Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置 TACACS+ 服务器

当安装在使用 CentOS 操作系统的服务器上时,CTPview 允许经过 TACACS+ 身份验证的用户通过 SSH 和 HTTPS 登录。

按以下顺序对用户进行身份验证:

  • 通过 TACACS+ 服务器

  • 通过本地用户帐户

您可以将同一用户添加到 TACACS+ 服务器和本地 CTPView 系统。

配置 TACACS+ 服务器的配置文件

您可以使用任何符合 TACACs+ RFC“TACACs+ 协议”(1997 年 1 月)的 TACACS+ 服务器。您可以从 http://tacacs.net/download.asp TACACs.net 网站下载我们在此处引用的 TACACs+ 服务器 (v1.2)。此版本包含四个配置文件。要修改配置文件,您必须以管理员身份登录到 TACACs+ 服务器。

  • Authentication.xml — 修改此文件以在 TACACS+ 服务器上添加新用户。若要添加新用户,必须在 <UserGroups> 标记下添加新用户组和用户。

  • Authorization.xml - 修改此文件以定义用户的授权级别。要定义授权级别,必须在 <授权> 标记下将 Authentication.xml 文件中添加的用户组添加到此文件中。

    CTP 设备使用该 juniper_ctp_srvc 服务访问 TACACS+ 。此服务仅用于访问 TACACS+,不能在 Authorization.xml 文件中更改。

    要定义授权级别,可以将用户分配到以下任意或所有组:

    • CTP 设备 CLI–SSH

    • CTPView CLI–SSH

    • CTPView Web–HTTPS

    每个用户的授权级别在 <Service> 标记下的 <Set> 标记中指定。

    使用 表 1 中显示的属性和值对 CTPView 进行 HTTPS 访问。

    表 1:HTTPS 访问的属性和值

    属性

    价值

    Global_Admin

    juniper_ctpview_https=1

    Net_Admin

    juniper_ctpview_https=2

    Net_View

    juniper_ctpview_https=3

    Net_Diag

    juniper_ctpview_https=4

    使用 表 2 中显示的属性和值对 CTPView 进行 SSH 访问。

    表 2:用于对 CTPView 进行 SSH 访问的属性和值

    属性

    价值

    网站管理器

    juniper_ctpview_cli=1

    系统管理员

    juniper_ctpview_cli=2

    核 数 师

    juniper_ctpview_cli=3

    使用 表 3 中显示的属性和值对 CTP 设备进行 SSH 访问。

    表 3:用于对 CTP 设备的 SSH 访问的属性和值

    属性

    价值

    Read_Only

    juniper_ctp_cli=1

    管理

    juniper_ctp_cli=2

    Privileged_admin

    juniper_ctp_cli=3

    核 数 师

    juniper_ctp_cli=4

    在 TACAS+ 服务器上,您还可以修改以下文件:

  • Clients.xml - 修改此文件以添加密钥和可以使用 TACACS+ 服务器的域。

  • Tacplus.xml — 修改此文件以添加远程端口号以及分配给 TACACS+ 服务器的 IPV4 或 IPv6 地址。

    如果需要,请修改 表 4 中指定的参数。

    表 4:用于配置 Tacplus.xml 文件的属性

    参数

    功能

    港口

    默认端口号为 49。

    本地IP

    指定 TACACS+ 服务器的 IP 地址。您可以输入 IPV4 或 IPV6 地址。

    在输入 IPv6 地址之前,请确保 TACACS+ 服务器和 CTPView 服务器或 CTP 设备都支持 IPV6。