使用ISE爲IOS和ASA作tacacs+認證

首先TACACS+是基於TCP 49的協議。因此這也能解釋tacacs+和radius的基本區別：radius是一個UDP大包被全部的受權結果一股腦的推給終端，而tacacs+的TCP就能夠基於每行一個命令一個個受權。
路由器的aaa命令

aaa group server tacacs+ ISE
server-private 192.168.133.11 key cisco123

aaa new-model

aaa authentication login default group ISE local
aaa authentication enable default group ISE enable
aaa authorization config-commands
aaa authorization exec ISE group ISE local
aaa authorization commands 0 default group ISE local none
aaa authorization commands 1 default group ISE local none
aaa authorization commands 7 default group ISE local none
aaa authorization commands 15 default group ISE local none
aaa accounting exec default start-stop group ISE
aaa accouting commands 0 default start-stop group ISE
aaa acounting commands 1 default start-stop group ISE
aaa acounting commands 7 default start-stop group ISE
aaa accouting commands 15 default start-stop group ISE

講下default關鍵字，之前總理解很差。
default method：A default method list is configured globally and is automatically applied to all the interfaces on a device (vty/http/console/AUX)

我我的在最實驗的時候以爲privilege 7意義不大，自己能夠調用的命令就少。

device admin policy sets也是分紅authentication 和authorization， 和radius的policy sets相似。authentication policy的目的就是基於正確的protocol（通常都是tacacs+）和別的限制條件(例如可使用device type等) 使用正確的identity store。

authoriztion policy的受權結果分兩部分：command sets 和shell profile 直接截圖就知道各自包含什麼。
全部命令都permit

Operator的shell，只容許show 或者進入接口開關。

shell profile，因爲兩個shell profile都是default 0 maximum 15， 不反覆截圖了。
咱們看到line vty 下的acl 或者timeout時間都是能夠經過ISE推的。

截圖看下policy sets

咱們看下tacacs+基於每條命令的受權

因爲有了command sets的存在，將一條條的特定的命令搬到privilege 1-14裏面實際就不是一個在生產環境可行的作法。

補充一個用radius作認證的對比，雖然不怎麼用，可是考試居然考。。。蠢的一逼

最重要的其實知道那個authorization profile怎麼配置: shell:priv-lvl=15

策略就沒啥好說的了

主要看測試結果，貼路由器的命令，記住由於radius是將策略結果一塊兒推過來，因此須要也只須要配置這兩句話：

aaa authentication login default group ISE local
aaa authorization exec default group radius local