URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1566
[ Назад ]

Исходное сообщение
"Cisco 3750 Tac+ авторизация"

Отправлено bDrwx , 09-Дек-14 10:15 
Здравствуйте. Столкнулся с проблемой при настройке авторизации на TAC_PLUS сервере. Путем отладки выяснил что железка отправляет запросы tac_plus серверу только при наличии вводимых пользователя и пароля в локальной базе устройства.

P.S. Единственно что мне приходит в голову, эти железки отличаются от остальных которые работаю с tac сервером наличием vrf. Но у меня в голове не укладывается как в данном случае это может повлиять.

Конфин устройства:

aaa new-model
aaa authentication login telnet group tacacs+ local
aaa authentication login console group tacacs+ local
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ local
aaa authorization commands 15 default group tacacs+ local
aaa accounting update newinfo
aaa session-id common

ip tacacs source-interface Vlan517

tacacs-server host 10.10.10.10
tacacs-server directed-request
tacacs-server key cle_tacacs

Логи с устройства:

2y33w: TAC+: using previously set server 10.10.10.10 from group tacacs+
2y33w: TAC+: Opening TCP/IP to 10.10.10.10/49 timeout=5
2y33w: TAC+: Opened TCP/IP handle 0x4C7D54C to 10.10.10.10/49 using source 5.5.5.5
2y33w: TAC+: Opened 10.10.10.10 index=1
2y33w: TAC+: 10.10.10.10 (1770772525) AUTHOR/START queued
2y33w: TAC+: (1770772525) AUTHOR/START processed
2y33w: TAC+: (1770772525): received author response status = FAIL
2y33w: TAC+: Closing TCP/IP 0x4C7D54C connection to 10.10.10.10/49

2y33w: AAA/MEMORY: create_user (0x3F2F4F0) user='NULL' ruser='NULL' ds0=0 port='tty11' rem_addr='1.2.3.4' authen_type=ASCII service=LOGIN priv=1 initial_task_id='0', vrf= (id=0)
2y33w: %SEC_LOGIN-5-LOGIN_SUCCESS: Login Success [user: ] [Source: 1.2.3.4] [localport: 23] at 12:50:33 Moscow Mon Dec 8 2014
2y33w: tty11 AAA/AUTHOR/EXEC (109700739): Port='tty11' list='' service=EXEC
2y33w: AAA/AUTHOR/EXEC: tty11 (109700739) user='cisco'
2y33w: tty11 AAA/AUTHOR/EXEC (109700739): send AV service=shell
2y33w: tty11 AAA/AUTHOR/EXEC (109700739): send AV cmd*
2y33w: tty11 AAA/AUTHOR/EXEC (109700739): found list "default"
2y33w: tty11 AAA/AUTHOR/EXEC (109700739): Method=tacacs+ (tacacs+)
2y33w: AAA/AUTHOR/TAC+: (109700739): user=cisco
2y33w: AAA/AUTHOR/TAC+: (109700739): send AV service=shell
2y33w: AAA/AUTHOR/TAC+: (109700739): send AV cmd*
2y33w: TAC+: Using default tacacs server-group "tacacs+" list.
2y33w: TAC+: Opening TCP/IP to 10.10.10.10/49 timeout=5
2y33w: TAC+: Opened TCP/IP handle 0x4929EEC to 10.10.10.10/49 using source 5.5.5.5
2y33w: TAC+: 10.10.10.10 (109700739) AUTHOR/START queued
2y33w: TAC+: (109700739) AUTHOR/START processed
2y33w: TAC+: (109700739): received author response status = FAIL
2y33w: TAC+: Closing TCP/IP 0x4929EEC connection to 10.10.10.10/49
2y33w: AAA/AUTHOR (109700739): Post authorization status = FAIL
2y33w: AAA/AUTHOR/EXEC: Authorization FAILED
2y33w: AAA/MEMORY: free_user (0x3F2F4F0) user='cisco' ruser='NULL' port='tty11' rem_addr='1.2.3.4' authen_type=ASCII service=LOGIN priv=1 <- вот так выглядит обращение с юзером cisco. Который есть в локальной базе.

