При подключении к серверу приходится вводить пароль пользователя и нет возможности "поставить галочку" запомнить пароль.
Какие есть пути обхода этой запарки, кто знает?
>При подключении к серверу приходится вводить пароль пользователя и нет возможности "поставить
>галочку" запомнить пароль.
>Какие есть пути обхода этой запарки, кто знает?
save-password
>>При подключении к серверу приходится вводить пароль пользователя и нет возможности "поставить
>>галочку" запомнить пароль.
>>Какие есть пути обхода этой запарки, кто знает?
>
>
>save-password:)
Я не о пароле группы, а о пароле юзера.
Подробности:
aaa authentication login userauthen group tacacs+
aaa authorization network groupauthor local
Что за сервер? Конфиг покажи...
>Что за сервер? Конфиг покажи...Похоже не очень обрисовал проблему.
При подключении Cisco VPN Client к серверу, он запрашивает имя и пароль пользователя.
Именно пользователя, группа вбита жестко.
Так вот, требуется, что бы пользователь не вбивал его, а аутентификация проходила прозрачно.
Глупо, но так надо.
Галки сейв пассворд там нет.
Нормально обрисовал. Или аутентификацию клиента убери или конфиг покажи...
>Нормально обрисовал. Или аутентификацию клиента убери или конфиг покажи...
Конфиг:
service password-encryption
!
hostname xxx
!boot system flash c7200-jk9s-mz.123-18.bin
!
...
enable secret 5 xxxxx
enable password 7 xxxxxx
!aaa new-model
!
!
aaa authentication login default group tacacs+
aaa authentication login userauthen group tacacs+
aaa authentication ppp default group tacacs+
aaa authorization network groupauthor local
aaa session-id common
ip subnet-zero
no ip rcmd domain-lookup
ip rcmd rcp-enable
ip rcmd rsh-enable
ip rcmd remote-host xxxxxx 213.189.x.x root enable 7
ip rcmd remote-username xxxxxx
!
ip domain name xxxxxx.ru
ip name-server 213.189.x.x!
ip cef
ip accounting-threshold 10000
vpdn enable
!
username xxxxxx privilege 15 password 7 xxxxxx
!!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group vpngroup
key xxxxxx
dns 213.189.x.x
pool ippool
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 10
set transform-set myset
!
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
!
!
!
interface FastEthernet0/0
!
!
interface FastEthernet0/1
ip address 213.189.x.x 255.255.255.x
ip access-group 101 in
ip accounting output-packets
no ip mroute-cache
duplex auto
speed 100
crypto map clientmap
!
interface Serial1/0:0
!
interface Serial1/1:0
!
ip local pool ippool 192.168.4.100 192.168.4.200
ip nat log translations syslogip classless
......ip http server
ip http authentication local
ip http secure-server
!.................acl + arp + route map...............
!
tacacs-server host 213.189.x.x single-connection
tacacs-server directed-request
tacacs-server key 7 xxxxxx
!
!
!
dial-peer cor custom
!
!
!
!
gatekeeper
shutdown
!
privilege exec level 7 show ip accounting checkpoint
privilege exec level 7 show ip accounting
privilege exec level 7 show ip
privilege exec level 7 show
privilege exec level 7 clear ip accounting checkpoint
privilege exec level 7 clear ip accounting
privilege exec level 7 clear ip
privilege exec level 7 clear
!
line con 0
password 7 xxxxxx
stopbits 1
line aux 0
no exec
stopbits 1
line vty 0 4
access-class 1 in
privilege level 15
transport input telnet ssh
line vty 5 15
password 7 xxxxxx
!
!
end
>>Что за сервер? Конфиг покажи...
>
>Похоже не очень обрисовал проблему.
>При подключении Cisco VPN Client к серверу, он запрашивает имя и пароль
>пользователя.
>Именно пользователя, группа вбита жестко.
>Так вот, требуется, что бы пользователь не вбивал его, а аутентификация проходила
>прозрачно.
>Глупо, но так надо.
>Галки сейв пассворд там нет.Галки нет, а сейв пассворд есть.
В Program Files\Cisco Systems\VPN Client\Profiles (или где он там у вас), есть файлик с расширением .pcf (или, возможно, несколько - по количеству профилей). В файлике есть такая запись:
Username=
SaveUserPassword=0
UserPassword=
enc_UserPassword=
Поставьте SaveUserPassword=1.
no crypto map clientmap client authentication list userauthen
Всем спасибо, узнал даже больше чем хотел!
>Галки нет, а сейв пассворд есть.
>В Program Files\Cisco Systems\VPN Client\Profiles (или где он там у вас), есть
>файлик с расширением .pcf (или, возможно, несколько - по количеству профилей).
>В файлике есть такая запись:
>Username=
>SaveUserPassword=0
>UserPassword=
>enc_UserPassword=
>Поставьте SaveUserPassword=1.
Да, прям в точку!
Только после разрыва соединения SaveUserPassword опять становится = 0.
Странно...
>>Галки нет, а сейв пассворд есть.
