Cisco Cisco SG500-52PP 52-port Gigabit Max PoE+ Stackable Managed Switch 用户指南
安全
配置 TACACS+
323
思科 200、 300 和 500 系列管理型交换机管理指南 (内部版本)
21
配置 TACACS+
组织可建立
终端接入控制器接入控制系统
(TACACS+)
服务器,为所有设备提供集中的
安全保护。通过这种方式,对组织内所有设备的验证和授权可在一台服务器上执行。
设备可作为 TACACS+ 客户端工作,使用 TACACS+ 服务器执行以下服务:
•
验证 - 对使用用户名和用户定义的密码登录到设备的用户进行验证。
•
授权 - 在登录时执行此服务。验证会话完成之后,将使用经验证的用户名开始
授权会话。然后,TACACS+ 服务器将检查用户权限。
授权会话。然后,TACACS+ 服务器将检查用户权限。
•
帐务 - 使用 TACACS+ 服务器启用登录会话帐务功能。让系统管理员可以从
TACACS+
TACACS+
服务器生成帐务报告。
除提供验证和授权服务之外,TACACS+ 协议还可通过加密 TACACS 正文消息帮助确
保 TACACS 消息受到保护。
保 TACACS 消息受到保护。
TACACS+
仅支持 IPv4。
某些 TACACS+ 服务器支持单个连接,其可使设备接收单个连接中的所有信息。如果
TACACS+
TACACS+
服务器不支持单个连接,则设备将恢复到多个连接。
使用 TACACS+ 服务器的帐务
用户可使用 RADIUS 或 TACACS+ 服务器启用登录会话帐务功能。
用于 TACACS+ 服务器帐务且可由用户配置的 TCP 端口是用于 TACACS+ 服务器验
证与授权的同一 TCP 端口。
证与授权的同一 TCP 端口。
用户登录或注销时,设备将向 TACACS+ 服务器发送以下信息:
表 2:
参数
说明
包含在开
始消息中
始消息中
包含在停
止消息中
止消息中
task_id
唯一的帐务会话标识符。
是
是
user
用于登录验证而输入的用户名。
是
是
rem-addr
用户 IP 地址。
是
是
elapsed-time
用户已登录时间。
否
是
reason
会话终止的原因。
否
是