API Guide
要为 RADIUS over TLS 身份验证配置多个 RADIUS 服务器,请多次重新输入 radius-server host tls 命令。如果配置多个
RADIUS 服务器,OS10 会按照配置的顺序尝试连接。OS10 交换机一次连接一个配置的 RADIUS 服务器,直到 RADIUS 服务器通过接
受或拒绝响应进行响应。交换机尝试在配置的重新传输重试次数和超时期限内与服务器连接。
安全配置文件可确定交换机上的 X.509v3 证书,用于使用 RADIUS 服务器进行 TLS 身份验证。要为 OS10 应用程序配置安全配置文
件,请参阅安全配置文件。
为 RADIUS 服务器上允许的超时和重新传输尝试配置全局设置,如 RADIUS 身份验证中所述。
配置 RADIUS over TLS 身份验证服务器
OS10(config)# radius-server host 1.2.4.5 tls security-profile radius-prof key radsec
OS10(config)# radius-server retransmit 10
OS10(config)# radius-server timeout 10
Identifier GUID-34876C75-E1BB-4EBD-9195-674018515882
Version 6
Status Translation approved
TACACS+ 身份验证
通过输入服务器 IP 地址或主机名称来配置 TACACS+ 身份验证服务器。您还必须为用于验证 TACACS+ 主机上的 OS10 交换机的密钥
输入文本字符串。传输控制协议 (TCP) 端口条目是可选的。
TACACS+ 通过加密从交换机发送到身份验证服务器的数据包中的整个协议部分,提供更高的数据安全性。RADIUS 仅加密密码。
• 在 CONFIGURATION 模式下配置 TACACS+ 身份验证服务器。默认情况下,TACACS+ 服务器使用 TCP 端口 49 进行身份验证。
tacacs-server host {hostname | ip-address} key {0 authentication-key | 9 authentication-
key | authentication-key} [auth-port port-number]
重新输入 tacacs-server host 命令多次,以配置多个 TACACS+ 服务器。如果您配置多个 TACACS+ 服务器,OS10 会尝试
按配置的顺序进行连接。OS10 交换机一次连接一个配置的 TACACS+ 服务器,直到 TACACS+ 服务器使用接受或拒绝响应进行响
应。
配置 TACACS+ 服务器上允许的全局超时设置。默认情况下,OS10 在五秒后超时。未配置任何源接口。默认 VRF 实例用于联系
TACACS+ 服务器。
注: 您不能同时为 TACACS+ 身份验证配置非默认 VRF 实例和源接口。
注: 在非默认 VRF 上不支持使用主机名称配置的 TACACS+ 服务器。
• 在 CONFIGURATION 模式下,配置用于等待来自 TACACS+ 服务器的身份验证响应的全局超时,从 1 到 1000 秒;默认值为 5。
tacacs-server timeout seconds
• (可选)指定一个接口,其 IP 地址用作在 CONFIGURATION 模式中使用 TACACS+ 服务器进行用户身份验证的源 IP 地址。默认
情况下,未配置任何源接口。OS10 选择将数据包发送到 TACACS+ 服务器的任何接口的源 IP 地址。
注: 如果配置的源接口没有 IP 地址,则使用管理接口的 IP 地址。
ip tacacs source-interface interface
• (可选)默认情况下,交换机使用默认 VRF 实例与 TACACS+ 服务器进行通信。您可以选择在 CONFIGURATION 模式下配置非
默认或管理 VRF 实例以进行 TACACS+ 身份验证。
tacacs-server vrf management
tacacs-server vrf vrf-name
配置 TACACS+ 服务器
OS10(config)# tacacs-server host 1.2.4.5 key mysecret
OS10(config)# ip tacacs source-interface loopback 2
安全性
963