TACACS + -Ciscoルーター-ローカルデータベースへのフェイルオーバーが正常に動作していません

最後のlocalキーワードはフェイルオーバーに適しています。

問題は、フェイルオーバーが瞬時ではなく、発生するまでに最大30秒かかることです。

明らかに、テスト中、TACACSサーバーが利用できないことに気付くのに十分な時間待機していませんでした（メカニズムはtacacsをチェックするためにもっと考えていたでしょうが、失敗し、フェイルオーバーします）

aaa new-model

aaa authentication login {method} group {server} {fallback}

はい、ローカルデータベースを使用するには、フォールバックを「ローカル」にする必要があります。おそらく、tac plusdevガイドがあなたの質問に答えるかもしれません。

ユーザーとグループの構成TACACS +

各ユーザーはグループに属することができます（ただし、1つのグループのみ）。各グループは、順番に他の1つのグループに属することができ、以下同様に無限になります。ユーザーとグループは次のように宣言されます。ここでは、2人のユーザー「fred」と「lily」、および2つのグループ「admin」と「staff」を宣言します。

フレッドはグループ「admin」のメンバーであり、グループ「admin」はグループ「staff」のメンバーです。リリーはどのグループのメンバーでもありません。

user = lily {＃user lilyはどのグループのメンバーでもありません＃そしてまだ何も設定されていません}

user = fred {＃fredはグループadminのメンバーですmember = admin}

group = admin {＃groupadminはgroupstaff member = staffのメンバーです}

group = staff {＃グループstaffはどのグループのメンバーでもありません}再帰とグループ一般に、デーモンが値を検索するとき。パスワードの場合、最初にユーザーが自分のパスワードを持っているかどうかを確認します。そうでない場合は、彼女がグループに属しているかどうか、属している場合は、グループにパスワードが定義されているかどうかを確認します。そうでない場合、このプロセスは、値が見つかるか、グループがなくなるまで、グループの階層を介して続行されます（グループは別のグループのメンバーになることができます）。この再帰的プロセスは、有効期限のルックアップ、pap、arap、chapの「シークレット」、および認証パラメーター（後述）に対して発生します。

したがって、一般的な構成手法は、ユーザーをグループに配置し、グループ宣言でできるだけ多くのグループ全体の特性を指定することです。次に、個々のユーザー宣言を使用して、必要に応じて、選択したユーザーのグループ設定を上書きできます。

http://www.stben.net/tacacs/users_guide.html