配置 TACACS+ 服务器
当安装在使用 CentOS 操作系统的服务器上时,CTPview 允许经过 TACACS+ 身份验证的用户通过 SSH 和 HTTPS 登录。
按以下顺序对用户进行身份验证:
通过 TACACS+ 服务器
通过本地用户帐户
您可以将同一用户添加到 TACACS+ 服务器和本地 CTPView 系统。
配置 TACACS+ 服务器的配置文件
您可以使用任何符合 TACACs+ RFC“TACACs+ 协议”(1997 年 1 月)的 TACACS+ 服务器。您可以从 http://tacacs.net/download.asp TACACs.net 网站下载我们在此处引用的 TACACs+ 服务器 (v1.2)。此版本包含四个配置文件。要修改配置文件,您必须以管理员身份登录到 TACACs+ 服务器。
Authentication.xml — 修改此文件以在 TACACS+ 服务器上添加新用户。若要添加新用户,必须在 <UserGroups> 标记下添加新用户组和用户。
<UserGroups> <UserGroup> <Name>TACACS_User1</Name> <AuthenticationType>File</AuthenticationType> <Users> <User> <Name> TACACS_User1</Name> <LoginPassword ClearText="PASSWORD" DES=""> </LoginPassword> <EnablePassword ClearText="" DES=""></EnablePassword> <CHAPPassword ClearText="" DES=""> </CHAPPassword> <OutboundPassword ClearText="" DES=""> </OutboundPassword> </User> </Users> </UserGroup> </UserGroups>
Authorization.xml - 修改此文件以定义用户的授权级别。要定义授权级别,必须在 <授权> 标记下将 Authentication.xml 文件中添加的用户组添加到此文件中。
<Authorization> <UserGroups> <UserGroup>TACACS_User1</UserGroup> </UserGroups> <Services> <Service> <Set>service=juniper_ctp_srvc</Set> <Set>protocol=unknown</Set> <Set>juniper_ctpview_https=1</Set> </Service> </Services> </Authorization>
CTP 设备使用该 juniper_ctp_srvc 服务访问 TACACS+ 。此服务仅用于访问 TACACS+,不能在 Authorization.xml 文件中更改。
要定义授权级别,可以将用户分配到以下任意或所有组:
CTP 设备 CLI–SSH
CTPView CLI–SSH
CTPView Web–HTTPS
每个用户的授权级别在 <Service> 标记下的 <Set> 标记中指定。
使用 表 1 中显示的属性和值对 CTPView 进行 HTTPS 访问。
表 1:HTTPS 访问的属性和值 属性
价值
Global_Admin
juniper_ctpview_https=1
Net_Admin
juniper_ctpview_https=2
Net_View
juniper_ctpview_https=3
Net_Diag
juniper_ctpview_https=4
使用 表 2 中显示的属性和值对 CTPView 进行 SSH 访问。
表 2:用于对 CTPView 进行 SSH 访问的属性和值 属性
价值
网站管理器
juniper_ctpview_cli=1
系统管理员
juniper_ctpview_cli=2
核 数 师
juniper_ctpview_cli=3
使用 表 3 中显示的属性和值对 CTP 设备进行 SSH 访问。
表 3:用于对 CTP 设备的 SSH 访问的属性和值 属性
价值
Read_Only
juniper_ctp_cli=1
管理
juniper_ctp_cli=2
Privileged_admin
juniper_ctp_cli=3
核 数 师
juniper_ctp_cli=4
在 TACAS+ 服务器上,您还可以修改以下文件:
Clients.xml - 修改此文件以添加密钥和可以使用 TACACS+ 服务器的域。
Tacplus.xml — 修改此文件以添加远程端口号以及分配给 TACACS+ 服务器的 IPV4 或 IPv6 地址。
<Port>49</Port> <LocalIP>Write your TACACS+ machine’s IP here</LocalIP>
如果需要,请修改 表 4 中指定的参数。
表 4:用于配置 Tacplus.xml 文件的属性 参数
功能
港口
默认端口号为 49。
本地IP
指定 TACACS+ 服务器的 IP 地址。您可以输入 IPV4 或 IPV6 地址。
在输入 IPv6 地址之前,请确保 TACACS+ 服务器和 CTPView 服务器或 CTP 设备都支持 IPV6。