2y33w: AAA/MEMORY: free_user_quiet (0x420F9B4) user='tar' ruser='NULL' port='tty11' rem_addr='1.2.3.4' authen_type=1 service=1 priv=1
2y33w: AAA: parse name=tty11 idb type=-1 tty=-1
2y33w: AAA: name=tty11 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=11 channel=0
2y33w: AAA/MEMORY: create_user (0x420F9B4) user='NULL' ruser='NULL' ds0=0 port='tty11' rem_addr='10.13.65.34' authen_type=ASCII ervice=LOGIN priv=1 initial_task_id='0', vrf= (id=0) <- а вот так юзер которого в локальной базе нет. Ни единого tac пакета...


Содержание

Сообщения в этом обсуждении
"Cisco 3750 Tac+ авторизация"
Отправлено eek , 09-Дек-14 12:32 
Если интерфейс с которого хочется делать авторизацию находиться в VRF то лучше через
aaa group server, там и vrf в явном виде указывается и интерфейс.

"Cisco 3750 Tac+ авторизация"
Отправлено bDrwx , 09-Дек-14 13:32 
Нет. Интерфейс с которого нужно делать авторизацию находится в основной таблице маршрутизации.

> Если интерфейс с которого хочется делать авторизацию находиться в VRF то лучше
> через
> aaa group server, там и vrf в явном виде указывается и интерфейс.


"Cisco 3750 Tac+ авторизация"
Отправлено eek , 10-Дек-14 07:15 
> Нет. Интерфейс с которого нужно делать авторизацию находится в основной таблице маршрутизации.
>> Если интерфейс с которого хочется делать авторизацию находиться в VRF то лучше
>> через
>> aaa group server, там и vrf в явном виде указывается и интерфейс.

Это так и должно быть?

2y33w: TAC+: Opened TCP/IP handle 0x4929EEC to 10.10.10.10/49 using source 5.5.5.5

Идет на private из public ?


"Cisco 3750 Tac+ авторизация"
Отправлено bDrwx , 10-Дек-14 15:54 
Это я заменял реальные IP адреса на вымышленные. Неудачный пример для замены выбрал. На самом деле все это ходит внутри корпоративной сети.

>> Нет. Интерфейс с которого нужно делать авторизацию находится в основной таблице маршрутизации.
>>> Если интерфейс с которого хочется делать авторизацию находиться в VRF то лучше
>>> через
>>> aaa group server, там и vrf в явном виде указывается и интерфейс.
> Это так и должно быть?
> 2y33w: TAC+: Opened TCP/IP handle 0x4929EEC to 10.10.10.10/49 using source 5.5.5.5
> Идет на private из public ?


"Cisco 3750 Tac+ авторизация"
Отправлено eek , 11-Дек-14 08:34 
> Это я заменял реальные IP адреса на вымышленные. Неудачный пример для замены
> выбрал. На самом деле все это ходит внутри корпоративной сети.
>>> Нет. Интерфейс с которого нужно делать авторизацию находится в основной таблице маршрутизации.
>>>> Если интерфейс с которого хочется делать авторизацию находиться в VRF то лучше
>>>> через
>>>> aaa group server, там и vrf в явном виде указывается и интерфейс.
>> Это так и должно быть?
>> 2y33w: TAC+: Opened TCP/IP handle 0x4929EEC to 10.10.10.10/49 using source 5.5.5.5
>> Идет на private из public ?

Судя по этому логу вы идете на сервер 10.10.10.10 с адреса 5.5.5.5 это у вас лаба что-ли?


"Cisco 3750 Tac+ авторизация"
Отправлено bDrwx , 11-Дек-14 10:44 
Нет это не лаба. Для публикации на форуме я заменил реальные IP адреса на вымышленные...

>[оверквотинг удален]
>> выбрал. На самом деле все это ходит внутри корпоративной сети.
>>>> Нет. Интерфейс с которого нужно делать авторизацию находится в основной таблице маршрутизации.
>>>>> Если интерфейс с которого хочется делать авторизацию находиться в VRF то лучше
>>>>> через
>>>>> aaa group server, там и vrf в явном виде указывается и интерфейс.
>>> Это так и должно быть?
>>> 2y33w: TAC+: Opened TCP/IP handle 0x4929EEC to 10.10.10.10/49 using source 5.5.5.5
>>> Идет на private из public ?
> Судя по этому логу вы идете на сервер 10.10.10.10 с адреса 5.5.5.5
> это у вас лаба что-ли?