Auth-Proxy problem

[sebu]

topoplogia nastepujaca:

komp1 ACS (ethernet) Router1 AUTH-PROXY (serial) Router2 (ethernet) komp2
192.168.1.0 10.0.0.0 172.16.1.0

co dziala:
z kompa 2 inicjuje ruch po http do kompa1. Wyskakuje okienko z auth proxy wpisuje username, haslo i brak autoryzacji.
jest komunikacja z ACS-em (tacacs+), w logach w pozycji Failed atempts pojawiaja sie wpisy: User unknown
mam tez ustawione uwierzytelnianie na Routerze1 i przy logowaniu po ssh korzystajac z tej samej grupy wszystko smiga i w logach pojawia sie user sebu.

version 12.3
aaa new-model

aaa authentication login default group tacacs+
aaa authentication enable default group tacacs+
aaa authorization auth-proxy default group tacacs+


ip auth-proxy absolute-timer 10
ip auth-proxy name PROXY http

interface Ethernet0/0
ip address 192.168.1.50 255.255.255.0
!
interface Serial1/0
ip address 10.0.0.1 255.255.255.0
ip auth-proxy PROXY
clock rate 56000
!
ip route 172.16.0.0 255.255.0.0 10.0.0.2
ip http server
ip http access-class 10
ip http authentication aaa

access-list 10 deny any

!
tacacs-server host 192.168.1.100 key cisco123
tacacs-server directed-request
!

line vty 0 4
login authentication default
transport input ssh

debug aaa authorization i debug ip auth-proxy details mowia tak:

Mar 1 04:50:16.986: AUTH-PROXY:proto_flag=4, dstport_index=4
*Mar 1 04:50:16.986: SYN SEQ 2464976250 LEN 0
*Mar 1 04:50:16.986: dst_addr 192.168.1.2 src_addr 172.16.1.2 dst_port 80 src_port 4710
*Mar 1 04:50:16.986: clientport 4708 state 0
*Mar 1 04:50:17.006: AUTH-PROXY:proto_flag=4, dstport_index=4
*Mar 1 04:50:17.006: ACK 3933900324 SEQ 2464976251 LEN 0
*Mar 1 04:50:17.010: dst_addr 192.168.1.2 src_addr 172.16.1.2 dst_port 80 src_port 4710
*Mar 1 04:50:17.010: clientport 4710 state 0
*Mar 1 04:50:17.086: AUTH-PROXY:proto_flag=4, dstport_index=4
*Mar 1 04:50:17.086: PSH ACK 3933900324 SEQ 2464976251 LEN 512
*Mar 1 04:50:17.090: dst_addr 192.168.1.2 src_addr 172.16.1.2 dst_port 80 src_port 4710
*Mar 1 04:50:17.090: clientport 4710 state 0
*Mar 1 04:50:17.310: AUTH-PROXY:proto_flag=4, dstport_index=4
*Mar 1 04:50:17.314: PSH ACK 3933900324 SEQ 2464976763 LEN 49
*Mar 1 04:50:17.314: dst_addr 192.168.1.2 src_addr 172.16.1.2 dst_port 80 src_port 4710
*Mar 1 04:50:17.314: clientport 4710 state 0
*Mar 1 04:50:17.326: AAA: parse name=Serial1/0 idb type=-1 tty=-1
*Mar 1 04:50:17.326: AAA: name=Serial1/0 flags=0x15 type=3 shelf=0 slot=1 adapter=0 port=0 channel=0
*Mar 1 04:50:17.326: AAA: parse name=<no string> idb type=-1 tty=-1
*Mar 1 04:50:17.326: AAA/MEMORY: create_user (0x825C5908) user='NULL' ruser='NULL' ds0=0 port='Serial1/0' rem_addr='172.16.1.2' authen_type=ASCII service=LOGIN priv=0 initial_task_id='0', vrf= (id=0)
*Mar 1 04:50:17.330: Serial1/0 AAA/AUTHOR/HTTP(2177276230): Port='Serial1/0' list='default' service=AUTH-PROXY
*Mar 1 04:50:17.330: AAA/AUTHOR/HTTP: Serial1/0(2177276230) user=''
*Mar 1 04:50:17.330: Serial1/0 AAA/AUTHOR/HTTP(2177276230): send AV service=auth-proxy
*Mar 1 04:50:17.330: Serial1/0 AAA/AUTHOR/HTTP(2177276230): send AV cmd*
*Mar 1 04:50:17.330: Serial1/0 AAA/AUTHOR/HTTP(2177276230): found list "default"
*Mar 1 04:50:17.334: Serial1/0 AAA/AUTHOR/HTTP(2177276230): Method=tacacs+ (tacacs+)
*Mar 1 04:50:17.334: %AAA/AUTHOR/TAC+: (2177276230): no username in request
*Mar 1 04:50:17.334: AAA/AUTHOR/TAC+: (2177276230): send AV service=auth-proxy
*Mar 1 04:50:17.334: AAA/AUTHOR/TAC+: (2177276230): send AV cmd*
*Mar 1 04:50:17.543: AAA/AUTHOR (2177276230): Post authorization status = FAIL
*Mar 1 04:50:17.707: AUTH-PROXY:proto_flag=4, dstport_index=4
*Mar 1 04:50:17.707: ACK 3933901283 SEQ 2464976812 LEN 0
*Mar 1 04:50:17.711: dst_addr 192.168.1.2 src_addr 172.16.1.2 dst_port 80 src_port 4710
*Mar 1 04:50:17.711: clientport 4710 state 0
*Mar 1 04:50:17.715: AUTH-PROXY:proto_flag=4, dstport_index=4
*Mar 1 04:50:17.715: FIN ACK 3933901283 SEQ 2464976812 LEN 0
*Mar 1 04:50:17.715: dst_addr 192.168.1.2 src_addr 172.16.1.2 dst_port 80 src_port 4710
*Mar 1 04:50:17.719: clientport 4710 state 0
*Mar 1 04:50:49.599: AUTH-PROXY:auth_proxy_half_open_count-- 0

