j2350 + ACS :(

Wiadomość

highlander · #1

Cześć

Nie mogę się zalogować do j2350 przy użyciu ACS4.2 (nie wazne czy tacacs czy radius).
Po dodaniu tego junipera do network configuration, ustawieniu shared key oraz RADIUS(Juniper) albo TACACS+(cisco) ACS cały czas loguje błędem oraz opisem "unknown NAS". Wspomniany juniper ma tylko jeden adres IP (więc nie ma możliwości aby przedstawiał się innym). Oto config jaki próbowałem:

Kod: Zaznacz cały


authentication-order [ tacplus radius passwor ];                                                                                                                                     
radius-server {                                                            
    10.10.10.130 {                                                        
        port 1645;                                                         
        secret "xxxxxx"; ## SECRET-DATA
        source-address 10.200.200.9;
    }
}
tacplus-server {
    10.10.10.130 {
        secret "xxxxxxx"; ## SECRET-DATA
        timeout 10;
        single-connection;
        source-address 10.200.200.9;
    }
}
radius-options {
    attributes {
        nas-ip-address 10.200.200.9;
   }
}

login {
    class super-user-local {
        idle-timeout 600;
        permissions all;
        allow-commands .*;
        allow-configuration .*;
    }
    user remote {
        uid 2011;
        class super-user-local;
    }
}

Authentication order zmieniałem aby przetestować raz radius raz tacacs. Za każdym razem ACS go nie rozumie (unknown NAS). Wersja ACS 4.2.0.124, wersja junos: 10.1R3.7.
Co może być nie tak ? Czy

Pozdrawiam

saturnv · #2

Mam

Kod: Zaznacz cały

Model: j2320
JUNOS Software Release [10.1R3.7]

ACS 4.2

I nie ma z tym zadnych problemów.
Kod na Juniperze podobny, z tym że nie mam określonego portu i źródłowego IP dla pakietów tacacsa.

Ustawienia na ACSie to tacacs cisco ios. Adres jaki podaje w ACSie to adres loopbacka routera.

Jedyna różnica to ta, że u mnie wszystko chodzi na portach 1812(auth) i 1813(acct).

#3

Kod: Zaznacz cały

authentication-order [ tacplus password ];
    root-authentication {
        encrypted-password "xxxxxxxxxxx."; ## SECRET-DATA
    }
    tacplus-server {
        x.x.x.x {
            secret "xxxxxxxxxxxxxxx"; ## SECRET-DATA
            source-address x.x.x.x;
        }
    }
    login {
        user dupa {
            uid 2001;
            class operator;
        }
        user remote {
            uid 2000;
            class super-user;
        }

Kod: Zaznacz cały

Model: j4350

i działa

w ACSie ustawione jako Tacacs+ (Cisco IOS)

ustaw inną klasę dla usera: remote na super-user a nie jakaś przez Ciebie zdefiniowana

dorvin · #4

ACS używa dwóch haseł - encryption key i shared secret. Upewnij się, że nie używasz na ACS tego pierwszego, albo ustaw oba na J i A.

highlander · #5

pousuwałem całą konfigurację i zrobiłem jeszcze raz:

Kod: Zaznacz cały

authentication-order [ radius password ];
radius-server {
    10.205.41.130 {
        port 1645;
        secret "$9$xxxxx"; ## SECRET-DATA
        source-address 10.200.12.9;
    }
}
tacplus-server {
    10.205.41.130 {
        secret "$9$RVdsasdasVw"; ## SECRET-DATA
        timeout 10;
        single-connection;
        source-address 10.200.12.9;
    }
}

login {    
    user remote {
        uid 2011;
        class super-user;
    }
}

Ustawienia na ACS to klient typu RADIUS(Juniper) z shared secret "test", ten sam secret ustawiony na juniperze (próbowałem też inne bardziej skomplikowane gdyby jakimś cudem juniper nie lubił za prostych haseł). Nie wykorzystuję radius key wrap (EAP-TLS).
Logi jakie są na juniperze:

Kod: Zaznacz cały

Oct 13 11:07:06   sshd: Added radius server 10.205.41.130 (10.205.41.130)
Oct 13 11:07:06   sshd: sendmsg to 10.205.41.130(10.205.41.130).1645: h->try:0 serv->num_tries:0, serv->max_tries:3 tries_per_addr:3, nleft:3, cur_addr:0
Oct 13 11:07:06   sshd: rad_send_request: Invalid RADIUS response received
Oct 13 11:07:06   sshd[25916]: Failed password for user2 from 10.200.12.82 port 50491 ssh2

