forum.opennet.ru - "tacacs+ des" (18)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"tacacs+ des"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"tacacs+ des"
Сообщение от A Clockwork Orange on 12-Дек-06, 10:18
Каким образом мне прописать в конфигурационном файле tacacs+ ключ закодированный des и таким же образом прописать его на маршрутизаторе TACACS+ key = des зашифрованный_ключ как получить зашифрованный ключ? CISCO tacacs-server key зашифрованный_кдюч как получить туже последовательность (ключ зашифрованный в des) ?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

tacacs+ des, Сайко, 10:38 , 12-Дек-06, (1)

tacacs+ des, Сайко, 10:40 , 12-Дек-06, (2)

tacacs+ des, A Clockwork Orange, 10:49 , 12-Дек-06, (3)

tacacs+ des, Сайко, 10:54 , 12-Дек-06, (4)
tacacs+ des, Сайко, 11:03 , 12-Дек-06, (5)

tacacs+ des, A Clockwork Orange, 11:14 , 12-Дек-06, (6)

tacacs+ des, Сайко, 11:47 , 12-Дек-06, (7)

tacacs+ des, A Clockwork Orange, 14:17 , 12-Дек-06, (8)

tacacs+ des, A Clockwork Orange, 16:03 , 12-Дек-06, (9)

tacacs+ des, Wowa, 16:55 , 12-Дек-06, (10)

tacacs+ des, A Clockwork Orange, 17:29 , 12-Дек-06, (11)

tacacs+ des, A Clockwork Orange, 17:49 , 12-Дек-06, (12)

tacacs+ des, Helper, 22:32 , 12-Дек-06, (13)
tacacs+ des, A Clockwork Orange, 09:00 , 13-Дек-06, (14)
tacacs+ des, Сайко, 11:22 , 13-Дек-06, (15)
tacacs+ des, A Clockwork Orange, 13:36 , 13-Дек-06, (16)
tacacs+ des, Helper, 15:13 , 13-Дек-06, (17)
tacacs+ des, A Clockwork Orange, 15:20 , 13-Дек-06, (18)

Сообщения по теме [Сортировка по времени, UBB]

1. "tacacs+ des"

Сообщение от Сайко on 12-Дек-06, 10:38

попробуй програмку которая идет в комплекте с tacacs+, в разных наборах по разному называется, но принцип один
generate_passwd (в пакете с ftp-eng.cisco.com)
tac_pwd (из порта FreeBSD)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "tacacs+ des"

Сообщение от Сайко on 12-Дек-06, 10:40

P.S.
tacacs-server key <не защифрованный ключ>
service password-encryption

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "tacacs+ des"

Сообщение от A Clockwork Orange on 12-Дек-06, 10:49

OpenBSD 4.0
# pkg_info | grep tacacs
tacacs+-4.0.4ap1    Cisco AAA protocol daemon
# ls /usr/local/sbin
generate_passwd tac_plus
Но нигде не пишется, что generate_passwd для des шифрования
путем generate_passwd я получаю шифрованную_последовательность, ее вставляю у tacacs+
key = des <шифрованная_последовательнось>
и исходный ключ, из чего я получил последовательность вставляю в
tacacs-server key <нешифрованная_последовательность>
так я понял?
у меня стоит service password-encryption, но когда я ввел нешифрованную последотельность,  и сделал show run то увидел все еще нешифрованной

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "tacacs+ des"

Сообщение от Сайко on 12-Дек-06, 10:54

>OpenBSD 4.0
># pkg_info | grep tacacs
>tacacs+-4.0.4ap1    Cisco AAA protocol daemon
># ls /usr/local/sbin
>generate_passwd tac_plus
>Но нигде не пишется, что generate_passwd для des шифрования
>
>путем generate_passwd я получаю шифрованную_последовательность, ее вставляю у tacacs+
>key = des <шифрованная_последовательнось>
у тебя BSD, поищи tac_pwd
>и исходный ключ, из чего я получил последовательность вставляю в
>tacacs-server key <нешифрованная_последовательность>
>так я понял?
Да, по идее так должно работать. У меня на половине цысок шифруется, а на другой половине не шифрованная. попробуй на разных cisco/ios.
>у меня стоит service password-encryption, но когда я ввел нешифрованную последотельность,
>и сделал show run то увидел все еще нешифрованной
может так поможет:
no service password-encryption
service password-encryption

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "tacacs+ des"

Сообщение от Сайко on 12-Дек-06, 11:03

>OpenBSD 4.0
># pkg_info | grep tacacs
>tacacs+-4.0.4ap1    Cisco AAA protocol daemon
># ls /usr/local/sbin
>generate_passwd tac_plus
>Но нигде не пишется, что generate_passwd для des шифрования
ftp://ftpeng.cisco.com/pub/tacacs/
в архиве tac_plus.F4.0.4.alpha.tar.Z есть замечательный файлик users_guide, ознакомся с ним...

