在Catalyst 1900和2820上配置TACACS+

簡介

Catalyst 1900/2820 8.x企業版軟體版本支援TACACS+（不是XTACACS）。用於身份驗證的TACACS+或CiscoSecure伺服器使用者設定與用於路由器使用者的設定相同。此技術提示說明Catalyst 1900和2820上的設定。

註：在1900和2820上實施故障轉移的方式不同於其他思科裝置。如果TACACS+伺服器無法連線，可以使用本機密碼，也可能不需要驗證（取決於交換器的設定方式）。 雖然，如果TACACS+伺服器可訪問但TACACS+後台程式已關閉，則不會使用本地密碼和故障轉移至無身份驗證（換句話說，您將被鎖定在交換機之外）。

注意：HTTP Web連線始終使用本地密碼（而不是tacacs+）進行身份驗證。 啟用TACACS+時，使用選單選項無效。TACACS+用於命令列介面身份驗證。

開始之前

慣例

如需文件慣例的詳細資訊，請參閱思科技術提示慣例。

必要條件

本文件沒有特定先決條件。

採用元件

本文件所述內容不限於特定軟體和硬體版本。

配置步驟

1. 從命令列介面(CLI)，使用以下命令啟用TACACS+身份驗證以進行登入。

   login tacacs

2. 使用以下命令告知交換機伺服器的位置。

   tacacs伺服器主機1.1.1.1

3. 使用以下命令告知交換器共用金鑰是什麼。

   tacacs伺服器金鑰cisco

4. 選擇以下兩個選項之一。

   1. 使用以下命令告知交換機在TACACS+伺服器不可達時使用密碼。

      使能密碼1 cisco

      如果TACACS+伺服器無法訪問，請使用以下命令告知交換機使用本地密碼。

      tacacs-server last-resort密碼

   2. 如果TACACS+伺服器無法訪問，請使用以下命令告知交換機讓使用者在沒有密碼的情況下進入。

      tacacs-server last-resort成功

   退出交換器之前，請從另一個作業階段Telnet到交換器，確認可以使用TACACS+進入。退出交換器之前，請確保您不使用TACACS+即可進入，否則無法訪問伺服器。其餘步驟是可選的。

5. 使用以下命令為啟用模式啟用TACACS+身份驗證。

   enable use-tacacs

   注意：只有在啟用使用者要通過TACACS+伺服器進行身份驗證時，才需要執行此步驟；此外，伺服器中還需要有一個啟用條目才能使此操作生效。

6. 如果TACACS+伺服器無法訪問，請使用以下命令啟用啟用模式的本地身份驗證。

   啟用密碼15 cisco

   只有在還配置了tacacs-server last-resort密碼時，此密碼才有效。

7. 使用以下命令配置TACACS+伺服器上允許的登入嘗試次數。

   tacacs-server attempts number

8. 使用下面的命令設定伺服器守護程式必須響應的超時間隔（這是可選的，但在慢速網路中可能是必需的）。

   tacacs-server timeout N

相關資訊

• 技術支援 - Cisco Systems