Benvenuto,
Ospite
|
ARGOMENTO:
Moderatori: jpalombi
Benvenuto,
Ospite
|
|
Ancora non rivedo bene il capitolo 3 e non mi dedico ai laboratori, ma vi chiedo aiuto nel capire quanto sono vicino ad alcuni concetti per quanto riguarda l'implementazione. Faccio alcuni esempi.
R1(config)#aaa authentication login default group tacacs+ crea regola di default per AAA Authentication del login usando la lista di tutti gli host Tacacs+, la quale si produce così: R1(config)#tacacs-server host 192.168.1.101 single-connection R1(config)#tacacs-server key tacacs_password... R1(config)#aaa authentication login default group ACS qui la regola di default per AAA Authentication del login usa il gruppo denominato (arbitrariamente) ACS. Questo gruppo si crea così: R1(config)#aaa group server tacacs+ ACS R1(config-sg-tacacs+)#server-private 172.16.1.100 key cisco R1(config-sg-tacacs+)#ip tacacs source-interface Loopback 0 ci sono altri metodi per formare gruppi? R1(config)#aaa authentication login PROVA line R1(config)#line con 0 R1(config-line)#password prova R1(config-line)#login authentication PROVA qui si crea la regola PROVA che permette il login con password di linea; una volta creata la password di linea per la console proprio a quest'ultima si applica la regola PROVA: per accedere in console quindi verrà chiesta una password e questa dovrà essere "prova" Sbaglio qualcosa o manca qualcosa? |
Si prega Accedi a partecipare alla conversazione.
Ultima Modifica: da paolo.postorino.
|
|
Ciao Paolo,
tutto correttissimo, rettifico soltanto che nel caso del gruppo R1(config)#aaa group server tacacs+ ACS
R1(config-sg-tacacs+)#server-private 172.16.1.100 key cisco
R1(config-sg-tacacs+)#ip tacacs source-interface Loopback 0 il comando che seleziona l'interfaccia di uscita è equivalente a quello per il server di default se dai il comando R1(config)#ip tacacs source-interface Loopback 0 Esistono altri modi per creare gruppi se cambi protocollo, tipo R1(config)#aaa group server radius ISE
R1(config-sg-tacacs+)#server-private 172.16.1.100 key cisco
R1(config-sg-tacacs+)#ip tacacs source-interface Loopback 0 Ultima considerazione, evitare di configurare una regola di default login che non faccia fallback su una regola locale o none perchè si rischia di dover avviare la procedura di password recovery se il server diventa non raggiungibile, quindi potrebbe essere preferibile una regola del tipo: R1(config)#aaa authentication login default group tacacs+ line |
Si prega Accedi a partecipare alla conversazione.
Ultima Modifica: da instructor.
|
|
Grazie Virgilio,
avevo davvero bisogno di mettere un po' d'ordine. PS come avevi predetto la pausa del corso arriva come una benedizione. Almeno per me. |
Si prega Accedi a partecipare alla conversazione. |