的,是默认端口。

    输入目标端口号。

    超时

    发送身份验证和授权请求后,TACACS+ 客户端应等待 TACACS+ 服务器响应的时间(以秒为单位)。超时值适用于配置的所有 TACACS+ 服务器。

    默认超时值为 5 秒。

    指定一个值。

    离线故障切换

    如果配置的 TACACS+ 服务器不可用或未从 TACACS+ 服务器收到响应,则可以使用本地身份验证凭据。

    默认选项为 Allowed to Loc Acct

    请选择一项。

    • 不允许

    • 允许登录帐户

    拒绝故障转移

    如果 TACACS+ 服务器拒绝身份验证尝试,则可以使用本地身份验证凭据。

    默认选项为 Allowed to Loc Acct

    请选择一项。

    • 不允许

    • 允许登录帐户

    服务器

    您最多可以为 CTPOS 和 CTPView 用户配置 10 台 TACACS+ 服务器,以便进行身份验证和授权。

    CTP 尝试从列表中的第一台服务器对用户进行身份验证。如果第一台服务器不可用或无法进行身份验证,则它会尝试从列表中的第二台服务器进行身份验证,依此类推。

    授权是在成功对用户进行身份验证的服务器上完成的。

    输入服务器的 IP 地址,并指定共享密钥。

    共享密钥

    共享密钥是 TACACS+ 服务器用于对从服务器发送和接收的数据包进行加密和解密的密钥。TACACS+ 客户端使用相同的密钥对数据包进行加密和解密。

    指定共享密钥。

相关主题