>>В Program Files\Cisco Systems\VPN Client\Profiles (или где он там у вас), есть
>>файлик с расширением .pcf (или, возможно, несколько - по количеству профилей).
>>В файлике есть такая запись:
>>Username=
>>SaveUserPassword=0
>>UserPassword=
>>enc_UserPassword=
>>Поставьте SaveUserPassword=1.
>
>
>Да, прям в точку!
>Только после разрыва соединения SaveUserPassword опять становится = 0.
>Странно...
Ридонли на файл выправляет сетуевину!
Гм.. еще один вопрос.
Как в ACS сервере смотреть подключенных клиентов?
>Гм.. еще один вопрос.
>Как в ACS сервере смотреть подключенных клиентов?sh cry isa sa det
sh cry isa sa nat
Как-то так.
>>Гм.. еще один вопрос.
>>Как в ACS сервере смотреть подключенных клиентов?
>
>sh cry isa sa det
>sh cry isa sa nat
>Как-то так.Это да..
Так - show crypto ipsec sa можно даже узнать IP полученный клиентом, что мне и надо.. хоть и не очень наглядно.
Как я понимаю, мне надо делать, не только аутентификацию в такаксе, но и авторизацию, что бы следить за подключениями не на циске, а на ACS.
И по ветке...
авторизация проходит "aaa authorization network groupauthor local", т.е. циска выдает IP динамически из пула.
Как лучше сделать, что бы каждому клиенту выдавался определенный IP. Есть идея, что это можно делать через Tacacs сервер, но можно ли это сделать средствамии IOS?
Поставил: aaa authorization network groupauthor group tacacs+Выдает ошибку:
604 18:42:57.906 07/17/06 Sev=Warning/3 IKE/0xE3000056
The received HASH payload cannot be verified605 18:42:57.906 07/17/06 Sev=Warning/2 IKE/0xE300007D
Hash verification failed... may be configured with invalid group password.606 18:42:57.906 07/17/06 Sev=Warning/2 IKE/0xE3000099
Failed to authenticate peer (Navigator:904)607 18:42:57.906 07/17/06 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK INFO (NOTIFY:INVALID_HASH_INFO) to 213.189.х.х608 18:42:57.906 07/17/06 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK INFO (NOTIFY:AUTH_FAILED) to 213.189.х.хЕсть у кого идеи почему?
гугл единственно сказал - проверь пароль группы, не понял его..
неужели никто не сталкивался?
Если подробнее делал все в попыхах и сейчас не понимаю, что означает "группа", т.е. в настройке VPN клиента вводятся сначала группа и ее пароль, а после пользователь с паролем!
Так вот в tacacs+ сервере присутствуют только пользователи, которые входят в группу, но у группы нет пароля... в общем масло масленное.
Понимаю, что заблудился в 3-х соснах, но где выход не могу понять!
Если, кто чего знает - подскажите плз!
>неужели никто не сталкивался?
>Если подробнее делал все в попыхах и сейчас не понимаю, что означает
>"группа", т.е. в настройке VPN клиента вводятся сначала группа и ее
>пароль, а после пользователь с паролем!
>Так вот в tacacs+ сервере присутствуют только пользователи, которые входят в группу,
>но у группы нет пароля... в общем масло масленное.
>Понимаю, что заблудился в 3-х соснах, но где выход не могу понять!
>
>Если, кто чего знает - подскажите плз!
1. попробуйте авторизацию без такакса сначала.
2. настройка группы - она не в такаксе как такавая.
>>неужели никто не сталкивался?
>>Если подробнее делал все в попыхах и сейчас не понимаю, что означает
>>"группа", т.е. в настройке VPN клиента вводятся сначала группа и ее
>>пароль, а после пользователь с паролем!
>>Так вот в tacacs+ сервере присутствуют только пользователи, которые входят в группу,
>>но у группы нет пароля... в общем масло масленное.
>>Понимаю, что заблудился в 3-х соснах, но где выход не могу понять!
>>
>>Если, кто чего знает - подскажите плз!
>
>
>1. попробуйте авторизацию без такакса сначала.
>2. настройка группы - она не в такаксе как такавая.
извините, пятница верчер - плющит уже
я думаю вам поможет этот пример.
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
>>>неужели никто не сталкивался?
>>>Если подробнее делал все в попыхах и сейчас не понимаю, что означает
>>>"группа", т.е. в настройке VPN клиента вводятся сначала группа и ее
>>>пароль, а после пользователь с паролем!
>>>Так вот в tacacs+ сервере присутствуют только пользователи, которые входят в группу,
>>>но у группы нет пароля... в общем масло масленное.
>>>Понимаю, что заблудился в 3-х соснах, но где выход не могу понять!
>>>
>>>Если, кто чего знает - подскажите плз!
>>
>>
>>1. попробуйте авторизацию без такакса сначала.
>>2. настройка группы - она не в такаксе как такавая.
>
>
>извините, пятница верчер - плющит уже
>я думаю вам поможет этот пример.
>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
Разобрался... поначалу просто голова забилась слишком.
Пост можно считать закрытым.