Да вот еще...
$ uname -sr
FreeBSD 4.10-RELEASE
$ man tac_pwd
tac_pwd(8)                                                          tac_pwd(8)
NAME
       tac_pwd - generate DES encryption of a password
SYNOPSIS
       tac_pwd [-eh] [salt]
DESCRIPTION
       tac_pwd prompts for a clear-text password and produces a DES encryption
       of that password on stdout which may be used in lieu of the  clear-text
       representation in the tac_plus.conf(5).
       The DES salt may be provide as a command-line argument.
COMMAND-LINE OPTIONS
       -e     Do not echo the plain-text password to the terminal.
       -h     Display help message.
SEE ALSO
       crypt(3), tac_plus(8), tac_plus.conf(5)
                                 22 March 2003                      tac_pwd(8)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "tacacs+ des"

Сообщение от A Clockwork Orange on 12-Дек-06, 11:14

охотно верю, но увы только generate_passwd, и без манов.
секрет на cisco шифруется а вот ключ - нет

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "tacacs+ des"

Сообщение от Сайко on 12-Дек-06, 11:47

>охотно верю, но увы только generate_passwd, и без манов.
В любом случае не стоит полагаться на наличие этого MAN, у тебя под рукой google, также есть всякие README и UserGuide
>секрет на cisco шифруется а вот ключ - нет
sh ver?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "tacacs+ des"

Сообщение от A Clockwork Orange on 12-Дек-06, 14:17

Center#sho ver
Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-IS-M), Version 12.0(5)T1,  RELEASE SOFTWARE (fc1)
Copyright (c) 1986-1999 by cisco Systems, Inc.
Compiled Tue 17-Aug-99 14:39 by cmong
Image text-base: 0x80008088, data-base: 0x80B5E15C
ROM: System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1)
Center uptime is 13 weeks, 6 days, 20 hours, 52 minutes
System returned to ROM by power-on
System restarted at 18:15:44 MSK Tue Sep 5 2006
System image file is "flash:c2600-is-mz_120-5_T1.bin"
cisco 2621 (MPC860) processor (revision 0x102) with 46080K/19456K bytes of memory.
Processor board ID JAB0341042C (3986040278)
M860 processor: part number 0, mask 49
Bridging software.
X.25 software, Version 3.0.0.
2 FastEthernet/IEEE 802.3 interface(s)
4 Serial(sync/async) network interface(s)
32K bytes of non-volatile configuration memory.
8192K bytes of processor board System flash (Read/Write)
Configuration register is 0x2001

пишу
key = des шифрованный_ключ
ругается на шифрованный_ключ
Dec 12 12:51:44 mow tac_plus[2867]: Error Unrecognised token xrwKoexC6uyZk on line 1
в логине подобная строка принимается
login = des шифрованный_пароль
все нормально

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "tacacs+ des"

Сообщение от A Clockwork Orange on 12-Дек-06, 16:03

вот такой еще вопрос
если
aaa author exec defa group tacacs+
то при получении ошибки от tacacs+ не могу зайти на маршрутизатор даже под локальным эккаунтом.
а как сделать ситуацию подобноую в авторизации
aaa authentication login default group tacacs+ local
если ошибка от tacacs+ то используется локальная база и можно зайти?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "tacacs+ des"

Сообщение от Wowa (??) on 12-Дек-06, 16:55

>вот такой еще вопрос
>если
>aaa author exec defa group tacacs+
>то при получении ошибки от tacacs+ не могу зайти на маршрутизатор даже
>под локальным эккаунтом.
>а как сделать ситуацию подобноую в авторизации
>aaa authentication login default group tacacs+ local
>если ошибка от tacacs+ то используется локальная база и можно зайти?
Если такакс дал отлуп, то локальная база НЕ используется.
Только в случае неответа такакса используется локальная база.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "tacacs+ des"

