我在交换机和路由器上使用 Tacacs+ 配置了 aaa,但是当我尝试通过 SSH 连接到交换机时,当我尝试使用本地数据库用户时,它只接受 Tacacs+ 用户,我得到“% 授权失败”。
以下是aaa配置:
aaa 新模式
aaa 认证登录默认本地
aaa 授权 exec 默认组 tacacs+ 本地
aaa 授权命令 15 个默认组 tacacs+
aaa 会计执行默认启停组 tacacs+
aaa 记帐命令 15 默认启停组 tacacs+
% 授权失败。当我尝试使用本地数据库用户名连接到交换机时出现消息
网络工程
思科-ios
cisco催化剂
啊啊啊
授权
2021-07-11 23:56:29
1个回答
您正在正确进行身份验证,但命令
aaa authorization exec default group tacacs+ local
意味着为了启动执行会话(即命令行外壳),交换机将检查 Tacacs 服务器以获取您的凭据。因为大概他们不在那里,所以授权失败。当 Tacacs 服务器不可用时,它只会使用本地数据库。
一个有用的提示:如果您有(读取)Tacacs 服务器的访问权限,请检查“失败尝试”日志或 Tacacs 事件日志(取决于 ACS 版本)。它会告诉您事件失败的原因,因此您可以去修复它。
其它你可能感兴趣的问题