Configuration de TACACS+ dans un système informatique unifié Cisco

1. Créez vos fournisseurs TACACS+:

   1. Accédez à l’onglet Admin et sous User Management, développez TACACS+. Cliquez avec le bouton droit de la souris sur Fournisseurs TACACS+, puis cliquez sur Créer un fournisseur TACACS+.
   2. Saisissez la configuration du serveur TACACS+ et cliquez sur OK.
   3. Répétez cette étape si plusieurs serveurs TACACS+ sont utilisés.

Figure 1 : Créer un fournisseur TACACS+

2. Créez un groupe de fournisseurs TACACS+:
   1. Accédez à l’onglet Admin et sous User Management, développez TACACS+. Cliquez avec le bouton droit de la souris sur Groupes de fournisseurs TACACS+ et cliquez sur Créer un groupe de fournisseurs TACACS+.
   2. Attribuez un nom au groupe (par exemple, emplacement), puis cliquez sur les serveurs que vous configurez. Une fois que vous avez sélectionné les serveurs, cliquez sur le bouton « >> » pour les ajouter au groupe. Cliquez sur OK pour terminer. S’il y a plusieurs serveurs, attribuez un numéro de commande à chaque serveur. Il s’agit de l’ordre que l’UCSM utilise pour authentifier les utilisateurs.

Figure 2 : Créer un groupe de fournisseurs TACACS+

3. Créez un domaine d’authentification à utiliser avec TACACS+. Cisco recommande de ne pas modifier la configuration de l’authentification native , car elle peut être utilisée comme méthode d’authentification de retour arrière dans le cas où vos serveurs AAA ne sont pas disponibles:
   1. Accédez à l’onglet Admin , puis sous User Management, développez Authentication. Cliquez avec le bouton droit de la souris sur Domaines d’authentification, puis cliquez sur Créer un domaine.
   2. Donnez-lui un nom abrégé. Il s’agit d’une option déroulante lors de la connexion à UCSM.
   3. Sous Realm, sélectionnez TACACS+, puis sous Provider Group, sélectionnez le groupe TACACS+ qui a été créé, puis cliquez sur OK.

Étapes de dépannage utiles:

• Les serveurs TACACS+ sont-ils pingables? Si les pings échouent, passez en revue le réseau pour voir pourquoi les serveurs TACACS+ ne sont pas pingables.

# connect local-mgmt

# ping x.x.x.x

• Est-il possible de se connecter au port 49 (par défaut) sur les serveurs TACACS+? Ce port est configurable. Vérifiez donc quel port est utilisé. 
  Si la connexion est établie, la console doit afficher un écran noir. L’échec de la connexion entraîne une erreur d’expiration du délai d’expiration.
  Si telnet échoue, consultez l’équipe de sécurité pour voir si le trafic est interrompu par un pare-feu ou un routeur.

# connect local-mgmt

# telnet x.x.x.x 49

• Est-il possible de se connecter à l’aide des informations d’identification saisies? Un message doit s’afficher si les informations d’identification ont été saisies correctement, similaire à « L’utilisateur a été authentifié ».

# connect nx-os

# test aaa server tacacs+ [server IP] [username] [password]