TACACS+ Extreme OS

Auf Switchen von Extreme Networks kommt eine TACACS Version zum Einsatz, die mit dem vom DoD entwickelten TACACS, und auch der von CISCO erweiterten Variante TACACS+, weitgehend kompatibel ist. Ich konnte zumindest bisher keinerlei Einschränkungen in der Funktionalität feststellen.

Folgende Änderungen, bzw. Ergänzungen an der Switchkonfiguration sind notwendig:
configure tacacs primary server 1.2.3.4 49 client-ip 192.168.1.1 vr VR-Default
configure tacacs secondary server 3.4.5.6 49 client-ip 192.168.1.1 vr VR-Default
configure tacacs primary shared-secret encrypted "99%fshe3kks"
configure tacacs secondary shared-secret encrypted "99%fshe3kks"
configure tacacs-accounting primary server 1.2.3.4 49 client-ip 192.168.1.1 vr VR-Default
configure tacacs-accounting secondary server 3.4.5.6 49 client-ip 192.168.1.1 vr VR-Default
configure tacacs-accounting primary shared-secret encrypted "99%fshe3kks"
configure tacacs-accounting secondary shared-secret encrypted "99%fshe3kks"
enable tacacs
enable tacacs-authorization
enable tacacs-accounting
Im Beispiel werden zwei TACACS Server mit den IPs 1.2.3.4 und 3.4.5.6 definiert, die beide über VR-Default erreichbar sind.
Die Zeilen 1-4 definieren alle notwendigen Verbindungsparameter für die Authentifizierung und Authorisierung, die Zeilen 5-9 die entsprechenden Werte für Accouting.

In der Zeile 9 wird TACACS für die Authentifizierung aktiviert. Zeile 10 aktiviert die Verwendung von TACACS für die Authorisierung von Befehlen. Letztendlich wird in Zeile 11 noch der letzte Faktor von AAA, das Accounting, aktiviert.

Der Fallback auf die lokale Authentifizierung findet erst dann statt, wenn der TACACS Server nicht erreichbar ist!!! Ist er erreichbar ist eine Anmeldung ausschließlich mit den TACACS Anmeldedaten möglich.