- tacacs+ des, Сайко, 10:38 , 12-Дек-06 (1)
попробуй програмку которая идет в комплекте с tacacs+, в разных наборах по разному называется, но принцип один generate_passwd (в пакете с ftp-eng.cisco.com) tac_pwd (из порта FreeBSD)
- tacacs+ des, Сайко, 10:40 , 12-Дек-06 (2)
P.S. tacacs-server key <не защифрованный ключ> service password-encryption
- tacacs+ des, A Clockwork Orange, 10:49 , 12-Дек-06 (3)
OpenBSD 4.0 # pkg_info | grep tacacs tacacs+-4.0.4ap1 Cisco AAA protocol daemon # ls /usr/local/sbin generate_passwd tac_plus Но нигде не пишется, что generate_passwd для des шифрованияпутем generate_passwd я получаю шифрованную_последовательность, ее вставляю у tacacs+ key = des <шифрованная_последовательнось> и исходный ключ, из чего я получил последовательность вставляю в tacacs-server key <нешифрованная_последовательность> так я понял? у меня стоит service password-encryption, но когда я ввел нешифрованную последотельность, и сделал show run то увидел все еще нешифрованной
- tacacs+ des, Сайко, 10:54 , 12-Дек-06 (4)
>OpenBSD 4.0 ># pkg_info | grep tacacs >tacacs+-4.0.4ap1 Cisco AAA protocol daemon ># ls /usr/local/sbin >generate_passwd tac_plus >Но нигде не пишется, что generate_passwd для des шифрования > >путем generate_passwd я получаю шифрованную_последовательность, ее вставляю у tacacs+ >key = des <шифрованная_последовательнось> у тебя BSD, поищи tac_pwd >и исходный ключ, из чего я получил последовательность вставляю в >tacacs-server key <нешифрованная_последовательность> >так я понял? Да, по идее так должно работать. У меня на половине цысок шифруется, а на другой половине не шифрованная. попробуй на разных cisco/ios. >у меня стоит service password-encryption, но когда я ввел нешифрованную последотельность, >и сделал show run то увидел все еще нешифрованной может так поможет: no service password-encryption service password-encryption - tacacs+ des, Сайко, 11:03 , 12-Дек-06 (5)
>OpenBSD 4.0 ># pkg_info | grep tacacs >tacacs+-4.0.4ap1 Cisco AAA protocol daemon ># ls /usr/local/sbin >generate_passwd tac_plus >Но нигде не пишется, что generate_passwd для des шифрования ftp://ftpeng.cisco.com/pub/tacacs/ в архиве tac_plus.F4.0.4.alpha.tar.Z есть замечательный файлик users_guide, ознакомся с ним... Да вот еще... $ uname -sr FreeBSD 4.10-RELEASE $ man tac_pwd tac_pwd(8) tac_pwd(8)
NAME tac_pwd - generate DES encryption of a password SYNOPSIS tac_pwd [-eh] [salt] DESCRIPTION tac_pwd prompts for a clear-text password and produces a DES encryption of that password on stdout which may be used in lieu of the clear-text representation in the tac_plus.conf(5). The DES salt may be provide as a command-line argument. COMMAND-LINE OPTIONS -e Do not echo the plain-text password to the terminal. -h Display help message. SEE ALSO crypt(3), tac_plus(8), tac_plus.conf(5) 22 March 2003 tac_pwd(8)
- tacacs+ des, A Clockwork Orange, 11:14 , 12-Дек-06 (6)
охотно верю, но увы только generate_passwd, и без манов. секрет на cisco шифруется а вот ключ - нет
- tacacs+ des, Сайко, 11:47 , 12-Дек-06 (7)
>охотно верю, но увы только generate_passwd, и без манов. В любом случае не стоит полагаться на наличие этого MAN, у тебя под рукой google, также есть всякие README и UserGuide >секрет на cisco шифруется а вот ключ - нет sh ver?
