附录 A. 使用共享密钥的 TACACS+ 认证配置示例 (Example TACACS+ Authentication Configuration with Shared Secret)
中文导读: 本节对应 RFC 9950 的 附录 A. 使用共享密钥的 TACACS+ 认证配置示例 (Example TACACS+ Authentication Configuration with Shared Secret) 部分, 对应文档标题为 RFC 9950 - 终端访问控制器访问控制系统增强版 (TACACS+) 的 YANG 数据模型. 下方若包含英文 RFC 原文, 注册表名称, 字段名, 算法名, 对象标识符, 媒体类型, 邮箱地址, URL, 代码, ABNF, ASN.1, YANG, JSON, XML, 测试向量或参考文献条目, 均按规范原样保留, 因为这些内容需要与 RFC 文本, IANA 注册表, 实现代码或验证工具逐字一致. 中文段落用于说明本节的作用, 阅读重点和实现含义, 不改变任何协议语义或注册值.
本页中的示例, 测试向量和样例报文用于帮助实现者验证编码, 解析, 互操作或错误处理行为. 示例值, 二进制串, Base64, 十六进制, JSON/XML 成员, HTTP/邮件头字段, 域名和地址均属于可复制测试材料, 因此不翻译. 中文说明只解释示例目的, 字段关系和使用注意事项.
图 2 给出了一个示例, 其中 TACACS+ 认证服务器实例使用共享密钥进行认证配置. 根据 [RFC9887], 不推荐使用此模式.
{
"ietf-system:system": {
"authentication": {
"user-authentication-order": [
"ietf-system-tacacs-plus:tacacs-plus",
"ietf-system:local-users"
]
},
"ietf-system-tacacs-plus:tacacs-plus": {
"server": [
{
"name": "tac_plus1",
"server-type": "authentication",
"address": "192.0.2.2",
"shared-secret": "QaEfThUkO198010075460923+h3TbE8n",
"source-ip": "192.0.2.12",
"timeout": 10
}
]
}
}
}
图 2: 使用共享密钥的示例
图 3 给出了将 TACACS+ 服务器与 VRF 相关联的示例.
{
"ietf-network-instance:network-instances": {
"network-instance": [
{
"name": "MANAGEMENT_VRF",
"description": "Management VRF for TACACS+ traffic isolation"
}
]
},
"ietf-system:system": {
"authentication": {
"user-authentication-order": [
"ietf-system-tacacs-plus:tacacs-plus",
"ietf-system:local-users"
]
},
"ietf-system-tacacs-plus:tacacs-plus": {
"server": [
{
"name": "tac_plus1",
"server-type": "authentication",
"address": "192.0.2.2",
"shared-secret": "QaEfThUkO198010075460923+h3TbE8n",
"source-ip": "192.0.2.12",
"vrf-instance": "MANAGEMENT_VRF",
"timeout": 10
}
]
}
}
}
图 3: 使用 VRF 的示例