H3CS3600与ACS配合做tacacs认证的典型配置一、组网需求:需要对登录交换机的telnet管理用户经过ACS的tacacs认证以确认其合法性。ACSServer和交换机之间只要路由通即可,无特殊要求。二、组网图:三、配置步骤:1.ACS侧配置(1)进入主界面(2)创建AAAClients点击NetworkConfiguration点击“AddEntry”输入“AAAClientHostname”,添加“AAAClientIPAddress”,设置“Key”,在“AuthenticateUsing”列表中选择认证使用的协议为“TACACS+(CiscoIOS)”,点击“Submit+Restart”创建完毕,以后可以根据需要在“AAAClientIPAddress”中添加IP,无需再次创建。此处的AAAClientIPAddress即为我们平常所说的NASIP。列表中可以看到新建的客户端的相关信息(3)配置Group点击“GroupSetup”从Group列表中选择要编辑的group1,点击“EditSettings”在“JumpTo”列表中选择“TACACS+”即可直接跳到TACACS+属性的设置界面勾选Shell(exec)和Privilegelevel并在Privilegelevel中填入允许用户拥有的权限,可填范围为0-15(其中3-15对应我司设备的level3权限)。然后点击Submit+Restart来提交生效。(4)创建用户点击“UserSetup”输入要创建的用户名“h3c”,点击“Add/Edit”,进入编辑画面,填写RealName和Description以及密码信息选择用户所属的组Group1,点击Submit2.设备侧配置(1)配置hwtacacs[H3C]hwtacacsschemeacs[H3C-hwtacacs-acs]primaryauthentication1.1.1.4[H3C-hwtacacs-acs]primaryauthorization1.1.1.4[H3C-hwtacacs-acs]primaryaccounting1.1.1.4[H3C-hwtacacs-acs]keyauthenticationh3c[H3C-hwtacacs-acs]keyauthorizationh3c[H3C-hwtacacs-acs]keyaccountingh3c[H3C-hwtacacs-acs]user-name-formatwithout-domain(2)配置domain[H3C]domainacs[H3C-isp-acs]schemehwtacacs-schemeacs(3)配置默认domain[H3C]domaindefaultenableacs(4)配置user-interface[H3C]user-interfacevty04[H3C-ui-vty0-4]authentication-modescheme[H3C-ui-vty0-4]accountingcommandsscheme四、配置关键点:(1)ACS上AAAClientIP配置的是设备的NASIP(2)AAAClient配置的key值需要与设备上hwtacacs配置的key保持一致(3)用户名是否携带域名可以按照需要配置,但要注意的就是携带域名的时候,ACS上配置的用户名也得携带域名.