下面我们将介绍在ASA上如何利用配置Cisco ACS TACACS 服务器以对TELNET管理用户的密码进行修改。
注意:以下方法对SSH及ASDM管理用户的密码修改无效。
ASA上的配置:
1. 定义 TACACS aaa-server
5580-20-1(config)# show runn aaa-server TACACS17 aaa-server TACACS17 protocol tacacs+ aaa-server TACACS17 (inside) host 10.148.1.17 key cisco 5580-20-1(config)#
2. 定义TELNET的认证类型
5580-20-1(config)# show runn aaa
aaa authentication telnet console TACACS17 5580-20-1(config)#
ACS/TACACS 服务器配置:
1. 在 Interface-TACSACS(Cisco IOS)菜单下,选择高级配置功能 (Advanced Configuration Options)
2. 复选高级TACACS+功能 (Advanced TACACS+ Feautures)
3. 在组管理 (Group)下,转到密码老化规则 (Password Aging Rules),然后复选应用密码修改规则 (Apply password change rule)
4. 在用户管理 (User)转到TACACS+使能密码功能 (TACACS+ Enable PAssword),然后复选使用CISCO PAP密码 (Use Cisco PAP Password)
5. 在系统配置 (System Configuration)下选择本地密码管理 (Local Password Management)并设置相应的策略
Telnet会话的密码修改
用户在首次登陆时会被提示修改密码,按照提示进行操作即可。
修改的系统日志
%ASA-6-113010: AAA challenge received for user telnet1 from server mcs-ibm3.
%ASA-6-113004: AAA user authentication Successful : server = mcs-ibm3 : user = telnet1