当你的公司网络管理员不是你一个人时,当你的老板及其他兄弟需要查看网络设备时,你想知道是谁什么时间访问了网络设备并做了什么动作.通过ACS做AAA的管控是一个很好的解决办法,以下是Cisco交换机的配置实例:
aaa new-model
--启用AAA--
aaa authentication login default group tacacs+ local
--同过tacacs+作认证--
aaa authentication login console line enable
-- console line认证--
aaa authorization exec default group tacacs+ local
-- 通过tacacs+授权--
aaa accounting exec default start-stop group tacacs+
-- 记账方式start-stop --
aaa accounting commands 15 default start-stop group tacacs+
-- 记账方式的访问Level为15,你可以定义 --
username cisco secret cisco
-- 建立一个本地用户,防止ACS无效时可以登录设备 --
tacacs-server host 192.168.0.3 key cisco
-- ACS tacacs-server IP及共享密钥--
tacacs-server host 192.168.0.4 key cisco
-- Backup ACS tacacs-server IP及共享密钥--
line con 0
login authentication console
-- console登录也需要认证--