podejrzewam ustawienia ACS-a ale hmm nie doszukalem sie opcji zeby dana grupa userow byla uzywana do uwierzytelniania a do autoryzacji juz nie
No i dlaczego zamiast username-a przesyla sie user NULL i pisze ze no username in request ???
pls help

[Seba]

Po pierwszym rzucie oka wychodzi, że część routerowa jest OK. Musiałbyś wrzucić jakiegoś screen'a z ustawień na ACS, albo chociaż opis słowno-muzyczny.
Z grubsza powinieneś zrobić coś takiego:
- interface configuration -> tacacs (cisco IOS) -> New services (zaznaczasz checkbox dla group, nazwa serwisu auth-proxy, protocol IP)
- potem w group pojawi ci się pod częścią autoryzacyjną, checkbox i pola do wypełnienia związane właśnie z auth-proxy, zaznaczasz customs attributes i wpisujesz odpowiednie atrybuty, pamiętając o niezbędnym atrybucie (chyba nawet musi być pierwszy) priv-lvl=15, a potem juz deklaracje wpisów ACL proxyacl#1="permit tcp any any"
Chociaż spodziewam się, że to sobie też doczytałeś i zrobiłeś, ale kontrolnie potwierdź
Ewentualnie krótki opis czegoś takiego TUTAJ

[sebu]

dzieki seba za linka... co prawda wszystko mialem skonfigurowane choc bylo pare niedociagniec.

po pierwsze mialem ustawiony w ACSie service proxy_auth zamiast auth-proxy (jakas pozostalosc po starym labowaniu)

po drugie w linku ktory podales jest niescislosc (bug??). Mowia aby ustawic w InterfaceConfiguration->tacacs+ nowe usługi na auth-proxy z protokolem IP
Takie ustawienia powoduja blad autoryzacji (ACS mowi: service denied, service=auth-proxy cmd*)

konfigurujac zgodnie z opisem w Cisco IOS Release 12.3 Security Configuration Guide wszystko dziala. Roznica polega na skonfigurowaniu service auth-proxy ale bez wpisywania czegokolwiek w polu Protocol.
Spraedzalem to 2 razy i faktycznie jak wpisze IP w polu Protocol, to nie dziala, jak jest puste - dziala

Konfiguracja dotyczy ACS-a w wersji 3.3