1.搭建Tacacs+服務器

TACACS+（Terminal Access Controller Access Control System，終端訪問控制器控制系統協議）

是在TACACS協議的基礎上進行了功能增強的安全協議。該協議與RADIUS協議的功能類似，采用客戶端/服務器模式實現NAS與TACACS+服務器之間的通信

（1）TACACS+的用途

TACACS+協議主要用於PPP和VPDN（Virtual Private Dial-up Network，虛擬私有撥號網絡）接入用戶及終端用戶的AAA。

AAA是Authentication、Authorization、Accounting（認證、授權、計費）的簡稱，是網絡安全的一種管理機制，提供了認證、授權、計費三種安全功能。

認證：確認訪問網絡的遠程用戶的身份，判斷訪問者是否為合法的網絡用戶。

授權：對不同用戶賦予不同的權限，限制用戶可以使用的服務。例如用戶成功登錄服務器後，管理員可以授權用戶對服務器中的文件進行訪問和打印操作。

計費：記錄用戶使用網絡服務中的所有操作，包括使用的服務類型、起始時間、數據流量等，它不僅是一種計費手段，也對網絡安全起到了監視作用。

AAA一般采用客戶機/服務器結構，客戶端運行於NAS（Network Access Server，網絡接入服務器）上，服務器上則集中管理用戶信息。

NAS對於用戶來講是服務器端，對於服務器來說是客戶端。AAA的基本組網結構如下圖

（2）通信過程：

當用戶想要通過某網絡與NAS建立連接，從而獲得訪問其它網絡的權利或取得某些網絡資源的權利時，NAS起到了驗證用戶的作用。

NAS負責把用戶的認證、授權、計費信息透傳給服務器（RADIUS服務器或HWTACACS服務器），RADIUS協議或HWTACACS協議規定了NAS與服務器之間如何傳遞用戶信息。

TACACS+的典型應用是對需要登錄到設備上進行操作的終端用戶進行認證、授權、計費。設備作為TACACS+的客戶端，將用戶名和密碼發給TACACS+服務器進行驗證。用戶驗證通過並得到授權之後可以登錄到設備上進行操作。

（3）Tacacs 和Radius相比較：

2.開始搭建過程：

sudo apt-get install tacacs+

（1）編輯配置文件

sudo vi /etc/tacacs+/tac_plus.conf

testing123是tacacs+服務器和tacacs+客戶端（即我們的ursalink router）交互的密碼。

chunyu則是訪問ursalink router的用戶名，123456則是密碼。

（2）重啟

sudo /etc/init.d/tacacs_plus restart

重啟失敗：

解決問題：

（3）配置Ursalink 路由器

（4）tacacs+服務器上查看log

sudo vi /var/log/syslog

認證失敗？問題在於key！修改路由器配置：

（5）重新查看日誌：

sudo vi /var/log/syslog

認證成功！

Ubuntu14下搭建各種服務器之AAA認證2