Come configurare TACACS+ nel sistema di unified computing Cisco

1. Crea i tuoi provider TACACS+:

   1. Passare alla scheda Amministratore e, in Gestione utenti, espandere TACACS+. Fare clic con il pulsante destro del mouse su TACACS+ Providers e fare clic su Create TACACS+ Provider.
   2. Immettere la configurazione del server TACACS+ e cliccare su OK.
   3. Ripetere questo passaggio se è utilizzato più di un server TACACS+.

Figura 1. Creare il provider TACACS+

2. Creare un gruppo di provider TACACS+:
   1. Passare alla scheda Amministratore e, in Gestione utenti, espandere TACACS+. Fare clic con il pulsante destro del mouse su TACACS+ Provider Groups e fare clic su Create TACACS+ Provider Group.
   2. Assegnare al gruppo un nome (ad esempio, la posizione) e fare clic sui server configurati. Una volta selezionati i server, cliccare sul pulsante ">>" per aggiungerli al gruppo. Cliccare su OK per terminare. Se è presente più di un server, fornire a ogni server un numero d'ordine. Questo è l'ordine utilizzato da UCSM per autenticare gli utenti.

Figura 2. Creare il gruppo di provider TACACS+

3. Creare un dominio di autenticazione da utilizzare con TACACS+. Cisco sconsiglia di modificare la configurazione dell'autenticazione nativa in quanto può essere utilizzata come metodo di autenticazione di fallback nel caso in cui i server AAA non siano disponibili:
   1. Passare alla scheda Amministratore e, in Gestione utenti, espandere Autenticazione. Fare clic con il pulsante destro del mouse su Domini di autenticazione, quindi fare clic su Crea un dominio.
   2. Assegnarle un nome breve. Questa opzione viene visualizzata come un'opzione a discesa durante l'accesso a UCSM.
   3. In Area di autenticazione, selezionare TACACS+, quindi in Gruppo provider selezionare il gruppo TACACS+ creato, quindi fare clic su OK.

Passaggi utili per la risoluzione dei problemi:

• I server TACACS+ sono pingabili? Se i ping hanno esito negativo, esaminare la rete per capire perché i server TACACS+ non sono pingabili.

# connect local-mgmt

# ping x.x.x.x

• È possibile connettersi alla porta 49 (predefinita) sui server TACACS+? Questa porta è configurabile, quindi verificare quale porta viene utilizzata. 
  In caso di connessione corretta, la console dovrebbe passare a una schermata nera. Una connessione non riuscita genera un errore di timeout.
  Se Telnet non riesce, consultare il team di sicurezza per verificare se il traffico viene interrotto da un firewall o un router.

# connect local-mgmt

# telnet x.x.x.x 49

• È possibile effettuare l'accesso utilizzando le credenziali immesse? Se le credenziali sono state immesse correttamente, dovrebbe essere visualizzato un messaggio simile a "User has been authenticated".

# connect nx-os

# test aaa server tacacs+ [server IP] [username] [password]