NSX Advanced Load Balancer 支持使用 Terminal Access Controller Access Control System (TACACS+) 对 NSX Advanced Load Balancer 用户进行身份验证和授权。TACACS+ 是一种开放标准协议,用于处理身份验证和记帐。

创建 TACACS+ 配置文件

NSX Advanced Load Balancer 中,TACACS+ 设置是在身份验证配置文件中配置的。要创建 TACACS+ 身份验证配置文件,请完成以下步骤。

  1. 导航到模板 > 安全性 > 身份验证配置文件

  2. 单击创建以查看创建身份验证配置文件屏幕。

  3. 选择“TACACS_PLUS”作为类型

  4. TACACS+ 选项卡下,单击添加以输入 TACACS+ 服务器 IP 地址。

    注:

    您可以添加多个服务器。如果第一个服务器没有响应,NSX Advanced Load Balancer 将尝试下一个服务器。如果该服务器也没有响应,NSX Advanced Load Balancer 将尝试连接到再下一个服务器。每个服务器都会尝试一次。如果所有服务器都出现故障或超时,请求将失败。

  5. 输入 TACACS+ 服务器端口。默认情况下,该值为 49。

  6. 输入 TACACS+ 服务器共享密钥作为密码

  7. 选择在所有身份验证和授权查询中使用的 TACACS+ 服务类型。



  8. 授权属性下,单击添加,然后在名称下输入一组属性值对以标识主机。TACACS+ 服务器根据这些属性配置用户级别授权。Cisco 访问控制服务器 (Access Control Server, ACS) 通常要求填充“service”和“protocol”授权属性值,以便标识和授权 NSX Advanced Load Balancer 用户。可以使用 TACACS+ 服务器中的授权属性将用户映射到各种不同的角色和租户。

  9. 如果需要使用该属性,请选中必需



  10. 单击保存

身份验证和授权

使用 TACACS+ 对 NSX Advanced Load Balancer 用户进行身份验证和授权的过程如下所示:

  1. 将 AUTHEN START 数据包从 NSX Advanced Load Balancer 发送到 TACACS+ 服务器,其中包含:

    • action=login

    • authen_type=ascii

    • service=

    • user=

    • remote_addr=

  2. 将 AUTHEN REPLY 数据包从 TACACS+ 服务器发送到 NSX Advanced Load Balancer,其中包含 GETPASS 类型的状态,以指示需要为具有“密码”文本的用户消息字段提供密码。

  3. 将 AUTHEN CONTINUE 数据包从 NSX Advanced Load Balancer 发送到 TACACS+ 服务器,其中包含用户消息字段,并具有来自用户的实际密码。

  4. 将 AUTHEN REPLY 数据包从 TACACS+ 服务器发送到 NSX Advanced Load Balancer,其中包含:

    • SUCCESS 状态(如果密码有效并允许用户)

    • FAILED 状态

  5. 将 AUTHOR START 数据包从 NSX Advanced Load Balancer 发送到 TACACS+ 服务器,其中包含:

    • 用户的用户名

    • 用户的远程地址

    • 授权属性名称、值以及它们是否为必需的

    • 授权属性字符串“abc=xyz”,它表示名为“abc”的属性是必需的,并且值为“xyz”

    • 授权属性字符串“abc*xyz”,它表示名为“abc”的属性是可选的,并且值为“xyz”

  6. 将 AUTHOR REPLY 数据包从 TACACS+ 服务器发送到 NSX Advanced Load Balancer,其中包含以下内容之一:

    • PASS_ADD 或 PASS_REPL 状态,这会授权成功进行身份验证的用户添加或替换属性值对。

    • FAIL 状态,表示未授权用户。

加密

所有 TACACS+ 数据包进行了加密,而 12 字节标头以明文形式传送。加密是 TACACS+ 标准的一部分,与所有 TACACS+ 服务器兼容。

错误处理

在该过程中,如果在任何回复数据包的 Status 字段中指示错误,则拒绝用户登录并导致失败。