форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"catalyst 2950 & Tacacs+"

Сообщение от flatciz on 12-Май-06, 17:16

задача проста, но неполучается у меня... нужно чтоб при админ-входе на корпоративный свич2950 авторизация происходила на сервере Tacacs+...  тоесть все пароли админов хранятся на этом сервере. у меня сомнения по поводу конфига свича... вот он aaa new-model aaa authentication login default group tacacs+ aaa authorization exec default group tacacs+ aaa authorization commands 1 default group tacacs+ aaa authorization commands 15 default group tacacs+ aaa authorization network default group tacacs+ aaa accounting exec default start-stop group tacacs+ aaa accounting commands 0 default start-stop group tacacs+ aaa accounting network default start-stop group tacacs+ server-tacacs host 10.10.10.10 server-tacacs key cisco ------------------------- # User for network 10.10.10.0 (Samba) user = nokia                 { pap = cleartext nokia service = ppp protocol = ip } -------------------------- появляется приглашение ..ВВОЖУ пароль\логин.. затем enable и password...появляется "приглашение" но ниодну команду выполнить нельзя (ошибка авторизации) как это бороть??

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Сообщения по теме

[Сортировка по времени, UBB]

1. "catalyst 2950 & Tacacs+"

Сообщение от sh_ (??) on 12-Май-06, 17:38

deb aaa autho

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "catalyst 2950 & Tacacs+"

Сообщение от Nichls (ok) on 12-Май-06, 17:48

> ># User for network 10.10.10.0 (Samba) >user = nokia >{ >pap = cleartext nokia >service = ppp protocol = ip > } Привет. Вот как в конфиге TACACS у меня прописан пользователь для захода. Может тебе поможет. user = user_name {         login = cleartext "мой_супер_пароль"         service = exec {         idletime = 30         } } На кошке: enable secret 5 <cenzored> ! aaa new-model ! ! aaa authentication login default local-case group tacacs+ aaa authentication enable default group tacacs+ enable aaa authorization exec default local group tacacs+ aaa authorization network default group tacacs+ local aaa accounting resource default start-stop group tacacs+ aaa session-id common ! tacacs-server host xxx.xxx.xxx.xxx tacacs-server host xxx.xxx.xxx.xxx tacacs-server directed-request tacacs-server key 7 <cenzored> !