- tacacs+ des, A Clockwork Orange, 14:17 , 12-Дек-06 (8)
Center#sho ver Cisco Internetwork Operating System Software IOS (tm) C2600 Software (C2600-IS-M), Version 12.0(5)T1, RELEASE SOFTWARE (fc1) Copyright (c) 1986-1999 by cisco Systems, Inc. Compiled Tue 17-Aug-99 14:39 by cmong Image text-base: 0x80008088, data-base: 0x80B5E15CROM: System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1) Center uptime is 13 weeks, 6 days, 20 hours, 52 minutes System returned to ROM by power-on System restarted at 18:15:44 MSK Tue Sep 5 2006 System image file is "flash:c2600-is-mz_120-5_T1.bin" cisco 2621 (MPC860) processor (revision 0x102) with 46080K/19456K bytes of memory. Processor board ID JAB0341042C (3986040278) M860 processor: part number 0, mask 49 Bridging software. X.25 software, Version 3.0.0. 2 FastEthernet/IEEE 802.3 interface(s) 4 Serial(sync/async) network interface(s) 32K bytes of non-volatile configuration memory. 8192K bytes of processor board System flash (Read/Write) Configuration register is 0x2001 пишу key = des шифрованный_ключ ругается на шифрованный_ключ Dec 12 12:51:44 mow tac_plus[2867]: Error Unrecognised token xrwKoexC6uyZk on line 1
в логине подобная строка принимается login = des шифрованный_пароль все нормально
- tacacs+ des, A Clockwork Orange, 16:03 , 12-Дек-06 (9)
вот такой еще вопрос если aaa author exec defa group tacacs+ то при получении ошибки от tacacs+ не могу зайти на маршрутизатор даже под локальным эккаунтом. а как сделать ситуацию подобноую в авторизации aaa authentication login default group tacacs+ local если ошибка от tacacs+ то используется локальная база и можно зайти?
- tacacs+ des, Wowa, 16:55 , 12-Дек-06 (10)
>вот такой еще вопрос >если >aaa author exec defa group tacacs+ >то при получении ошибки от tacacs+ не могу зайти на маршрутизатор даже >под локальным эккаунтом. >а как сделать ситуацию подобноую в авторизации >aaa authentication login default group tacacs+ local >если ошибка от tacacs+ то используется локальная база и можно зайти? Если такакс дал отлуп, то локальная база НЕ используется. Только в случае неответа такакса используется локальная база.
- tacacs+ des, A Clockwork Orange, 17:29 , 12-Дек-06 (11)
вопрос не в этом при аутентификации aaa authentication login default group tacacs+ local даже ошибке tacacs используем локальную базу.а вот если aaa author comma defa group tacacs+ при ошибке или неответе tacacs локальная база не используется и теряется доступ к конфигурации маршрутизатора а как сделать, что бы при ошибке или недоступности tacacs доспут к конфигурации был?
- tacacs+ des, A Clockwork Orange, 17:49 , 12-Дек-06 (12)
и вот это не понятно aaa author comm 17 defa if-authen tacacs+ --------- подумал сначала примерно так, авторизация по такаксу будет, асли пользовтель успешно прошел атентификацию по такаксу. ан нет. - если такас недступен, аутентифицируюсь по локальной базе, авторизации по такаксу нет, досуп к конфигурации не теряется - если такакс доступен, аутентифицируюсь по такаксу, но авторизация не работает по такаксу не работает. смысл этой опции if-authent не понятен.
- tacacs+ des, Helper, 22:32 , 12-Дек-06 (13)
В конфиге такакса ключ ставится НЕШИФРОВАННЫМ.Внимательнее почитайте user_guide от tac_plus.4.0.4 - как вам раньше и писали. - tacacs+ des, A Clockwork Orange, 09:00 , 13-Дек-06 (14)
цитирую1). Configuring the encryption key If you want tac_plus to encrypt its packets (and you almost certainly *DO* want this, as there can be usernames and passwords contained in these packets), then you must specify an encryption key in the configuration file. The identical key must also be configured on any NAS which communicates with tac_plus. Если вы хотите чтобы tac_plus шифровал свои пакеты (и вы почти уверены что хотите сделать это, так как в этих пакетах содержаться имена и пароли), тогда вы должы определить шифрованный ключ в конфигурационном файле. Идентичный ключь должен быть так же сконфигурирован в любом NAS который соединяется с tac_plus
Или тут имеется ввиду ключ для шифрования?!!!!!!!!!! а не шифрованный ключ?
- tacacs+ des, Сайко, 11:22 , 13-Дек-06 (15)
>Или тут имеется ввиду ключ для шифрования?!!!!!!!!!! а не шифрованный ключ? А как ты думаешь - есть различия между encryption key и encrypted key? - tacacs+ des, A Clockwork Orange, 13:36 , 13-Дек-06 (16)
encryption key и encrypted key, согласен еще encrypting key - tacacs+ des, Helper, 15:13 , 13-Дек-06 (17)
encryption key = ключ шифрования - tacacs+ des, A Clockwork Orange, 15:20 , 13-Дек-06 (18)
как сделать чтобы accounting фиксировал все команды всех уровней привелегий если я пишу command 15не фиксуирет sho arp фиксирует sho run
|