 |
(2)在服务器(ACS)上配置AAA
工具栏——Interface Configuration——TACACS+ (Cisco IOS)——TACACS+Services——New Service——输入 auth-proxy
网络配置部分:确保路由器和AAA服务器可以互相通信。
用户授权档案:
Group Setup——选择想要添加到AP的组,并单击"Edit Settings“——向下滚动到TA"CACS+Setting”——选择"auth-proxy“左边的复选框——选择"Custom Attributes”左边的复选框,并在此框中输入:
Priv-lvl=15 Proxyacl#1=permit icmp any any Proxyacl#2=permit tcp any any Proxyacl#3=permit udp any any |
(3)为http或https作准备
HTTP: Ip http server Ip http authentication aaa Ip http access-class acl_# HTTPS: No ip http server Ip http server-secure Ip http authentication aaa Ip http secure-trustpoint ca_name (可选)两个设备间的双向认证 |
(4)配置AP策略
ip auth-proxy name ap_name {http | https | telnet}
(可选参数)inactivity-timer minutes absolute-timer minutes list acl_#
interface type [slot_#/] port_#
ip auth-proxy ap_name |
(5)调整AP
ip auth-proxy inactivity-timer minutes ip auth-proxy absolute-timer minutes ip auth-proxy auth-proxy-audit |
默认情况下,即使为AP打开了AAA记帐,AP也不会生成记账记录,直到使用最后一条命令打开它。
配置AP案例:
Routeryjj: ip access-list extended ap permit icmp any any permit ospf any any aaa new-model tacacs-server host 150.100.1.241 key cisco aaa authentication login default group tacacs+ aaa authorization auth-proxy default group tacacs+ aaa authorization exec default group tacacs+ (可选取) |
没有这条命令,只要通过验证的外部用户都可以访问路由器EXEC,这是不推荐的,所以建议加上这条命令,这样,只有真正被授权的用户可以访问到EXEC.
ip http server ip auth-proxy name httpxy http auth-cache-time 5 interface serial0/0 ip access-group ap in ip auth-proxy httpxy |
【责编:Kittoy】
|
相关文章
相关产品和培训
文章评论
专题推荐
今日更新
认证培训
频道精选
您现在的位置: 
佚名 
2007-10-16 
