Когда сеть админят больше одного человека и в сети больше 5 шелезок и на каждой установлен разный пароль - админить такую сеть становится не в радость. А если ещё и что-то случилось, то узнать кто "уронил" железку будет не просто. Поэтому в средних и крупных сетях успользуют протоколы авторизации TACACS+ и RADIUS. Здесь раскажу про первый.

TACACS — это простой протокол управления доступом. TACACS+ является протоколом последнего поколения из серии протоколов TACACS. Протокол реализует три основные функции: Аутентификация, Авторизация, Аудит.

Другими словами, при доступе к сетевому устройству с включённым протоколом TACACS+ у Вас спросят логин и пароль, которые отправятся на сервер авторизации, там они проверятся на правильность, далее, в соответствии с вашей учётной записью, вам предоставятся те или иные права доступа к устройству и затем, все ваши действия на устройстве будут логироваться на сервере авторизации, как выполненые от имени вашей учётной записи.

Для включения TACACS+ на маршрутизаторах Cisco используйте следующие команды:

conf t
service password-encryption
aaa new-model
aaa authentication login default group tacacs+ local
aaa authentication enable default group tacacs+ enable
aaa authorization console
aaa authorization exec default group tacacs+ local
aaa authorization commands 15 default group tacacs+ local
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 0 default start-stop group tacacs+
aaa accounting commands 1 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
tacacs-server host 10.1.1.10  key My_Key
ip tacacs source-interface loopback 1

Что делать если что-то пошло не так?

При настройте TACACS нередко бывают случаи, что неверная конфигурация не даёт попасть на устройство ни под каким паролем. Что делать в этом случае? Если вы в настройке указали всё как выше, то обратите внимание на эти строчки:

aaa authentication login default group tacacs+ local
aaa authentication enable default group tacacs+ enable

Здесь local и enable указывают на то, что если не удаётся использовать сервер авторизации, то будет использоваться локальный пароль для доступа к устройству. Значит, если вы не можете попасть на устройство с помощью TACACS, просто сделайте недоступным по сети сервер авторизации TACACS и тогда вы сможете попасть на железку с помощью локального пароля.

Если эти два слова (local и enable) Вы не указывали, то придётся сносить конфигурацию... будьте осторожны, TACACS - полезная, но коварная штука =)

Автор Bordac, http://bloggik.net