Tym logom odpowiadają logi na ACS: "ACS password invalid".
Następnie zmieniam na ACS typ klienta na TACACS+(cisco) oraz zmieniam authentication-order na juniperze. Efekt: na juniperze:

Kod: Zaznacz cały

Oct 13 11:16:06   sshd: tac_send_authen: Invalid length field in msg response from server (64655 > 6)
Oct 13 11:16:06   sshd[26174]: Failed password for user2 from 10.200.12.82 port 57720 ssh2

A na ACS: "Key mismatch".
Resetowałem serwis ACS. Wszystko wskazuje na to, że shared key jest zły, ale przecież zmieniałem już pare razy bo obu stronach, uważając na spacje...
Oczywiście logując się na tego samego usera na inne urządzenia wszystko działa ok.
Hasło zmieniałem tak:

Kod: Zaznacz cały

root# set system tacplus-server 10.205.41.130 secret test
root# set system radius-server 10.205.41.130 secret test

Oczywiście zacommitowane. Co może być nie tak ?

#6

czemu nie zrobisz przez tacacsa ? + Tacacs (Cisco IOS)

highlander · #7

??? no przecież zrobiłem i opisałem wyniki....

#8

highlander pisze:??? no przecież zrobiłem i opisałem wyniki....

Kod: Zaznacz cały

authentication-order [ radius password ];

oj chyba nie

highlander · #9

Kod: Zaznacz cały

Następnie zmieniam na ACS typ klienta na TACACS+(cisco) oraz zmieniam authentication-order na juniperze. Efekt: na juniperze: 
Code:

Oct 13 11:16:06   sshd: tac_send_authen: Invalid length field in msg response from server (64655 > 6) 
Oct 13 11:16:06   sshd[26174]: Failed password for user2 from 10.200.12.82 port 57720 ssh2

Oj na pewno tak, napisałem że zmieniłem authentication-order na juniperze, pozatym w logach widać "tac_send_authen"

#10

wywal

Kod: Zaznacz cały

timeout 10;
        single-connection;

głupie pytanie ale ja mam często ten problem, jaka przeglądarką ustawiasz ACS'a Firefox?
Jak tak to usuń hasło i dodaj jeszcze raz ale przez IE

highlander · #11

wywaliłem, na wszelki wypadek zrebootowałem junipera. nie pomogło

Tak, też nie raz miałem problemy w róznych przeglądarkach, dlatego tylko spod IE konfiguruję. Ustawiłem jeszcze raz inne hasło (a nawet usunąłem i dodałem jeszcze raz klienta AAA w ACS) - ale problem ciągle pozostaje

EDIT: w ramach testów postawiłem freeradiusa i z nim juniper współpracuje bardzo ładnie.....a z cisco ACS nie

EDIT2: potestowałem inne urządzenia junipera (ex4200, ex4500) i bez problemu działają po tacacs/radius z tym samym ACS-em oraz identyczną konfiguracją. Nie wiem bo było w tamtej Jtce nie tak.

kafel · #12

Witam

Aby zakonczyc temat "Unknown NAS" + Radius (juniper) problem lezy w portach radiusa nalezy ustawic 1812 i 1813 ot cały problem.

Pozdrawiam

highlander · #13

Kafel: to by było bardzo dziwne gdyby to był problem numerów portów - co one mają wspólnego z payloadem ?
Przecież serwer ACS odbierał te pakiety i system przekazywał je aplikacji - więc jakie znaczenie dla aplikacji która je przetwarzało mogło mieć to na jaki port przyszedł pakiet ?

Pozdrawiam
P.S Jak dotąd przetestowałem szereg EX oraz kilka SRX na różnych wersja softu (od całkiem starych do najnowszej) i takich problemów nie miałem.

#14

highlander pisze:Kafel: to by było bardzo dziwne gdyby to był problem numerów portów - co one mają wspólnego z payloadem ?
Przecież serwer ACS odbierał te pakiety i system przekazywał je aplikacji - więc jakie znaczenie dla aplikacji która je przetwarzało mogło mieć to na jaki port przyszedł pakiet ?

Pozdrawiam
P.S Jak dotąd przetestowałem szereg EX oraz kilka SRX na różnych wersja softu (od całkiem starych do najnowszej) i takich problemów nie miałem.

aż dzisiaj wezmę sztukę do domu i sprawdzę dokładnie na Twojej wersji softu, postaram się dzisiaj wieczorem sprawdzić i napisać