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	4. "catalyst 2950 & Tacacs+"
	Сообщение от flatciz on 16-Май-06, 18:08
	привет, хочу вернуться к этой теме... что только не пробовал, не работает!!! пишу полностью твой конфиг на рутере enable secret 5 <cenzored> aaa new-model aaa authentication login default local-case group tacacs+ aaa authentication enable default group tacacs+ enable aaa authorization exec default local group tacacs+ aaa authorization network default group tacacs+ local aaa accounting resource default start-stop group tacacs+ aaa session-id common tacacs-server host xxx.xxx.xxx.xxx tacacs-server host xxx.xxx.xxx.xxx tacacs-server directed-request tacacs-server key 7 <cenzored> до такакса даже недоходит.... появляется username - ввожу password - ввожу ... пишет что ошибка аутонтефикации... И ВСЕ!!!
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	5. "catalyst 2950 & Tacacs+"
	Сообщение от Nichls (ok) on 16-Май-06, 18:55
	>привет, хочу вернуться к этой теме... что только не пробовал, не работает!!! > >пишу полностью твой конфиг на рутере >enable secret 5 <cenzored> >aaa new-model >aaa authentication login default local-case group tacacs+ >aaa authentication enable default group tacacs+ enable >aaa authorization exec default local group tacacs+ >aaa authorization network default group tacacs+ local >aaa accounting resource default start-stop group tacacs+ >aaa session-id common >tacacs-server host xxx.xxx.xxx.xxx >tacacs-server host xxx.xxx.xxx.xxx >tacacs-server directed-request >tacacs-server key 7 <cenzored> > >до такакса даже недоходит.... >появляется username - ввожу >password - ввожу ... пишет что ошибка аутонтефикации... >И ВСЕ!!! Привет. Привожу конфиг такакса: ------------------------------------------------------------------------------ key = "<cenzored>" accounting file = /path/to/tac_plus_log_file # Ordinar Users. # Этот кусок описывает юзера user = user-name {         login = cleartext "<cenzored>"         service = exec {         idletime = 30         } } # А здесь пароль на ENABLE user = $enab15$ {         login = cleartext "<cenzored>"         service = exec {         idletime = 30         } } -bash-2.05b$ ssh user-name@xxx.xxx.xxx.xxx user-name@xxx.xxx.xxx.xxx's password: My-super-cisco> My-super-cisco>en Password: My-super-cisco# My-super-cisco#q -bash-2.05b$ tail -f /path/to/tac_plus_log_file Tue May 16 18:28:33 2006 [97835]: login query for 'user-name' tty6 from xxx.xxx.xxx.xxx accepted Tue May 16 18:28:33 2006 [97836]: authorization query for 'user-name' tty6 from xxx.xxx.xxx.xxx accepted Tue May 16 18:30:04 2006 [97847]: enable query for 'user-name' tty6 from xxx.xxx.xxx.xxx accepted Конфиг на кошке: ------------------------------------------------------------------------------ ! aaa new-model ! ! aaa authentication login default group tacacs+ local-case aaa authentication enable default group tacacs+ enable aaa authorization exec default group tacacs+ local aaa authorization network default group tacacs+ local aaa accounting resource default start-stop group tacacs+ aaa session-id common ! tacacs-server host xxx.xxx.xxx.xxx tacacs-server host xxx.xxx.xxx.xxx tacacs-server directed-request tacacs-server key 7 <cenzored> ! Больше ничего нигде не прописывал. Проверь синтаксис. Не забудь перезапустить демон такакса. Если не получится - пиши. Будем дальше ковырять. Если получится - тоже напиши. Будем искать, в чем была ошибка. С Уважением, Александр. PS Про такакс можно почитать тут - http://bog.pp.ru/work/tacacs.html
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	6. "catalyst 2950 & Tacacs+"
	Сообщение от flatciz on 17-Май-06, 11:24
	привет, спасибо за помощь... вообщем потихонтку разобрался кажется. Ошибка была в том что неправильно я такакс сделал, а делал я его как на авторизацию дайлапных юзеров (дайлап то работает)...а проблему искал в киске...почему то был уверен что проблема в ней. Возможно поэтому и не получалось. Я добавил пару строк ааа accounting чтоб в логи все писалось, ну это детали... Вообщем недооценил татакс или просто проклинило меня:)) В любом случае СПАСИБО ЗА ПОМОЩЬ! -------------------------------------------------- tacacs+ ># А здесь пароль на ENABLE >user = $enab15$ {            +++++++++++   Вот про это несовсем понял, тоесть это уровень enable? тоесть чтоб давал приглашение для ввода пароля..??? несовсем я это понял..
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	7. "catalyst 2950 & Tacacs+"
	Сообщение от Nichls (ok) on 17-Май-06, 13:15
	>привет, спасибо за помощь... вообщем потихонтку разобрался кажется. >Ошибка была в том что неправильно я такакс сделал, а делал я >его как на авторизацию дайлапных юзеров (дайлап то работает)...а проблему искал >в киске...почему то был уверен что проблема в ней. >Возможно поэтому и не получалось. >Я добавил пару строк ааа accounting чтоб в логи все писалось, ну >это детали... >Вообщем недооценил татакс или просто проклинило меня:)) > >В любом случае СПАСИБО ЗА ПОМОЩЬ! >-------------------------------------------------- >tacacs+ >># А здесь пароль на ENABLE >>user = $enab15$ {            +++++++++++   Вот про это несовсем понял, тоесть это уровень enable? тоесть чтоб давал приглашение для ввода пароля..??? несовсем я это понял..           > Привет. Тат как в настройках кошки указано, что сначало проверяешься на такакс-сервере, то и пароль ENABLE нужно иметь там же (на кошке тоже, если через консоль будешь заходить). Так же не стоит забывать про то, что на случай отказа такакс-сервера на кошке так же должен быть заведен, так сказать, аварийный пользователь. Вот наверно и все. Если что не понятно - пиши. Покурим вместе.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	8. "catalyst 2950 & Tacacs+"
	Сообщение от flatciz on 18-Май-06, 16:46
	привет..как оно, я опять с вопросом...)) http://www.opennet.me/openforum/vsluhforumID1/66368.html --- "кто нить слышал про виртуальную АТС на линуксе???"   Сообщение от flatciz  on 18-Май-06, 16:38   привет, кто нить слышал про виртуальную АТС на линуксе... работает как ip тел.связь, тоесть некое прогр.обеспечение на сервере и некая железка в которую помоему должен походить Е1..или что то вроде этого. К сожалению более детально незнаю...говорят что есть такое в природе, очень интересно узнать...плиз, кто слышал поделитесь инфой   ---- в юниксовом форуме разместил.... не слышал про такое чудо? вроде что то подобное существует но название неизвестно..
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	9. "catalyst 2950 & Tacacs+"
	Сообщение от fantom (??) on 18-Май-06, 17:47
	>привет..как оно, я опять с вопросом...)) >http://www.opennet.me/openforum/vsluhforumID1/66368.html >--- > >"кто нить слышал про виртуальную АТС на линуксе???" >Сообщение от flatciz  on 18-Май-06, 16:38 >привет, кто нить слышал про виртуальную АТС на линуксе... >работает как ip тел.связь, тоесть некое прогр.обеспечение на сервере и некая железка >в которую помоему должен походить Е1..или что то вроде этого. >К сожалению более детально незнаю...говорят что есть такое в природе, очень интересно >узнать...плиз, кто слышал поделитесь инфой >---- > >в юниксовом форуме разместил.... не слышал про такое чудо? вроде что то >подобное существует но название неизвестно.. asteriks
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "catalyst 2950 & Tacacs+"

Сообщение от Nailer (??) on 12-Май-06, 19:11

>задача проста, но неполучается у меня... >нужно чтоб при админ-входе на корпоративный свич2950 авторизация происходила на сервере Tacacs+... > тоесть все пароли админов хранятся на этом сервере. > >у меня сомнения по поводу конфига свича... >вот он >aaa new-model >aaa authentication login default group tacacs+ >aaa authorization exec default group tacacs+ >aaa authorization commands 1 default group tacacs+ >aaa authorization commands 15 default group tacacs+ >aaa authorization network default group tacacs+ >aaa accounting exec default start-stop group tacacs+ >aaa accounting commands 0 default start-stop group tacacs+ >aaa accounting network default start-stop group tacacs+ >server-tacacs host 10.10.10.10 >server-tacacs key cisco >------------------------- > ># User for network 10.10.10.0 (Samba) >user = nokia >{ >pap = cleartext nokia >service = ppp protocol = ip > } >-------------------------- >появляется приглашение ..ВВОЖУ пароль\логин.. затем enable и password...появляется "приглашение" но ниодну команду >выполнить нельзя (ошибка авторизации) > >как это бороть?? У вас включена авторизация команд уровня exec 1 и exec 15 на сервере, но на сервере в записи пользователя информации об разрешенных командах нет, поэтому нет и команд. Если надо авторизовать только админов, но не регистрировать их действия, то поменятйе строчку aaa authorization commands 15 default group tacacs+ на aaa authorization commands 15 default if-auth

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]