Para configurar la autenticación de usuarios en un switch de Cisco (en mi caso era un 26xx, pero es igual para todos). Tacacs+ en un ACS server también de Cisco.
Lo primero es dar de alta el equipo en el ACS server.
Para hacerlo, entras … Network resources -> Network devices and AAA clients (si tienes mas coge uno y lo duplicas, luego le cambias la ip y listo).
Sino te va a tocar crearlo. Create -> Le pones el nombre y la ip del cacharro. Authentication Options marcas Tacacts+ y le pones la contraseña. Grabas y listo.
Ahora la configuración en el switch.
Primero (aunque no es necesario hacerlo lo primero, sino lo haces asi se queja) definimos el o los servidores de Tacacs+
conf t
tacacs-server host xxx.xxx.xxx.xxx
tacacs-server directed-request
tacacs-server kexxxxx (La contraseña que le has puesto en el ACS).
Despues …
aaa new model
aaa group server tacacs+ Nombre
server xxx.xxx.xxx.xxx (el (o los) servidor tiene que ser el mismo que has definido antes
Ahora solo falta decirle al equipo que quieres que autentique por el tacacs+
aaa authentication login default tacacs+ local (ojo con el local, siempre crea un usuario local por si el tacacs+ se va a la mierda, sino te quedas sin acceso).
aaa authorization exec default group tacacs+ none
Y para que guarde logs …
aaa accounting exec default start-stop group tacacs+
aaa accounitng commands 0 default start-stop group tacacs+ <- Ojo con el nivel de tus usuarios
aaa accounting network default start-stop group tacacs+
Y con esto suele ser suficiente … otras cosas a tener en cuenta:
– Asegúrate de que llegas al ACS, por si tienes que añadir algún access list o similar, o por temas de routing.
Y ahora los problemas … en caso de que no funcione …
Comprueba que llegas al ACS (otra vez) y que el puerto (tcp 49) est abierto.
Prueba a hacer un test desde el switch. test aaa group tacacs+ ususario password legacy
Y si eso no va … te toca tirar de debug.
debug aaa authentication
debug aaa authorization
debug tacacs
debug ip tcp transaction
term mon
Y no te olvides del no debug all al terminar.