Cisco tacacs+ zablokowalem sie ;)

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
Awatar użytkownika
qligowski
wannabe
wannabe
Posty: 262
Rejestracja: 16 maja 2014, 18:35

Cisco tacacs+ zablokowalem sie ;)

#1

#1 Post autor: qligowski »

Hej, Chcialem zmienic ustawienia tacacs na switchu i zmienic serwer tacacs. Niestety wkleilem z notatnika zle komendy i teraz nie moge wykonwayc zadnych polecen bo dostaje "authorization error".

Probowalem wylaczyc / zablokowac IP switcha bezposrednio na tacacs+ zeby sie zalogowal loklanym 'no_tacacs+' kontem ale wywala ten sam error.
Restart nie wchodzi w gre bo na koncu skryptu bylo 'wr' :/

Oto obecne ustawienia aaa. GLS-TACAS to jest stary serwer, tacacs+ nowy.

Kod: Zaznacz cały

username no_tacacs+ privilege 15 secret 5 $1$qvkl$EKuX4NikRwv/bss1/NKh2/
aaa new-model
!
!
aaa group server tacacs+ GLS-TACACS
 server-private 10.0.89.130 timeout 3 key 7 075C066F1A2414572E2653015C020E710A
 ip tacacs source-interface Vlan10
!
aaa authentication login default group tacacs+ local
aaa authentication enable default group tacacs+ enable
aaa authorization console
aaa authorization exec default group tacacs+ local 
aaa authorization commands 1 default group GLS-TACACS local 
aaa authorization commands 15 default group GLS-TACACS local 
aaa accounting commands 1 default start-stop group GLS-TACACS
aaa accounting commands 15 default start-stop group tacacs+
Wg mnie powieninem sie zalogowac i miec komendy priv 15 z loklanym kontem no_tacacs+ ale nie dziala autoryzacja

Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1861
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

Re: Cisco tacacs+ zablokowalem sie ;)

#2

#2 Post autor: frontier »

Powinieneś mieć:

Kod: Zaznacz cały

aaa authorization commands 1 default group GLS-TACACS if-authenticated
aaa authorization commands 15 default group GLS-TACACS if-authenticated 
Zostaje Ci wizyta na miejscu albo telefon do przyjaciela ;)
Ostatnio zmieniony 16 sty 2018, 08:14 przez frontier, łącznie zmieniany 1 raz.
Jeden konfig wart więcej niż tysiąc słów

Awatar użytkownika
Mariuniu
member
member
Posty: 16
Rejestracja: 19 lip 2013, 08:19
Lokalizacja: Gdańsk

Re: Cisco tacacs+ zablokowalem sie ;)

#3

#3 Post autor: Mariuniu »

Jeżeli możesz, to odetnij się, na next hopie lub dalej, od starego i od nowego tacacsa. Po timeout powinien zapytać o lokal. Daj znać czy działa.

Awatar użytkownika
qligowski
wannabe
wannabe
Posty: 262
Rejestracja: 16 maja 2014, 18:35

Re: Cisco tacacs+ zablokowalem sie ;)

#4

#4 Post autor: qligowski »

frontier pisze: Powinieneś mieć:

Kod: Zaznacz cały

aaa authorization commands 1 default group GLS-TACACS if-authenticated
aaa authorization commands 15 default group GLS-TACACS if-authenticated 
Zostaje Ci wizyta na miejscu albo telefon do przyjaciela ;)
A co by bylo jakbym zablokowal wlasnie IP do GLS-TACACS
bo pierwsza autoryzacja i aututentykacja jest do wlasciwego tacacs+ ale niestety wlasnie komendy sa autoryzowange przez GLS :/

Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1861
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

Re: Cisco tacacs+ zablokowalem sie ;)

#5

#5 Post autor: frontier »

qligowski pisze: 16 sty 2018, 08:17 A co by bylo jakbym zablokowal wlasnie IP do GLS-TACACS
bo pierwsza autoryzacja i aututentykacja jest do wlasciwego tacacs+ ale niestety wlasnie komendy sa autoryzowange przez GLS :/
Spróbuj. Szczerze mówiąc to nie wiem, trzebaby przelabować.
Jeden konfig wart więcej niż tysiąc słów

Awatar użytkownika
Wheelwright
member
member
Posty: 23
Rejestracja: 27 mar 2013, 07:06

Re: Cisco tacacs+ zablokowalem sie ;)

#6

#6 Post autor: Wheelwright »

Jeśli masz dostęp SNMP RW do tego urządzenia, to mógłbyś wysłać kawałek konfiguracji usuwający niewłaściwe wpisy. Raz się tak uratowałem, jak przez pomyłkę zapodałem transport input none w ustawieniach vty :) i nie mogłem się w ogóle zalogować.

Awatar użytkownika
Mariuniu
member
member
Posty: 16
Rejestracja: 19 lip 2013, 08:19
Lokalizacja: Gdańsk

Re: Cisco tacacs+ zablokowalem sie ;)

#7

#7 Post autor: Mariuniu »

Jeśli jesteś w stanie się odciąć od obu serwerów tacacs to po timeout aaa przejdzie do local. To jest najprostsze rozwiązanie.

Awatar użytkownika
qligowski
wannabe
wannabe
Posty: 262
Rejestracja: 16 maja 2014, 18:35

Re: Cisco tacacs+ zablokowalem sie ;)

#8

#8 Post autor: qligowski »

Szczescie w nieszczesciu ze MPLS sobie padl w weekend, blokujac tym samym dostep do tacacs i udalo mi sie zalogowac.
Dzieki 8)

ODPOWIEDZ