Autentykacja RADIUS + lokalna

[ben.]

Witam.
Mam na routerze włączona autentykacje by RADIUS.

Kod: Zaznacz cały

aaa authentication login default group tacacs+ enable

Chce też móc logować sie by ssh też na użytkowników utworzonych lokalnie.

tworze sobie lokalnie takiego usera

Kod: Zaznacz cały

username ludek privilege 15 xxxxxxx
 

jednak nie mogę się zalogować by ssh

ustawienia vty:

Kod: Zaznacz cały

line vty 0 4
 privilege level 15
 transport input ssh
line vty 5 15
 privilege level 15
 transport input ssh

czy jest możliwe żeby działały dwa sposoby autentykacji ?

EDIT: Do listingow konfiguracji, show, debug, etc uzywamy znacznikow

Kod: Zaznacz cały

Seba

[drake]

czy jest możliwe żeby działały dwa sposoby autentykacji ?

Hej,

zapoznaj sie z tym dokumentem Cisco AAA

a szybko sam sobie poradzisz. Mozna konfigurowac rozne metody uwierzytelniania i autoryzacji uzytkownikow oddzielnie np. do dostepu do sieci, do zarzadzania routerem, etc. Btw, radius i tacacs to dwa osobne protokoly... Po zapoznaniu sie z linkiem powiniens dac rade z konfiguracja

Pozdruffka!!

[ciul]

Kod: Zaznacz cały

aaa authentication login default local group tacacs+

lub

Kod: Zaznacz cały

aaa authentication login default group tacacs+ local

w zależności od tego czy chcesz aby najpierw była odpytywana lokalna baza użytkowników czy najpierw tacacs

[TomFil]

Witam,

Z tą drugą konfiguracją trzeba trochę uważać - przynajmniej w przypadku RADIUS'a. Miałem kiedyś taką konfigurację, że router autentykował dostęp w sewerze RSA a serwer był "za morzem" ,tzn. nie zawsze dostępny.
Gdy nie był dostępny i nie odpowiadał, nie było sposobu, żeby zalogować się na router. Może był tam jakiś brak w konfiguracji (była raczej dość podstawowa) ale co pamiętam z tamtej przygody to to żeby umieszczać local przed group.

Warto o tym pamiętać jak nie będzie można się zalogować na urządzenie i nie będzie wiadomo dlaczego (jest konto lokalne i znamy do niego hasło a router mówi "e-e, nie wejdziesz").

Pozdrawiam
Tomi

[kt]

Z tą drugą konfiguracją trzeba trochę uważać - przynajmniej w przypadku RADIUS'a. Miałem kiedyś taką konfigurację, że router autentykował dostęp w sewerze RSA a serwer był "za morzem" ,tzn. nie zawsze dostępny.
Gdy nie był dostępny i nie odpowiadał, nie było sposobu, żeby zalogować się na router. Może był tam jakiś brak w konfiguracji (była raczej dość podstawowa) ale co pamiętam z tamtej przygody to to żeby umieszczać local przed group.

Tak powinno być chyba nie wtedy, gdy serwer autentykacji 'za morzem' jest niedostępny (bo wtedy autentykuje po kolejnej metodzie z listy), a wtedy, kiedy jest dostępny, ale zwrócił odmowę dostepu dla podanych credentiali.

[okoo]

Tak podpinajac sie pod ten watek, to ja kiedys mialem problem, mianowicie na routerze byl VPN RA, no i dzialalo to w ten sposob ze user vpn mogl sie zalogowac przez ssh, co wiadomo bzdura, poradzilem sobie w ten sposob ze vpn zrobilem autentykacje z radiusa, ale jestem ciekaw czy da sie zrobic tak ze zarowno vpn jak i ssh korzystaja z lokalnej bazy ale da sie okreslic ktory user moze logowac sie przez ssh

[rimowals]

Tak powinno być chyba nie wtedy, gdy serwer autentykacji 'za morzem' jest niedostępny (bo wtedy autentykuje po kolejnej metodzie z listy), a wtedy, kiedy jest dostępny, ale zwrócił odmowę dostepu dla podanych credentiali.

Dokladnie tak to powinno dzialac - serwer niedostepny to bierzemy kolejna metode uwierzytelniania, dostepny, ale zwracajacy odmowe dostepu - kolejna metoda nie jest sprawdzana.