URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22448
[ Назад ]

Исходное сообщение
"tacacs+ ppp"
Отправлено SnaOne , 04-Апр-11 17:46

Добре!
!
aaa authentication login default group tacacs+ local
aaa authentication enable default group tacacs+ enable
aaa authentication ppp default group tacacs+ local
aaa authorization exec default group tacacs+ local
!
При аутентификации по SSH и enable, лог\пасс берутся из Cisco ACS 5,2 без проблем. А вот подключение с приведенным куском конфига, работает только с локальными учетками.
t-3825#debug aaa authentication
AAA Authentication debugging is on
t-3825#
*Apr  4 13:44:38.123: AAA/BIND(00000033): Bind i/f
*Apr  4 13:44:38.127: AAA/BIND(00000033): Bind i/f Virtual-Template1
*Apr  4 13:44:38.211: AAA/AUTHEN/PPP (00000033): Pick method list 'default'
*Apr  4 13:44:38.219: AAA/BIND(00000033): Bind i/f Virtual-Access3
*Apr  4 13:44:38.223: %LINK-3-UPDOWN: Interface Virtual-Access3, changed state to up
*Apr  4 13:44:38.227: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access3, changed state to up
t-3825#
Вот только что подключился к vpdn под локальной учеткой, хотя конфиг говорит логиниться через tacacs+

Содержание

tacacs+ ppp,SnaOne, 17:58 , 04-Апр-11
- tacacs+ ppp,D.Weider, 22:20 , 04-Апр-11
  - tacacs+ ppp,SnaOne, 11:52 , 05-Апр-11
    - tacacs+ ppp,Merridius, 17:42 , 05-Апр-11
    - tacacs+ ppp,D.Weider, 20:12 , 05-Апр-11

Сообщения в этом обсуждении

"tacacs+ ppp"
Отправлено SnaOne , 04-Апр-11 17:58

А вот подключение с приведенным куском конфига, работает только
> с локальными учетками.
имею в виду ПОДКЛЮЧЕНИЕ PPP

"tacacs+ ppp"
Отправлено D.Weider , 04-Апр-11 22:20

> А вот подключение с приведенным куском конфига, работает только
>> с локальными учетками.
> имею в виду ПОДКЛЮЧЕНИЕ PPP
Неплохо бы посмотреть кусок конфига в части настроек VPDN. Что в качестве протокола аутентификации: PAP? CHAP? MS-CHAP-V2?
Я на Cisco ACS 4.2 долго мучался - настраивал проверку по MS-CHAP-V2. В итоге оказалось, что ACS указанной версии работает с MS-CHAP-V2 только по RADIUS'у.

"tacacs+ ppp"
Отправлено SnaOne , 05-Апр-11 11:52

>> А вот подключение с приведенным куском конфига, работает только
>>> с локальными учетками.
>> имею в виду ПОДКЛЮЧЕНИЕ PPP
> Неплохо бы посмотреть кусок конфига в части настроек VPDN. Что в качестве
> протокола аутентификации: PAP? CHAP? MS-CHAP-V2?
> Я на Cisco ACS 4.2 долго мучался - настраивал проверку по MS-CHAP-V2.
> В итоге оказалось, что ACS указанной версии работает с MS-CHAP-V2 только
> по RADIUS'у.
vpdn enable
!
vpdn-group VPDN-PPTP
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
l2tp tunnel timeout no-session 15
!
!
interface Loopback0
description - LO-PPTP -
ip address 10.10.10.1 255.255.255.0
!
!
!
interface Virtual-Template1
description - PPTP -
ip unnumbered Loopback0
ip nat inside
ip virtual-reassembly
autodetect encapsulation ppp
peer ip address forced
peer default ip address pool POOL-PPTP
ppp encrypt mppe auto
ppp authentication ms-chap-v2
!
ms-chap-v2 через tacacs не работает штоле?

"tacacs+ ppp"
Отправлено Merridius , 05-Апр-11 17:42

aaa authorization network default group tacacs+

"tacacs+ ppp"
Отправлено D.Weider , 05-Апр-11 20:12

>[оверквотинг удален]
>  ip unnumbered Loopback0
>  ip nat inside
>  ip virtual-reassembly
>  autodetect encapsulation ppp
>  peer ip address forced
>  peer default ip address pool POOL-PPTP
>  ppp encrypt mppe auto
>  ppp authentication ms-chap-v2
> !
> ms-chap-v2 через tacacs не работает штоле?
Насчет 5-й версии не знаю - не интересовался. Но вот 4.2 не работает. Попробуйте при тех настройках использовать RADUIS.