В меню nsg добавлен новый узел "authentication tacacs-server", который описывает параметры серверов для аутентификации по стандарту TACACS+. nsg(config-nsg)# ? ... authentication Configure authentication servers ... nsg(config-nsg)# authentication ? Go to this menu level display Display information about this menu item end End current mode and down to ENABLE mode exit Exit current mode and down to previous mode tacacs-server Modify TACACS+ query parameters nsg(config-nsg)# tacacs-server ? Go to this menu level add Add TACACS+ server delete Delete TACACS+ server display Display information about this menu item end End current mode and down to ENABLE mode exit Exit current mode and down to previous mode retry Set number of attempt to access servers nsg(config-nsg)# tacacs-server add ? <1 - 8> Optional positional parameter server Specify a TACACS+ server nsg(config-nsg)# tacacs-server add 1 server ? STRING Server name (max 127 characters) nsg(config-nsg)# tacacs-server add 1 server tac_plus_main_server ? key Set TACACS+ encryption key nsg(config-nsg)# tacacs-server add 1 server tac_plus_main_server key ? STRING Encryption key string (max 127 characters) nsg(config-nsg)# tacacs-server add 1 server tac_plus_main_server key tackey ? Apply command port Specify a server port number timeout Time to wait for a TACACS+ server to reply nsg(config-nsg)# tacacs-server add 1 server tac_plus_main_server key tackey port ? <0 - 65535> Port number (dflt=49) nsg(config-nsg)# tacacs-server add 1 server tac_plus_main_server key tackey timeout ? <0 - 65535> Wait time in seconds (dflt=5) nsg(config-nsg)# tacacs-server delete ? <1 - 8> Positional parameter nsg(config-nsg)# tacacs-server retry ? <1 - 16> Number of attempt (dflt=3) Синтаксис команды add: add [num] server key { port | timeout } Пример: tacacs-server add 1 server "tac_plus_main_server" key "tackey" timeout 7 tacacs-server add 2 server "tac_plus_reserv" key "xxx" port 3076 timeout 10 tacacs-server retry 2 В данном примере сначала будет выдан запрос на сервер tac_plus_main_server. Если сервер не ответит в течении 7 секунд, запрос будет направлен на сервер tac_plus_reserv. Если и он не ответит процедура повторится еще раз. То есть сервера опрашиваются в порядке номеров и к каждому серверу будет сделано кол-во запросов, определяемое параметром retry(при отсутствии ответов). После первого ответа(положительного или отрицательного) от какого-либо сервера, посылка запросов прекращается. Меню tacacs-server только описывает параметры серверов, параметры аутентификации(имена, пароли, группы) задаются в меню соответствующих служб. ---------------------------------------------- Добавлено значение tac_plus в меню асинхронного порта с инкапсуляцией reverse-telnet: nsg(config-port-a1)# reverse-telnet authentication ? local Use local base for authentication none No authentication(dflt) tac_plus Use TACACS+ for authentication ----------------------------------------------- Для продвинутых. Добавлена утилита nsgtaclient root@nsg /root # nsgtaclient --help Usage: nsgtaclient [OPTION ...] Tacacs authentication client. -s, --server Tacacs server parameters ::: - Tacacs server name/IP address - Tacacs server key - Tacacs server TCP port number(dflt=49) - Timeout in seconds(dflt=5) -l, --login Username -p, --password Password -P, --port Client port -a, --avpair Attribute value pair(=) -r, --retry Number of attempt -d, --debug Output debug information -h, --help Print help and exit Опция -s(--server) может встречаться в командной строке до 8 раз. -s и -r соответствуют параметрам add и retry в nsg/tacacs-server меню -P это имя порта с которого зашел пользователь которого надо аутентифицировать. -a может встречаться в командной строке до 255 раз. Определяет avpair в терминах TACACS+ сервера. Утилита возвращает код ошибки в случае неудачной аутнтификации, также выводится список avpair, если его вернул сервер. Если в параметрах или опции -s встречается символ ':' то его надо заменить на последовательность '\\:' ------------------------------------------------ Пример конфигурации для reverse-telnet: Для успешной авторизации, в конфигурации TACACS сервера должны быть указаны пары service = raccess и nsgrp = tacacs сервер: key = nsg user = admin { login = cleartext mypswd service = raccess { nsgrp = a3 nsgrp = a4 nsgrp = a5 } } NSG: authentication tacacs-server add 1 server "10.0.0.10" key "nsg" exit exit port eth0 ip address 10.0.10.101/8 exit port a3 encapsulation reverse-telnet reverse-telnet group-name a3 reverse-telnet authentication tac-plus exit