实验环境
本次搭建的实验环境用的是pnet-lab
选取一台linux 服务器 ubuntu 18.04 和一台cisco 路由器进行模拟实验
组网拓扑如下
首先在pnet-lab创建一台 linux服务器
配置tacacs+服务器
启动服务器,进行基础数据配置,进行ubuntu 18.04 IP地址配置
首先通过 ip a 命令查看网卡名称,然后修改IP地址配置文件
ip a
vi /etc/netplan/01-netconfig.yamlIP地址根据需要进行配置 ,网关及DNS配置用于模拟服务器连接外网下载软件使用
network:
version: 2
renderer: networkd
ethernets:
ens3:
addresses:
- 192.168.1.13/24
gateway4: 192.168.1.1
nameservers:
addresses: [8.8.8.8]配置完成后 :wq 保存退出,然后用如下命令使能端口ip
netplan apply使用pnetlab 创建一个 cloud1 用于和真实外网连接,进行必须要软件连接
再次登录服务,通过Ping测方式确认与互联网打通,然后下载tacacs+进行部署
首先更新本地的软件包列表,然后开始安装 tacacs+
$ sudo apt update
$ sudo apt install tacacs+安装完成后需要对服务端进行基础配置
vi /etc/tacacs+/tac_plus.conf配置认证相关信息
key = testing123
user = test1 {
default service = permit
login = cleartext test1
member = guest
}
group = guest {
default service = permit
service = exec {
priv-lvl = 3
}
service = shell {
priv-lvl = 3
}
}
user = test2 {
default service = permit
login = cleartext test2
member = admin
}
group = admin {
default service = permit
service = exec {
priv-lvl = 15
}
service = shell {
priv-lvl = 15
}
}
配置完成后 :wq 保存退出
重启 tacacs+ 服务并查看运行状态
systemctl restart tacacs_plus
systemctl status tacacs_plus当tacacs+服务运行正常时,说明我们配置的没有后问题
配置客户端路由器
以思科设备为例
配置方法如下 ,其中 key要与服务器配置的key一致
由于tacacs+服务器支持 ascii 码,如果路由器发送的认证信息不是 ascii ,可能会导致用户只能认证无法正确授权等情况
conf t
aaa authentication login default group tacacs+ local
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ if-authenticated
!
tacacs server zte
address ipv4 192.168.1.13
key testing123
!
aaa new-model
aaa session-id common
write使用思科 login 命令测试是否tacacs+认证是否生效
login输入 配置的用户名 test1 密码 test
测试登录成功
评论区