Inhaltsverzeichnis
Werbung
1
Rückgriff_auf_lokale_Benutzer
Für den Fall, dass die definierten TACACS+-Server nicht erreichbar sind, kann ein Rückgriff auf die lokalen
Benutzerkonten im Gerät erlaubt werden. So ist der Zugriff auf die Geräte auch bei Ausfall der TACACS+-Verbindung
möglich, z. B. um die TACACS+-Nutzung zu deaktivieren oder die Konfiguration zu korrigieren.
Mögliche Werte:
2
erlaubt, verboten
Default
2
erlaubt
5
Der Rückgriff auf lokale Benutzerkonten stellt ein Sicherheitsrisiko dar, wenn kein Root-Kennwort im Gerät
gesetzt ist. Daher kann die TACACS+-Authentifizierung mit Rückgriff auf lokale Benutzerkonten nur aktiviert
werden, wenn ein Root-Kennwort definiert ist. Wenn kein Root-Kennwort gesetzt ist, kann der
Konfigurationszugang zu den Geräten aus Sicherheitsgründen gesperrt werden, wenn die Verbindung zu den
TACACS+-Servern nicht verfügbar ist! In diesem Fall muss das Gerät möglicherweise in den
Auslieferungszustand zurückgesetzt werden, um wieder Zugang zur Konfiguration zu erhalten.
1
Shared-Secret
Das Kennwort für die Verschlüsselung der Kommunikation zwischen NAS und TACACS+-Server.
Mögliche Werte:
2
31 alphanumerische Zeichen
Default
2
Leer
5
Das Kennwort muss im Gerät und im TACACS+-Server übereinstimmend eingetragen werden. Eine Nutzung
von TACACS+ ohne Verschlüsselung ist nicht zu empfehlen.
1
SNMP-GET-Anfragen-Accounting
Zahlreiche Netzwerkmanagementtools nutzen SNMP, um Informationen aus den Netzwerkgeräten abzufragen. Auch
der LANmonitor greift über SNMP auf die Geräte zu, um Informationen über aktuelle Verbindungen etc. darzustellen
oder Aktionen wie das Trennen einer Verbindung auszuführen. Da über SNMP ein Gerät auch konfiguriert werden
kann, wertet TACACS+ diese Zugriffe als Vorgänge, die eine Authorisierung voraussetzen. Da LANmonitor diese
Werte regelmäßig abfragt, würde so eine große Zahl von eigentlich unnötigen TACACS+-Verbindungen aufgebaut.
Wenn Authentifizierung, Authorisierung und Accounting für TACACS+ aktiviert sind, werden für jede Anfrage drei
Sitzungen auf dem TACACS+-Server gestartet.
Mit diesem Parameter kann das Verhalten der Geräte bei SNMP-Zugriffen geregelt werden, um TACACS+-Sitzungen
für das Accounting zu reduzieren. Eine Authentifizierung über den TACACS+-Server bleibt dennoch erforderlich,
sofern die Authentifizierung für TACACS+ generell aktiviert ist.
5
Mit dem Eintrag einer Read-Only-Community unter LCOS-Menübaum / Setup / SNMP kann auch die
Authentifizierung über TACACS+ für den LANmonitor deaktiviert werden. Die dort definierte
Read-Only-Community wird dazu im LANmonitor als Benutzername eingetragen.
Mögliche Werte:
2
nur_für_SETUP_Baum: In dieser Einstellung ist nur bei SNMP-Zugriff auf den Setup-Zweig von LCOS ein Accounting
über den TACACS+-Server erforderlich.
2
alle: In dieser Einstellung wird für alle SNMP-Zugriffe ein Accounting über den TACACS+-Server durchgeführt.
Werden z. B. Status-Informationen regelmäßig abgefragt, erhöht diese Einstellung deutlich die Last auf dem
TACACS+-Server.
2
keine: In dieser Einstellung ist für die SNMP-Zugriffe kein Accounting über den TACACS+-Server erforderlich.
Default:
Referenzhandbuch
18 Weitere Dienste
1313
Werbung
Inhaltsverzeichnis
