Всем привет! Столкнулся с такой проблемой. На роутере Cisco 2851 (настроенным как access server для пула асинхронных линий) настроена след. конфигурация ААА, tacacs+ на Linux:aaa new model
tacacs-server host xxx.xxx.xxx.xxx key ******
aaa authentication login default group tacacs+ local
aaa authentication ppp default group tacacs+
aaa authorization network default group tacacs+
aaa accounting exec default start-stop grouup tacacs+
aaa accounting network default start-stop tacacs+Проблема заключается в следущем: Как ppp, так и ssh юзеры могут пройти аутентификацию только если username прописан И на cisco, И на tacacsе. При этом password имеет значение только тот, который прописан на tacacs, а на cisco главное чтобы был вбит в локальной базе паролей такой же пользователь, пароль может быть другой (естественно когда доступен tacacs)
Естественно вести изменяющююся базу паролей-логинов на cisco не приемлемо, т.к. вообще меняется смысл ааа.
Что делать, как быть? Почему такой косяк (естественно косяк прежде всего в моей голове)?Спасибо! :D
aaa authentication login default group tacacs+ local
вот тут ошибкаaaa authentication login default local
aaa authentication login ppp group tacacs+что типа такова должно быть, вообще как в доках пишут...
>aaa authentication login default group tacacs+ local
>вот тут ошибка
>
>aaa authentication login default local
>aaa authentication login ppp group tacacs+
>
>что типа такова должно быть, вообще как в доках пишут...
так ведь "...tacacs+ local" это перечисление методов аутентификации по порядку, то есть сначала проверка на tacacs, если он недоступен, то проверка в локальной базе. Но по идее это не должно вызвать такую ситуацию
>так ведь "...tacacs+ local" это перечисление методов аутентификации по порядку, то есть
>сначала проверка на tacacs, если он недоступен, то проверка в локальной
>базе. Но по идее это не должно вызвать такую ситуацию
перебор идет в случае недоступности первого. Под доступностью понимается tacacs+ в дауне, а не отсутствие или несовпадения пароля.