Problemy z pozostałymi technologiami (SDH, IronPort, WAAS itp.)
natash
wannabe
Posty: 315 Rejestracja: 07 gru 2005, 00:00
#1
#1
Post
autor: natash » 08 kwie 2015, 11:53
Panowie,
Gdzie leży problem lub czego nie rozumiem
.
Kod: Zaznacz cały
aaa group server tacacs+ TAC
server-private [b][dobre IP][/b] timeout 2 key 7 [b][zły klucz][/b]
server-private [b][dobre IP][/b] timeout 2 key 7 [b][dobry klucz][/b]
Dlaczego nie mogę wbić na pudło, nie mogę znaleźć jak działa mechanizm jak jest złe hasło na pudle, tzn inne niż na tacacsie, bo nie mogę się zalogować. Czy jak pierwszy wpis jest zły to następny już nie jest brany pod uwagę?
Po co są wpisy na końcu configu?
Kod: Zaznacz cały
tacacs-server host [adres IP] key 7 [klucz]
tacacs-server host [adres IP] key 7 [klucz]
frontier
wannabe
Posty: 1861 Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh
#2
#2
Post
autor: frontier » 08 kwie 2015, 12:09
Hej,
Masz po prostu skonfigurowane serwery przy użyciu dwóch różnych składni, pierwsza to aaa group server druga tacacs-server / radius-server.
A dlaczego nie przechodzi na drugi przy złym kluczu? Dziwne, spodziewałbym się że będzie próbował drugiego serwera... A w ogóle to jak masz skonfigurowane aaa authentication?
Btw. PANIE tutaj też zaglądają
Ostatnio zmieniony 08 kwie 2015, 13:09 przez
frontier , łącznie zmieniany 1 raz.
Jeden konfig wart więcej niż tysiąc słów
natash
wannabe
Posty: 315 Rejestracja: 07 gru 2005, 00:00
#3
#3
Post
autor: natash » 08 kwie 2015, 13:08
Sprawa jest dziwna.
Kod: Zaznacz cały
Router
aaa authentication attempts login 10
aaa authentication login ADMIN-ACCESS group TACPLUS local
aaa authentication login CONSOLE-ACCESS line local
aaa authentication enable default group TACPLUS enable
aaa group server tacacs+ TACPLUS
server-private <wrong ip> timeout 2 key 7 <key>
server-private <correct ip> timeout 2 key 7 <key>
tu używa local.
Switch nie chcę się w ogóle połączyć, musiałem postawić wydmuszkę tacacsa na linuxie z <wrong ip> żeby się zalogować i zmieniać config.
frontier
wannabe
Posty: 1861 Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh
#4
#4
Post
autor: frontier » 08 kwie 2015, 13:39
Coś dziwnego, sprawdziłem na moim routerze i mam domyślny timeout 5 sec. U Ciebie jest jeszcze mniej bo 2... powinien przejść na drugi server.
Kod: Zaznacz cały
*Apr 8 13:38:10.651: TPLUS: Queuing AAA Authentication request 19 for processing
*Apr 8 13:38:10.655: TPLUS: processing authentication start request id 19
*Apr 8 13:38:10.659: TPLUS: Authentication start packet created for 19()
*Apr 8 13:38:10.659: TPLUS: Using server 192.168.42.13
*Apr 8 13:38:10.671: TPLUS(00000013)/0/NB_WAIT/66654B2C: Started 5 sec timeout
*Apr 8 13:38:15.667: TPLUS(00000013)/0/NB_WAIT: socket event 2
*Apr 8 13:38:15.671: TPLUS(00000013)/0/NB_WAIT: write to 192.168.42.13 failed with errno 257((ENOTCONN))
*Apr 8 13:38:15.671: TPLUS: Authentication start packet created for 19()
*Apr 8 13:38:15.675: TPLUS: Choosing next server 192.168.42.44
*Apr 8 13:38:15.683: TPLUS(00000013)/1/NB_WAIT/66654B2C: Started 5 sec timeout
*Apr 8 13:38:15.683: TPLUS(00000013)/66654B2C: releasing old socket 0
*Apr 8 13:38:15.699: TPLUS(00000013)/1/NB_WAIT: socket event 2
*Apr 8 13:38:15.703: TPLUS(00000013)/1/NB_WAIT: wrote entire 38 bytes request
*Apr 8 13:38:15.703: TPLUS(00000013)/1/READ: socket event 1
*Apr 8 13:38:15.703: TPLUS(00000013)/1/READ: Would block while reading
*Apr 8 13:38:15.711: TPLUS(00000013)/1/READ: socket event 1
*Apr 8 13:38:15.711: TPLUS(00000013)/1/READ: read entire 12 header bytes (expect 16 bytes data)
*Apr 8 13:38:15.711: TPLUS(00000013)/1/READ: socket event 1
*Apr 8 13:38:15.715: TPLUS(00000013)/1/READ: read entire 28 bytes response
*Apr 8 13:38:15.715: TPLUS(00000013)/1/66654B2C: Processing the reply packet
*Apr 8 13:38:15.715: TPLUS: Received authen response status GET_USER (7)
.13 nie istnieje, .44 tak. Spróbuj debug tacacs.
Ostatnio zmieniony 08 kwie 2015, 13:41 przez
frontier , łącznie zmieniany 1 raz.
