URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 7071
[ Назад ]

Исходное сообщение
"tacacs"
Отправлено crash , 24-Янв-05 07:05

настреон сабж.
на юниксе
user = meridian {
               login = file /etc/passwd
               service = exec
               {
               priv-lvl = 1
               acl = 7
               }
            }
на циске
aaa authentication login default group tacacs+ local
aaa authorization exec default group tacacs+ local
aaa accounting commands 15 default start-stop group tacacs+
aaa session-id common
acacs-server host 192.168.6.86
tacacs-server directed-request
tacacs-server key dect
когда с циске пытаюсь сделать телнет на другой айпи
выдается ошибка
% Connections to that host not permitted from this terminal
до включения tacacs все работало номрально...
может кто скает где приколбасило меня и что надо дописать в настройках.

Содержание

tacacs,lubeg, 07:13 , 24-Янв-05
- tacacs,crash, 07:51 , 24-Янв-05
  - tacacs,lubeg, 12:04 , 24-Янв-05
    - tacacs,crash, 17:56 , 24-Янв-05
tacacs,crash, 10:34 , 25-Янв-05
- tacacs,lubeg, 06:32 , 26-Янв-05
  - tacacs,crash, 06:42 , 26-Янв-05
    - tacacs,lubeg, 10:44 , 26-Янв-05
      - tacacs,crash, 06:42 , 27-Янв-05
        
        tacacs,lubeg, 10:36 , 27-Янв-05
- tacacs,Сайко, 10:48 , 26-Янв-05
  - tacacs,crash, 06:54 , 16-Фев-05

Сообщения в этом обсуждении

"tacacs"
Отправлено lubeg , 24-Янв-05 07:13

>на юниксе
....
> priv-lvl = 1
....
>
>когда с циске пытаюсь сделать телнет на другой айпи
>выдается ошибка
>% Connections to that host not permitted from this terminal
а ты уверен, что циска отдает такаксу и такакс воспринимает `telnet' как команду 1-го уровня, а не выше?
PS: tacacs какой стоит?

"tacacs"
Отправлено crash , 24-Янв-05 07:51

>
>>на юниксе
>....
>> priv-lvl = 1
>....
>>
>>когда с циске пытаюсь сделать телнет на другой айпи
>>выдается ошибка
>>% Connections to that host not permitted from this terminal
>
>а ты уверен, что циска отдает такаксу и такакс воспринимает `telnet' как
>команду 1-го уровня, а не выше?
не уверен. но пологам видно что все таки привелегия 15
tty162 192.168.4.34 stop task_id=41801 timezone=UTC service=shell start_time=1119619275 priv-lvl=15
>PS: tacacs какой стоит?
tac_plus version F4.0.4.alpha

"tacacs"
Отправлено lubeg , 24-Янв-05 12:04

>>
>>>на юниксе
>>....
>>> priv-lvl = 1
>>....
>>>
>tty162 192.168.4.34 stop task_id=41801 timezone=UTC service=shell start_time=1119619275 priv-lvl=15

ну собственно поэтому и не дает... поставь 15-ый уровень в конфиге :)

"tacacs"
Отправлено crash , 24-Янв-05 17:56

>>>
>ну собственно поэтому и не дает... поставь 15-ый уровень в конфиге :)
>
тогда вообще не пускает.))
но проблему решил.. косячу сам..
в конфиге я привязал жестко к acl7, а там указано с каких заходить на циску можно. туда куда я выходил не было прописано. прописал на циско в acl7 те айпи и все путем. потом айпи удалил и попробовал просто закоментировать в никсе строку с acl и тоже путем...
вопрос в другом. лист стоит на входящий трафик, почему когда я иду с циски, то есть получается исходящий, он все равно смотрит acl?
хотя вопрос тоже глупый и вроде подсознательно понимаю)), но может кто объяснит доходчиво

"tacacs"
Отправлено crash , 25-Янв-05 10:34

возник еще вопрос...
на всех уисках который авторизируют через tacacs все работает нормально, а вот на 3700 в логах дает такю фигню
Jan 25 16:31:55 access tac_plus[22677]: Error 192.168.6.87 tty162: Null reply packet, expecting CONTINUE

"tacacs"
Отправлено lubeg , 26-Янв-05 06:32

>возник еще вопрос...
>на всех уисках который авторизируют через tacacs все работает нормально, а вот
>на 3700 в логах дает такю фигню
>Jan 25 16:31:55 access tac_plus[22677]: Error 192.168.6.87 tty162: Null reply packet, expecting
>CONTINUE
скорей всего не соответсвие ключей на циске и в конфиге такакса.

"tacacs"
Отправлено crash , 26-Янв-05 06:42

>>возник еще вопрос...
>>на всех уисках который авторизируют через tacacs все работает нормально, а вот
>>на 3700 в логах дает такю фигню
>>Jan 25 16:31:55 access tac_plus[22677]: Error 192.168.6.87 tty162: Null reply packet, expecting
>>CONTINUE
>
>скорей всего не соответсвие ключей на циске и в конфиге такакса.
ключи в первую очередь проверил, все совпадает

"tacacs"
Отправлено lubeg , 26-Янв-05 10:44

>ключи в первую очередь проверил, все совпадает
а пишет постоянно или тогда когда логинишься на нее? и при логине тебя туда пускает или нет?
у меня она такое пишет только при мониторинге 23-го порта на циске. Т.е. устанавливается соединение и тут же разрывется, вот такакс на это и матерится.

"tacacs"
Отправлено crash , 27-Янв-05 06:42

>
>>ключи в первую очередь проверил, все совпадает
>
>а пишет постоянно или тогда когда логинишься на нее? и при логине
>тебя туда пускает или нет?
постояно, раз в минуту. при логине пускает без проблем, и потом пишет в логи тоже только берет следующий tty
>у меня она такое пишет только при мониторинге 23-го порта на циске.
>Т.е. устанавливается соединение и тут же разрывется, вот такакс на это
>и матерится.

"tacacs"
Отправлено lubeg , 27-Янв-05 10:36

>постояно, раз в минуту. при логине пускает без проблем, и потом пишет
>в логи тоже только берет следующий tty
тогда, как уже сказали, debug тебе поможет... может по мимо тебе еще кто на нее ломится? :0

"tacacs"
Отправлено Сайко , 26-Янв-05 10:48

debug aaa authentication
debug tacacs
debug tacacs events
Обычно решают такие вопросы.

"tacacs"
Отправлено crash , 16-Фев-05 06:54

>debug aaa authentication
>debug tacacs
>debug tacacs events
>Обычно решают такие вопросы.
не помог, потому как нифига в логи не писал