およそ世間では情報が沢山あるので我が家の設定値のみ記載。
設定方針は次の通り。
- 1号機は.20,2号機は.21,TACACSサーバがダウンしたらLocal認証(タイムアウトは5秒)
- ログインできたら即特権(コマンド権限はTACACSサーバ側で握る)
- 1号機を最初に記述,2号機を次に記述
- aaaの設定でdefaultとして定義するものをよく見かけるが,自宅環境では不採用とし,各aaaの定義に名前を付ける。(仮にdefaultで定義すると全てのインタフェースに適用されるし,設定順番ミスるとそのままコマンドがはじかれるなどリスクがあると思う。ただし,line vty でのauthentication設定などは不要になるなど設定行は減る。)
Cisco IOS
!!! AAA有効
aaa new-model
!!! TACACSサーバ登録。aaa tacacs-server は非推奨になった模様。
tacacs server tacacs-sv1
address ipv4 192.168.30.20
key <tacacsサーバで設定したKey>
timeout 5
tacacs server tacacs-sv2
address ipv4 192.168.30.21
key <tacacsサーバで設定したKey>
timeout 5
!!! TACACSサーバグループ作成。
aaa group server tacacs+ TAC_SRV
server name tacacs-sv1
server name tacacs-sv2
!!! TACplusという名前でTAC_SRVで登録したTACACSサーバに問い合わせる。落ちてたらローカル認証。
aaa authentication login TACplus_authe group TAC_SRV local-case
!!! 実行権限をTACACSサーバに問い合わせる。落ちてたらローカル認証。
aaa authorization exec TACplus_autho_exec group TAC_SRV local
!!! 実行レベル15のコマンド実行権限をTACACSサーバに問い合わせる。落ちてたらローカル認証。
aaa authorization commands 15 TACplus_autho_cmd group TAC_SRV local
!!! コマンド実行ログをTACACSサーバへ送信。
aaa accounting commands 15 TACplus_acco start-stop group TAC_SRV
line vty 0 4
exec-timeout 0 0
authorization commands 15 TACplus_autho_cmd
authorization exec TACplus_autho_exec
logging synchronous
login authentication TACplus_authe
transport input sshCisco ASA
ASAの場合はIOSとは若干違うが,基本的な定義の流れは同じ。
aaa-server TACplus protocol tacacs+
reactivation-mode timed
max-failed-attempts 2
aaa-server TACplus (mgmtside) host 192.168.30.20
key *****
aaa-server TACplus (mgmtside) host 192.168.30.21
key *****
!!! SSH接続時にTACACS→LOCALという順で認証
aaa authentication ssh console TACplus LOCAL
!!! 特権
aaa authentication enable console TACplus LOCAL
aaa authorization command TACplus LOCAL
aaa accounting command privilege 15 TACplus
!!!
aaa authorization exec authentication-server auto-enable
aaa authentication login-history
以上。