使用ISE为IOS和ASA做tacacs+认证（ista认证是什么）

使用ISE为IOS和ASA做tacacs+认证（ista认证是什么）

首先TACACS+是基于TCP 49的协议。所以这也能解释tacacs+和radius的基本区别：radius是一个UDP大包被所有的授权结果一股脑的推给终端，而tacacs+的TCP就可以基于每行一个命令一个个授权。路由器的aaa命令

aaa group server tacacs+ ISEserver-private 192.168.133.11 key cisco123

aaa new-model

aaa authentication login default group ISE localaaa authentication enable default group ISE enableaaa authorization config-commandsaaa authorization exec ISE group ISE localaaa authorization commands 0 default group ISE local noneaaa authorization commands 1 default group ISE local noneaaa authorization commands 7 default group ISE local noneaaa authorization commands 15 default group ISE local noneaaa accounting exec default start-stop group ISE aaa accouting commands 0 default start-stop group ISEaaa acounting commands 1 default start-stop group ISEaaa acounting commands 7 default start-stop group ISEaaa accouting commands 15 default start-stop group ISE

讲下default关键字，以前总理解不好。default method：A default method list is configured globally and is automatically applied to all the interfaces on a device (vty/7意义不大，本身可以调用的命令就少。

device admin policy sets也是分成authentication 和authorization， 和radius的policy sets类似。authentication policy的目的就是基于正确的protocol（一般都是tacacs+）和别的限制条件(例如可以使用device type等) 使用正确的identity store。

shell profile，由于两个shell profile都是default 0 maximum 15， 不反复截图了。我们看到line vty 下的acl 或者timeout时间都是可以通过ISE推的。

由于有了command sets的存在，将一条条的特定的命令搬到privilege 1-14里面实际就不是一个在生产环境可行的做法。

补充一个用radius做认证的对比，虽然不怎么用，但是考试竟然考。。。蠢的一逼

最重要的其实知道那个authorization profile怎么配置: shell:priv-lvl=15

aaa authentication login default group ISE localaaa authorization exec default group radius local

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。