Як налаштувати TACACS+ в уніфікованій обчислювальній системі Cisco

1. Створіть своїх постачальників TACACS+:

   1. Перейдіть на вкладку Адміністратор і в розділі Керування користувачами розгорніть розділ TACACS+. Клацніть правою кнопкою миші пункт Постачальники TACACS+ і виберіть команду Створити постачальника TACACS+.
   2. Введіть конфігурацію сервера TACACS+ і натисніть кнопку OK.
   3. Повторіть цей крок, якщо використовується кілька серверів TACACS+.

Малюнок 1: Створіть постачальника TACACS+

2. Створіть групу постачальників TACACS+:
   1. Перейдіть на вкладку Адміністратор і в розділі Керування користувачами розгорніть розділ TACACS+. Клацніть правою кнопкою миші пункт Групи постачальників TACACS+ і виберіть команду Створити групу постачальників TACACS+.
   2. Введіть ім'я групи (наприклад, розташування) і виберіть сервери, які потрібно настроїти. Після того, як ви вибрали сервери, натисніть кнопку ">>", щоб додати їх до групи. Натисніть кнопку OK , щоб завершити. Якщо серверів декілька, надайте кожному з них номер замовлення. Це порядок, який UCSM використовує для аутентифікації користувачів.

Малюнок 2: Створіть групу постачальників TACACS+

3. Створіть домен автентифікації для використання з TACACS+. Cisco рекомендує не змінювати конфігурацію власної автентифікації , оскільки її можна використовувати як резервний метод автентифікації, якщо ваші сервери AAA недоступні:
   1. Перейдіть на вкладку Адміністратор і в розділі Керування користувачами розгорніть розділ Автентифікація. Клацніть правою кнопкою миші пункт Домени автентифікації та виберіть команду Створити домен.
   2. Дайте йому коротку назву. Це представлено як випадаючий варіант при вході в UCSM.
   3. У розділі Область виберіть пункт TACACS+, у розділі Група постачальника виберіть створену групу TACACS+ і натисніть кнопку OK.

Корисні кроки з усунення несправностей:

• Чи можна пінгувати сервери TACACS+? Якщо пінг не вдається, перегляньте мережу, щоб дізнатися, чому сервери TACACS+ не можна пінгувати.

# connect local-mgmt

# ping x.x.x.x

• Чи можна підключитися до порту 49 (за замовчуванням) на серверах TACACS+? Цей порт можна налаштувати, тому перевірте, який порт використовується. 
  При успішному підключенні консоль повинна вийти на чорний екран. Помилка підключення призводить до помилки тайм-ауту.
  Якщо telnet не працює, зверніться до команди безпеки, щоб дізнатися, чи не пропускає трафік брандмауер або маршрутизатор.

# connect local-mgmt

# telnet x.x.x.x 49

• Чи можна увійти, використовуючи введені облікові дані? Якщо облікові дані введено правильно, має з'явитися повідомлення, наприклад "Користувача автентифіковано".

# connect nx-os

# test aaa server tacacs+ [server IP] [username] [password]