MSR路由器HWTACACS认证功能的配置

MSR路由器

HWTACACS认证功能的配置

 

关键词：MSR;HWTACACS

一.    组网需求：

172.32.29.1是HWTACACS SERVER，172.32.30.1是接入访问服务器NAS（MSR20-20）。用户输入的用户名和密码都将发送到HWTACACS SERVER进行验证，验证通过则允许用户登陆。

二.    组网图：

三.    配置步骤：

实验使用设备及版本：MSR20-20，Version 5.20, Beta 1106

NAS配置

#  sysname NAS # hwtacacs scheme hwt   //配置HWTACACS方案  primary authentication 172.32.29.1  primary authorization 172.32.29.1  primary accounting 172.32.29.1  key authentication msr  key authorization msr  key accounting msr  user-name-format without-domain # domain hwt   //配置hwt域  authentication default hwtacacs-scheme hwt  authorization default hwtacacs-scheme hwt  accounting default hwtacacs-scheme hwt  access-limit disable  state active  idle-cut disable  self-service-url disable # local-user user  password simple hello  service-type telnet # interface Ethernet0/0  port link-mode route  ip address 172.32.29.2 255.255.255.0 # interface Ethernet0/1  port link-mode route  ip address 172.32.30.1 255.255.255.0 # user-interface con 0 user-interface aux 0 user-interface vty 0 4  authentication-mode scheme   //配置Telnet用户采用AAA认证方式

四.    配置关键点：

1、配置HWTACACS方案。在方案中配置服务器的IP地址、共享密钥等。

2、配置用户所在的域。在域中关联HWTACACS方案。

3、在user-interface下配置用户采用的认证方式为AAA方式。

4、服务器的配置请参考《CiscoSecure ACS认证服务器使用简介》。

五.    实验分析

1、HWTACACS协议的配置是以HWTACACS方案为单位进行的。在进行HWTACACS协议的其他相关配置之前，必须先创建HWTACACS方案并进入其视图。

2、用户名通常采用“userid@isp-name”格式，“@”后面的部分为域名。如果TACACS服务器不接受带域名的用户名时，可以配置将用户名的域名去除后再传送给TACACS服务器。