Tacacs作為一個驗證工具,其網站上資料較少,隻有一些預設配置,并且沒有提到如果在應用中與其自帶的Group功能做內建,
這裡使用免費的windows 版的TACACS.net 作介紹http://www.tacacs.net/
安裝略過不提,裝好後其核心配置檔案可以在開始菜單的config目錄中找到,預設位置為C:\ProgramData\TACACS.net\config
authentication.xml
authorization.xml
clients.xml
tacplus.xml
引一段介紹TACACS+的話:
TACACS+ is an Authentication, Authorization, and Accounting (AAA) protocol originally developed for the U.S. Department of Defense for authentication to network devices such as routers, switches, and firewalls.
可以看出,TACACSNET的配置檔案完全對應了以上提到的Authentication/Authorization。
應用中對Tacacs+ group的設定
在應用中填加跟TACACS group有關的内容時,一般需要提供以下内容:
Group authorization:
Method:TACACS+ custom attribute for group name
Service:自己在各TACACS+ 伺服器中定義, 我們這裡使用TacacsNet預設的shell作為預設service
Attribute name: 這裡要跟TACACS+伺服器中設定的group授權屬性對應上,這裡用group_name
Tacacs+伺服器檔案設定
authentication.xml中加入使用者與組
![](https://img.laitimes.com/img/_0nNw4CM6IyYiwiM6ICdiwiIn5GcuYTOxgjM3MjN0gzMzEDMx8CX0ADNxAjMvwFMzUDOyMzLcl2Lc12bj5yZvxmY0lmbj5ycldWYtl2Lc9CX6MHc0RHaiojIsJye.png)
authorization.xml中加入對以上組的授權,在<AutoExec>中設定user_group的傳回值,對應自己的組,這個值是給應用程式用的,用來确認該user1使用者所屬的組
最後,測試指令如下
C:\Program Files (x86)\TACACS.net>tactest -s 127.0.0.1 -k pass -u user1 -author
-service shell
該測試指令傳回PassAdd中包含user_group
Linux下其他的Tacacs+伺服器配置可能不同,這裡隻介紹這個免費版Tacacs+伺服器的配置。