> For the complete documentation index, see [llms.txt](https://adavyshin.gitbook.io/networks/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://adavyshin.gitbook.io/networks/docs/nastroika-tacacs-autentifikacii.md).
# Настройка TACACS аутентификации
🧭 Настроить
Заранее стоить отметить, что коммутатор у нас незапаролленный и вообще в конфигурации не присутствует ни одна учетная запись. Для того чтобы настроить TACACS+ сервер, необходимо включить новую модель командой `aaa new-model`, а тут можно попасть в ловушку, если у вас не присутствует пароль на `enable` и хотя бы одна локальная учётная запись.
```
username fallback privilege 15 secret Pa$$w0rd
enable secret Pa$$w0rd
!
aaa new-model
```
```
line vty 0 4
logging synchro
transport input ssh
```
Объявляем TACACS+ сервер, где будут централизовано храниться учётные записи:
```
tacacs server TACACS-SRV
address ipv4 172.30.0.120
key Gobbledygook
```
Создаем группу TACACS+ серверов, куда добавляем прописанный ранее сервер
```
aaa group server tacacs+ TACACS-GROUP
server name TACACS-SRV
```
А теперь создаём sequence для Authentication, Authorization and Accounting
```
aaa authentication login default group TACACS-GROUP local
aaa authorization exec default group TACACS-GROUP local
aaa authorization config-commands
aaa authorization commands 1 default group TACACS-GROUP local
aaa authorization commands 15 default group TACACS-GROUP local
aaa accounting exec default start-stop group TACACS-GROUP
aaa accounting commands 1 default start-stop group TACACS-GROUP
aaa accounting commands 15 default start-stop group TACACS-GROUP
```
Теперь откроем Web GUI по URL `http://172.30.0.120:8008`, тут открывается графическая консоль проекта TacacsGUI. Очень удобна вещь для демонстративного AAA-сервера. В верхнем меню у нас есть 4 раздела.
* Tacacs - раздел, где представлены все настройки завязанные на функционале протокола TACACS+
* GUI - раздел, где конфигурируются настройки связанные с административным доступом к самому серверу
* Reports - раздел, где визуализируются все журналы, связанные с аутнетификацией, авторизацией и аккаунтингом
* `Radius` - раздел не рабочий
Изначально, нам нужно зарегистрировать устройство на Tacacs-сервере, чтобы сервер обрабатывал запросы от сетевых устройств. Заходим в раздел `Tacacs Devices` - `Devices`. Кликаем на кнопку +Add, где добавляем новое устройство.
Указываем имя нашего коммутатора в поле `Name`, которое является локальный идентификатором в TacacsGUI. При открытии поля `Address` откроется еще одно меню, где можно создать объекты. В поле `Tacacs Key` прописываем ключ, который ранее делали на самом коммутаторе.
Теперь займёмся пользователями, изначально подготовим сервисные объекты, которые мы упакуем эти объекты в контейнер, который характеризует пользователя.
Открываем `Access Control` -> `Services`, далее `Add New Service`. Тут создаём профайл, где мы сможем указать какой уровень `privilege`. Первым делом прописываем имя нашего профиля `Privilege-15`. Нужно создать в профайле атрибуты для Cisco-устройств из библиотеки `Service Patterns` -> `Cisco Systens` -> `Cisco General`. После этого у нас появится новая вкладка Cisco General.
Открываем вкладку `Cisco General`, в разделе `General` увидим `Privilege Level` выставленный в значение `15`, это значение по умолчанию. Раздел CMD Set отвечает за покомандную авторизацию, который как раз запрещается `show interface`, но разрешает `show interface Ethernet 0/0`.
Теперь создаём пользователя идём по разделу `Tacacs User` -> `Users`, где создаем нового пользователя.
Создаём пользователя с следующими атрибутами: задаём имя пользователя в `Username` - `superadmin`, указываем пароль и в атрибут `Service` добавляем профайл `Privilege-15`.
После того как вы сделали изменения на сервере, всё эта надо сохранить. В правом верхнем углу, появляется иконка дискеты, которая сообщает нам, что у нас есть не сохранённые изменения на нашем сервере. Нажимаем на неё.
Для применения настроек нажимаем на кнопку 💾 Apply
🔌 И проверяем вход на коммутатор уже по TACACS+ учётной записи.
---
# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.
## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://adavyshin.gitbook.io/networks/docs/nastroika-tacacs-autentifikacii.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.