Jeden konfig wart więcej niż tysiąc słów
natash
wannabe
Posty: 315 Rejestracja: 07 gru 2005, 00:00
#5
#5
Post
autor: natash » 08 kwie 2015, 13:40
No właśnie gdzie leży problem? ACS?
frontier
wannabe
Posty: 1861 Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh
#6
#6
Post
autor: frontier » 08 kwie 2015, 13:46
Zaraz zaraz, ale ustalmy jedno: miałeś zły klucz? Jeżeli tak no to wtedy faktycznie nie przechodzi na drugi server aaa, próbuje się 3x połączyć z pierwszym i daje spokój... Ten mój debug dotyczył sytuacji gdy pierwszy adres IP jest niepoprawny.
Jeden konfig wart więcej niż tysiąc słów
natash
wannabe
Posty: 315 Rejestracja: 07 gru 2005, 00:00
#7
#7
Post
autor: natash » 08 kwie 2015, 13:52
No to wszystko jasne. Hmmm dziwne zachowanie, jak jest zły IP działa. A jak IP jest dostępne (ACS) ale niema na nim Tacacsa tylko Radius?
frontier
wannabe
Posty: 1861 Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh
#8
#8
Post
autor: frontier » 08 kwie 2015, 14:07
Gdy jest uwierzytelnianie przez TACACS, zanim pojawi się prompt username router próbuje się skomunikować z TACACSem a ten odpowiada że jest zły klucz. Router próbuje ponownie... aż się wyczerpie aaa authentication attempts login, domyślnie 3. Podobnie wygląda gdy w ogóle nie ma klienta AAA na ACSie, router też dostaje odpowiedź że coś nie halo i próbuje po raz kolejny.
Jak jest ustawiony na adres IP który nie odpowiada no to połączenie timeout'uje (tylko raz) i próbuje kolejnego adresu.
Jeden konfig wart więcej niż tysiąc słów
natash
wannabe
Posty: 315 Rejestracja: 07 gru 2005, 00:00
#9
#9
Post
autor: natash » 14 kwie 2015, 09:03
Dodając config tacacsa, zanim dodam coś na line VTY, dostaje "authorization failed", dlaczego dzieje się to zanim zapnę to na linie?
frontier
wannabe
Posty: 1861 Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh
#10
#10
Post
autor: frontier » 14 kwie 2015, 09:05
natash pisze: Dodając config tacacsa, zanim dodam coś na line VTY, dostaje "authorization failed", dlaczego dzieje się to zanim zapnę to na linie?
Pewnie dodałeś autoryzację komend typu default. Zrób z nazwą, np. VTY_AUTHZ.
Jeden konfig wart więcej niż tysiąc słów
natash
wannabe
Posty: 315 Rejestracja: 07 gru 2005, 00:00
#11
#11
Post
autor: natash » 14 kwie 2015, 09:25
Kod: Zaznacz cały
aaa authentication attempts login 10
aaa authentication login CONSOLE-ACCESS line local
aaa authentication login ADMIN-ACCESS group TACPLUS local
aaa authentication enable default group TACPLUS enable
aaa authorization config-commands
aaa authorization exec default group TACPLUS local if-authenticated
aaa accounting exec default start-stop group TACPLUS
aaa accounting commands 1 default start-stop group TACPLUS
aaa accounting commands 15 default start-stop group TACPLUS
aaa accounting network default start-stop group TACPLUS
aaa accounting connection default start-stop group TACPLUS
aaa accounting system default start-stop group TACPLUS
frontier
wannabe
Posty: 1861 Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh
#12
#12
Post
autor: frontier » 14 kwie 2015, 09:33
natash pisze: Kod: Zaznacz cały
aaa authentication attempts login 10
aaa authentication login CONSOLE-ACCESS line local
aaa authentication login ADMIN-ACCESS group TACPLUS local
aaa authentication enable default group TACPLUS enable
aaa authorization config-commands
aaa authorization exec default group TACPLUS local if-authenticated
No to w którym momencie masz authorization failed? Po dodaniu czego?
Jeden konfig wart więcej niż tysiąc słów
natash
wannabe
Posty: 315 Rejestracja: 07 gru 2005, 00:00
#13
#13
Post
autor: natash » 14 kwie 2015, 10:24
Mój błąd.
Kod: Zaznacz cały
aaa authentication attempts login 10
aaa authentication login ADMIN-ACCESS group TACPLUS local
aaa authentication login CONSOLE-ACCESS line local
aaa authentication enable default group TACPLUS enable
aaa authentication dot1x default group radius
aaa authorization config-commands
aaa authorization exec default group TACPLUS local if-authenticated
aaa authorization commands 1 default group TACPLUS local if-authenticated
aaa authorization commands 15 default group TACPLUS local if-authenticated
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius
aaa accounting exec default start-stop group TACPLUS
aaa accounting commands 1 default start-stop group TACPLUS
aaa accounting commands 15 default start-stop group TACPLUS
aaa accounting network default start-stop group TACPLUS
aaa accounting connection default start-stop group TACPLUS
aaa accounting system default start-stop group TACPLUS
--->>> po tej komendzie się wysypało <<<--
aaa accounting dot1x default start-stop group radius
-
frontier
wannabe
Posty: 1861 Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh
#14
#14
Post
autor: frontier » 14 kwie 2015, 10:34
Chyba raczej po tej
Kod: Zaznacz cały
aaa authorization commands 15 default group TACPLUS local if-authenticated
Masz skonfigurowany Command Set w Authorization Policy?
Jeden konfig wart więcej niż tysiąc słów
natash
wannabe
Posty: 315 Rejestracja: 07 gru 2005, 00:00
#15
#15
Post
autor: natash » 14 kwie 2015, 10:38
Ta dodała się również
Kod: Zaznacz cały
aaa accounting dot1x default start-stop group radius
Mnie ciekawi dlaczego mam "authorization failed" skoro nie dałem jeszcze nic na line vty?