割と迷走したので結果のみ以下にまとめておきます。
TACACS.net & Cisco 認証テストまとめ
1. 実現したこと
- TACACS.net の設定ファイルを書き換えて 何でも許可する設定 を適用
- 待受アドレスは
0.0.0.0ではなく192.168.10.1に変更 - サービス起動後、Cisco機器からのテストに成功
- 結果、Ciscoから 192.168.10.1 のTACACSサーバ に見えて認証OK
2. 実際の動作フロー
Cisco機器 → 192.168.10.1:49 (TACACS.netサーバ)
↑
Windows上のTACACS.netが直接応答
- Pythonは使わず、TACACS.net単体で動作
- portproxy(NAT)は最終的に不要だった
3. Cisco側のテストコマンド
test aaa group TAC-GRP KKGIT edogawano_unagi_osusumesinai legacy
成功時の結果例:
RT2#test aaa group TAC-GRP KKGIT edogawano_unagi_osusumesinai legacy Attempting authentication test to server-group TAC-GRP using tacacs+ User was successfully authenticated.
これが出れば、Cisco機器からTACACSサーバへの認証が成功しています。
4. 設定に使ったWindows側のコマンド
notepad "C:\Program Files (x86)\TACACS.net\TACACS.net.config.xml"
→ TACACS.net の待受アドレスやユーザ設定を編集eventvwr.msc
→ WindowsイベントビューアでTACACS認証ログを確認net stop "TACACS.net"/net start "TACACS.net"
→ 設定変更後にサービスを再起動
5. TACACS.net.config.xml の編集例
<Listener Address="192.168.10.1" Port="49" Key="dummykey" /> <Users> <User Name="*" Password="*" Permit="true"/> </Users>
※*にすることでどのユーザでも認証許可。
6. 結果
- Cisco機器 → TACACSサーバ間の通信OK
- TACACS.net 側で無条件に PASS を返す動作が確認できた
- テスト環境として十分に動作する状態になった
次のステップ案
FreeRADIUS + TACACS+ モジュールでLinux版構築も検討
キャプチャ結果を貼っておきます。
