Portnox TACACS+ 容器镜像文档

镜像概述

Portnox TACACS+ 容器镜像用于在容器环境中部署和运行Portnox TACACS+服务器。该容器接收来自网络设备（如交换机、路由器、防火墙）的TACACS+消息，通过加密TLS连接与Clear云服务通信，并基于Portnox Cloud中定义的策略进行认证和授权响应。

核心功能与特性

• 云环境适配：实现基于令牌的认证机制，简化在云环境中的部署和运行流程
• 镜像升级：自1.1.50版本起，镜像名称从portnox/local-tacacs变更为portnox/portnox-tacacs
• 配置简化：移除了对--container-mode参数的依赖，降低配置复杂度

已知限制

由于TACACS+协议特性限制，建议将NAS（网络接入服务器，如交换机、路由器、防火墙等）与Portnox TACACS+容器之间的通信通过***隧道封装，以避免NAT穿越问题导致的服务异常。

使用场景与适用范围

适用环境

• 硬件要求：仅支持Linux主机（需使用Docker的host网络模式，该模式仅Linux系统支持）
• 不支持平台：Windows和MacOS（因不支持Docker host网络模式）

典型应用场景

• 企业网络设备（交换机、路由器、防火墙）的集中认证与授权
• 需要TACACS+协议支持的网络访问控制环境
• 基于云策略管理的网络设备身份验证场景

使用方法与配置说明

前提条件

1. 登录Clear平台，进入"设置"页面
2. 在"SERVICES"部分点击"LOCAL TACACS+ SERVICE"
3. 选择相应配置文件，获取并复制运行容器所需的环境变量（TACACS_GATEWAY_PROFILE、TACACS_GATEWAY_ORG_ID、TACACS_GATEWAY_TOKEN）

Docker Engine部署

基本运行命令

使用以下命令在Linux主机上运行容器（需替换环境变量为实际值）：

bash
docker run -d --network host -p 49:49 --name portnox-tacacs --restart=on-failure \
  -e TACACS_GATEWAY_PROFILE=$TACACS_GATEWAY_PROFILE \
  -e TACACS_GATEWAY_ORG_ID=$TACACS_GATEWAY_ORG_ID \
  -e TACACS_GATEWAY_TOKEN=$TACACS_GATEWAY_TOKEN \
  portnox/portnox-tacacs:latest

通过文件传递令牌

如需通过文件传递认证令牌，可使用以下命令（将令牌文件挂载到容器中）：

bash
docker run -d --network host -p 49:49 --name portnox-tacacs --restart=on-failure \
  -e TACACS_GATEWAY_PROFILE=$TACACS_GATEWAY_PROFILE \
  -e TACACS_GATEWAY_ORG_ID=$TACACS_GATEWAY_ORG_ID \
  -e TACACS_GATEWAY_TOKEN=/mnt/secrets/clear-tacacs-gw-token \
  -v ~/clear-tacacs-gw-token:/mnt/secrets/clear-tacacs-gw-token \
  portnox/portnox-tacacs:latest

参数说明

容器运行参数

• --network host: 使用主机网络模式（必需，仅Linux支持）
• -p 49:49: 映射TACACS+服务端口
• --restart=on-failure: 容器故障时自动重启

环境变量

• TACACS_GATEWAY_PROFILE: TACACS网关配置文件ID（从Clear平台获取）
• TACACS_GATEWAY_ORG_ID: 组织ID（从Clear平台获取）
• TACACS_GATEWAY_TOKEN: 认证令牌（从Clear平台获取，或指定令牌文件路径）