TACACS+ - prosta autentykacja i problem.

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba, Wojtachinho

Wiadomość
Autor
razor
wannabe
wannabe
Posty: 105
Rejestracja: 13 paź 2006, 22:02
Lokalizacja: Warszawa

TACACS+ - prosta autentykacja i problem.

#1

#1 Post autor: razor » 13 lis 2008, 21:33

Witam,
ćwiczę sobie AAA w oparciu o ACS + Cisco router / PIX. O ile z Radiusem problemów nie ma, schody pojawiają się przy próbie uruchomienia TACASA.
Wycinek z konfiga na PIXie:

Kod: Zaznacz cały

PixP# sh run aaa
aaa authentication serial console LOCAL 
aaa authentication telnet console TAC LOCAL
PixP# sh run aaa-server 
aaa-server TAC protocol tacacs+
aaa-server TAC host 10.0.4.254
 key cisco007
Na debugu wg. mnie trochę dziwna rzecz:

Kod: Zaznacz cały

PixP# mk_pkt - type: 0x1, session_id: 2147483657
 user: radek
 Tacacs packet sent 
Sending TACACS Start message. Session id: 2147483657, seq no:1 
Received TACACS packet. Session id:1906675948  seq no:2 
tacp_procpkt_authen: ERROR
TACACS Session finished. Session id: 2147483657, seq no: 1
mk_pkt - type: 0x1, session_id: 2147483657
 user: test007
 Tacacs packet sent 
Sending TACACS Start message. Session id: 2147483657, seq no:1 
Received TACACS packet. Session id:1389416408  seq no:2 
tacp_procpkt_authen: ERROR
TACACS Session finished. Session id: 2147483657, seq no: 1
Dane Login/Hasło wysyła w osobnych wiadomościach Tacacs+ - za każdym razem interpretowane są jako login (user: xxxx). Za każdą próbą zalogowania się wysyłane 2 wiadomości jak wyżej widać na debug. Hasła na 100% poprawne bo już po 10x (poza tym debug jest inny gdy wpisze złe hasło do serwera) więc na pewno nie jest to problem konfiguracji adresów i hasła na kliencie/serwerze.

Jakieś sugestie z waszej strony?

Awatar użytkownika
kktm
CCIE
CCIE
Posty: 2025
Rejestracja: 20 paź 2004, 14:43
Lokalizacja: Wrocław

Re: TACACS+ - prosta autentykacja i problem.

#2

#2 Post autor: kktm » 13 lis 2008, 23:35

razor pisze: Jakieś sugestie z waszej strony?
Nie powiedziales pix przez jaki interfejs osiagac serwer AAA
"Trust no one"

razor
wannabe
wannabe
Posty: 105
Rejestracja: 13 paź 2006, 22:02
Lokalizacja: Warszawa

#3

#3 Post autor: razor » 14 lis 2008, 07:56

PIX ma serwer na inside, poza tym zwykły 3640 po konfiguracji ma podobne problemy.

Bedi
wannabe
wannabe
Posty: 161
Rejestracja: 06 sie 2006, 23:27

#4

#4 Post autor: Bedi » 14 lis 2008, 08:03

sprawdź klucze po obu stronach

grzes1981
CCIE
CCIE
Posty: 23
Rejestracja: 16 lut 2007, 23:32

#5

#5 Post autor: grzes1981 » 14 lis 2008, 08:16

sprawdz co pisze w logach ACS
czy jest jakis blad
jezeli nic nie widac w logach ACS to prawdopodobnie brakuje komunikacji z serwerem ACS

razor
wannabe
wannabe
Posty: 105
Rejestracja: 13 paź 2006, 22:02
Lokalizacja: Warszawa

#6

#6 Post autor: razor » 14 lis 2008, 11:17

W logach mam "Key Mismatch" gdy ustawie specjalnie zły klucz, więc komunikacja jest.
Gdy przykładowo robię Telnet na PIX z hosta i jest włączone autentykacja TACACS po wpisaniu prawidłowych danych Pix prosi mnie jeszcze raz o wpisanie loginu/hasła. W przypadku radiusa nie ma problemu z zalogowaniem się na to konto.
Chyba szkoda naszego czasu, w końcu to Dynamips, nie wszystko musi działać w 100%.

Seba
CCIE/CCDE Site Admin
CCIE/CCDE Site Admin
Posty: 6223
Rejestracja: 15 lip 2004, 20:35
Lokalizacja: Warsaw, PL

#7

#7 Post autor: Seba » 14 lis 2008, 11:35

razor pisze: Chyba szkoda naszego czasu, w końcu to Dynamips, nie wszystko musi działać w 100%.
Chyba PEMU ;) No, ale niewazne, jak to zwal, tak to zwal. Nie mam niestety zadnego PIXa czy ASA z Tacacsem pod reka, ale z doswiadczenia i dawnych projektow powiem, ze dzialac to dziala, wiec moze jest jakis problem w emulacji.
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein

Awatar użytkownika
kktm
CCIE
CCIE
Posty: 2025
Rejestracja: 20 paź 2004, 14:43
Lokalizacja: Wrocław

#8

#8 Post autor: kktm » 14 lis 2008, 13:29

zamiast

Kod: Zaznacz cały

aaa-server TAC host 10.0.4.254 
wpisz

Kod: Zaznacz cały

aaa-server TAC (inside) host 10.0.4.254 
oczywiscie zamist inside wstawiasz nameif interfejsu do ktorego wpiety jest TACACS

daj znac czy to byl ten problem.
"Trust no one"

razor
wannabe
wannabe
Posty: 105
Rejestracja: 13 paź 2006, 22:02
Lokalizacja: Warszawa

#9

#9 Post autor: razor » 15 lis 2008, 22:56

Twoja rada nic nie zmienia (choć wcześniej na pewno tego tez próbowałem)

Pomogła natomiast reinstalacja ACS. Teraz tez chwilowo dziwne kwiatki wyskoczyły ale sytuacja już się ustabilizowała :)

ODPOWIEDZ