Tacacs

Problemy z pozostałymi technologiami (SDH, IronPort, WAAS itp.)
ODPOWIEDZ
Wiadomość
Autor
natash
wannabe
wannabe
Posty: 315
Rejestracja: 07 gru 2005, 00:00

Tacacs

#1

#1 Post autor: natash »

Panowie,

Gdzie leży problem lub czego nie rozumiem :).

Kod: Zaznacz cały

aaa group server tacacs+ TAC
 server-private [b][dobre IP][/b] timeout 2 key 7 [b][zły klucz][/b]
 server-private [b][dobre IP][/b] timeout 2 key 7 [b][dobry klucz][/b]
Dlaczego nie mogę wbić na pudło, nie mogę znaleźć jak działa mechanizm jak jest złe hasło na pudle, tzn inne niż na tacacsie, bo nie mogę się zalogować. Czy jak pierwszy wpis jest zły to następny już nie jest brany pod uwagę?

Po co są wpisy na końcu configu?

Kod: Zaznacz cały

tacacs-server host [adres IP] key 7 [klucz]
tacacs-server host [adres IP]  key 7 [klucz]
Na górę
Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1861
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

#2

#2 Post autor: frontier »

Hej,

Masz po prostu skonfigurowane serwery przy użyciu dwóch różnych składni, pierwsza to aaa group server druga tacacs-server / radius-server.

A dlaczego nie przechodzi na drugi przy złym kluczu? Dziwne, spodziewałbym się że będzie próbował drugiego serwera... A w ogóle to jak masz skonfigurowane aaa authentication?

Btw. PANIE tutaj też zaglądają :)
Ostatnio zmieniony 08 kwie 2015, 13:09 przez frontier, łącznie zmieniany 1 raz.
Jeden konfig wart więcej niż tysiąc słów
Na górę
natash
wannabe
wannabe
Posty: 315
Rejestracja: 07 gru 2005, 00:00

#3

#3 Post autor: natash »

Sprawa jest dziwna.

Kod: Zaznacz cały

Router

aaa authentication attempts login 10
aaa authentication login ADMIN-ACCESS group TACPLUS local
aaa authentication login CONSOLE-ACCESS line local
aaa authentication enable default group TACPLUS enable

aaa group server tacacs+ TACPLUS
 server-private <wrong ip> timeout 2 key 7 <key>
 server-private <correct ip> timeout 2 key 7 <key>

tu używa local.


Switch nie chcę się w ogóle połączyć, musiałem postawić wydmuszkę tacacsa na linuxie z <wrong ip> żeby się zalogować i zmieniać config.
Na górę
Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1861
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

#4

#4 Post autor: frontier »

Coś dziwnego, sprawdziłem na moim routerze i mam domyślny timeout 5 sec. U Ciebie jest jeszcze mniej bo 2... powinien przejść na drugi server.

Kod: Zaznacz cały

*Apr  8 13:38:10.651: TPLUS: Queuing AAA Authentication request 19 for processing
*Apr  8 13:38:10.655: TPLUS: processing authentication start request id 19
*Apr  8 13:38:10.659: TPLUS: Authentication start packet created for 19()
*Apr  8 13:38:10.659: TPLUS: Using server 192.168.42.13
*Apr  8 13:38:10.671: TPLUS(00000013)/0/NB_WAIT/66654B2C: Started 5 sec timeout
*Apr  8 13:38:15.667: TPLUS(00000013)/0/NB_WAIT: socket event 2
*Apr  8 13:38:15.671: TPLUS(00000013)/0/NB_WAIT: write to 192.168.42.13 failed with errno 257((ENOTCONN))
*Apr  8 13:38:15.671: TPLUS: Authentication start packet created for 19()
*Apr  8 13:38:15.675: TPLUS: Choosing next server 192.168.42.44
*Apr  8 13:38:15.683: TPLUS(00000013)/1/NB_WAIT/66654B2C: Started 5 sec timeout
*Apr  8 13:38:15.683: TPLUS(00000013)/66654B2C: releasing old socket 0
*Apr  8 13:38:15.699: TPLUS(00000013)/1/NB_WAIT: socket event 2
*Apr  8 13:38:15.703: TPLUS(00000013)/1/NB_WAIT: wrote entire 38 bytes request
*Apr  8 13:38:15.703: TPLUS(00000013)/1/READ: socket event 1
*Apr  8 13:38:15.703: TPLUS(00000013)/1/READ: Would block while reading
*Apr  8 13:38:15.711: TPLUS(00000013)/1/READ: socket event 1
*Apr  8 13:38:15.711: TPLUS(00000013)/1/READ: read entire 12 header bytes (expect 16 bytes data)
*Apr  8 13:38:15.711: TPLUS(00000013)/1/READ: socket event 1
*Apr  8 13:38:15.715: TPLUS(00000013)/1/READ: read entire 28 bytes response
*Apr  8 13:38:15.715: TPLUS(00000013)/1/66654B2C: Processing the reply packet
*Apr  8 13:38:15.715: TPLUS: Received authen response status GET_USER (7)

.13 nie istnieje, .44 tak. Spróbuj debug tacacs.
Ostatnio zmieniony 08 kwie 2015, 13:41 przez frontier, łącznie zmieniany 1 raz.
Jeden konfig wart więcej niż tysiąc słów
Na górę
natash
wannabe
wannabe
Posty: 315
Rejestracja: 07 gru 2005, 00:00

#5

#5 Post autor: natash »

