AAA設定概要
1:aaa new-model
2:aaa authentication login default group tacacs+ local
3:aaa authentication enable default group tacacs+ enable none
4:aaa authorization exec default group tacacs+ local
6:aaa accounting exec default start-stop group tacacs+
8:ip tacacs source-interface Loopback0
10:tacacs-server host
11:username
1~4、10行目:極々当たり前。
6行目:ログイン&アウト時のログを飛ばすか?の設定。鯖側のログでキャッチしてくれるっぽい。
8行目:この設定が肝。
L3SWの場合、複数のIPアドレス(SVI)を持ってるから、TACACS側に登録されているAAAClientのIPアドレスと不一致するのは頂けない。認証要求がドロップされちゃう。
なので、認証要求時のアドレスを固定させるために、該当するInterface=TACACS側で設定されているAAAClientのIPアドレスを指定。
ちなみに、AccessSWの場合、管理Interfaceのアドレスしか持ってないから、この設定を入れなければ、全てAccessSWのConfigを統一化できる。
ただし、"Defaultの動作"ってのが、"一番近いInterfaceのアドレスから送信される"って動作で間違いないのか?は、応用部隊にも確認してみなければ。。。
実際にパケットキャプチャしたら、想定通りの動作だったんだけね。
11行目:これだけでいいのか?と言われれば、否なんだろうけど、顧客からの要件だから仕方あるまい。。。
by mdesign21
| 2007-01-14 09:27
| IT系