No właśnie gdzie leży problem? ACS?
Na górę
Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1861
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

#6

#6 Post autor: frontier »

Zaraz zaraz, ale ustalmy jedno: miałeś zły klucz? Jeżeli tak no to wtedy faktycznie nie przechodzi na drugi server aaa, próbuje się 3x połączyć z pierwszym i daje spokój... Ten mój debug dotyczył sytuacji gdy pierwszy adres IP jest niepoprawny.
Jeden konfig wart więcej niż tysiąc słów
Na górę
natash
wannabe
wannabe
Posty: 315
Rejestracja: 07 gru 2005, 00:00

#7

#7 Post autor: natash »

No to wszystko jasne. Hmmm dziwne zachowanie, jak jest zły IP działa. A jak IP jest dostępne (ACS) ale niema na nim Tacacsa tylko Radius?
Na górę
Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1861
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

#8

#8 Post autor: frontier »

Gdy jest uwierzytelnianie przez TACACS, zanim pojawi się prompt username router próbuje się skomunikować z TACACSem a ten odpowiada że jest zły klucz. Router próbuje ponownie... aż się wyczerpie aaa authentication attempts login, domyślnie 3. Podobnie wygląda gdy w ogóle nie ma klienta AAA na ACSie, router też dostaje odpowiedź że coś nie halo i próbuje po raz kolejny.

Jak jest ustawiony na adres IP który nie odpowiada no to połączenie timeout'uje (tylko raz) i próbuje kolejnego adresu.
Jeden konfig wart więcej niż tysiąc słów
Na górę
natash
wannabe
wannabe
Posty: 315
Rejestracja: 07 gru 2005, 00:00

#9

#9 Post autor: natash »

Dodając config tacacsa, zanim dodam coś na line VTY, dostaje "authorization failed", dlaczego dzieje się to zanim zapnę to na linie?
Na górę
Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1861
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

#10

#10 Post autor: frontier »

natash pisze:Dodając config tacacsa, zanim dodam coś na line VTY, dostaje "authorization failed", dlaczego dzieje się to zanim zapnę to na linie?
Pewnie dodałeś autoryzację komend typu default. Zrób z nazwą, np. VTY_AUTHZ.
Jeden konfig wart więcej niż tysiąc słów
Na górę
natash
wannabe
wannabe
Posty: 315
Rejestracja: 07 gru 2005, 00:00

#11

#11 Post autor: natash »

Kod: Zaznacz cały

aaa authentication attempts login 10
aaa authentication login CONSOLE-ACCESS line local
aaa authentication login ADMIN-ACCESS group TACPLUS local
aaa authentication enable default group TACPLUS enable
aaa authorization config-commands
aaa authorization exec default group TACPLUS local if-authenticated
aaa accounting exec default start-stop group TACPLUS
aaa accounting commands 1 default start-stop group TACPLUS
aaa accounting commands 15 default start-stop group TACPLUS
aaa accounting network default start-stop group TACPLUS
aaa accounting connection default start-stop group TACPLUS
aaa accounting system default start-stop group TACPLUS
Na górę
Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1861
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

#12

#12 Post autor: frontier »

natash pisze:

Kod: Zaznacz cały

aaa authentication attempts login 10
aaa authentication login CONSOLE-ACCESS line local
aaa authentication login ADMIN-ACCESS group TACPLUS local
aaa authentication enable default group TACPLUS enable
aaa authorization config-commands
aaa authorization exec default group TACPLUS local if-authenticated
No to w którym momencie masz authorization failed? Po dodaniu czego?
Jeden konfig wart więcej niż tysiąc słów
Na górę
natash
wannabe
wannabe
Posty: 315
Rejestracja: 07 gru 2005, 00:00

#13

#13 Post autor: natash »

Mój błąd.

Kod: Zaznacz cały

aaa authentication attempts login 10
aaa authentication login ADMIN-ACCESS group TACPLUS local
aaa authentication login CONSOLE-ACCESS line local
aaa authentication enable default group TACPLUS enable
aaa authentication dot1x default group radius
aaa authorization config-commands
aaa authorization exec default group TACPLUS local if-authenticated 
aaa authorization commands 1 default group TACPLUS local if-authenticated 
aaa authorization commands 15 default group TACPLUS local if-authenticated 
aaa authorization network default group radius 
aaa accounting dot1x default start-stop group radius
aaa accounting exec default start-stop group TACPLUS
aaa accounting commands 1 default start-stop group TACPLUS
aaa accounting commands 15 default start-stop group TACPLUS
aaa accounting network default start-stop group TACPLUS
aaa accounting connection default start-stop group TACPLUS
aaa accounting system default start-stop group TACPLUS
--->>> po tej komendzie się wysypało <<<--

aaa accounting dot1x default start-stop group radius
-
Na górę
Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1861
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

#14

#14 Post autor: frontier »

Chyba raczej po tej

Kod: Zaznacz cały

aaa authorization commands 15 default group TACPLUS local if-authenticated
Masz skonfigurowany Command Set w Authorization Policy?
Jeden konfig wart więcej niż tysiąc słów
Na górę
natash
wannabe
wannabe
Posty: 315
Rejestracja: 07 gru 2005, 00:00

#15

#15 Post autor: natash »

Ta dodała się również

Kod: Zaznacz cały

aaa accounting dot1x default start-stop group radius
Mnie ciekawi dlaczego mam "authorization failed" skoro nie dałem jeszcze nic na line vty?
Na górę
ODPOWIEDZ

Wróć do „Pozostałe”