Сообщение от A Clockwork Orange on 12-Дек-06, 17:29

вопрос не в этом
при аутентификации
aaa authentication login default group tacacs+ local
даже ошибке tacacs используем локальную базу.
а вот если
aaa author comma defa group tacacs+
при ошибке или неответе tacacs локальная база не используется и теряется доступ к конфигурации маршрутизатора
а как сделать, что бы при ошибке или недоступности tacacs доспут к конфигурации был?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "tacacs+ des"

Сообщение от A Clockwork Orange on 12-Дек-06, 17:49

и вот это не понятно
aaa author comm 17 defa if-authen tacacs+
                        ---------
подумал сначала примерно так, авторизация по такаксу будет, асли пользовтель успешно прошел атентификацию по такаксу. ан нет.
- если такас недступен, аутентифицируюсь по локальной базе, авторизации по такаксу нет, досуп к конфигурации не теряется
- если такакс доступен, аутентифицируюсь по такаксу, но авторизация не работает по такаксу не работает.
смысл этой опции if-authent не понятен.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "tacacs+ des"

Сообщение от Helper on 12-Дек-06, 22:32

В конфиге такакса ключ ставится НЕШИФРОВАННЫМ.
Внимательнее почитайте user_guide от tac_plus.4.0.4 -  как вам раньше и писали.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "tacacs+ des"

Сообщение от A Clockwork Orange on 13-Дек-06, 09:00

цитирую
1). Configuring the encryption key
If you want tac_plus to encrypt its packets (and you almost certainly
*DO* want this, as there can be usernames and passwords contained in
these packets), then you must specify an encryption key in the
configuration file. The identical key must also be configured on any
NAS which communicates with tac_plus.

Если вы хотите чтобы tac_plus шифровал свои пакеты (и вы почти уверены что хотите сделать это, так как в этих пакетах содержаться имена и пароли), тогда вы должы определить шифрованный ключ в конфигурационном файле. Идентичный ключь должен быть так же сконфигурирован в любом NAS который соединяется с tac_plus

Или тут имеется ввиду ключ для шифрования?!!!!!!!!!! а не шифрованный ключ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "tacacs+ des"

Сообщение от Сайко on 13-Дек-06, 11:22

>Или тут имеется ввиду ключ для шифрования?!!!!!!!!!! а не шифрованный ключ?
А как ты думаешь - есть различия между encryption key и encrypted key?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "tacacs+ des"

Сообщение от A Clockwork Orange on 13-Дек-06, 13:36

encryption key и encrypted key, согласен
еще
encrypting key

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "tacacs+ des"

Сообщение от Helper on 13-Дек-06, 15:13

encryption key = ключ шифрования

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "tacacs+ des"

Сообщение от A Clockwork Orange on 13-Дек-06, 15:20

как сделать чтобы accounting фиксировал все команды всех уровней привелегий
если я пишу
command 15
не фиксуирет
sho arp
фиксирует
sho run

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "tacacs+ des"
Сообщение от Сайко on 12-Дек-06, 10:38
попробуй програмку которая идет в комплекте с tacacs+, в разных наборах по разному называется, но принцип один generate_passwd (в пакете с ftp-eng.cisco.com) tac_pwd (из порта FreeBSD)
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "tacacs+ des"
	Сообщение от Сайко on 12-Дек-06, 10:40
	P.S. tacacs-server key <не защифрованный ключ> service password-encryption
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "tacacs+ des"
	Сообщение от A Clockwork Orange on 12-Дек-06, 10:49
	OpenBSD 4.0 # pkg_info \| grep tacacs tacacs+-4.0.4ap1 Cisco AAA protocol daemon # ls /usr/local/sbin generate_passwd tac_plus Но нигде не пишется, что generate_passwd для des шифрования путем generate_passwd я получаю шифрованную_последовательность, ее вставляю у tacacs+ key = des <шифрованная_последовательнось> и исходный ключ, из чего я получил последовательность вставляю в tacacs-server key <нешифрованная_последовательность> так я понял? у меня стоит service password-encryption, но когда я ввел нешифрованную последотельность, и сделал show run то увидел все еще нешифрованной
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "tacacs+ des"
	Сообщение от Сайко on 12-Дек-06, 10:54
	>OpenBSD 4.0 ># pkg_info \| grep tacacs >tacacs+-4.0.4ap1 Cisco AAA protocol daemon ># ls /usr/local/sbin >generate_passwd tac_plus >Но нигде не пишется, что generate_passwd для des шифрования > >путем generate_passwd я получаю шифрованную_последовательность, ее вставляю у tacacs+ >key = des <шифрованная_последовательнось> у тебя BSD, поищи tac_pwd >и исходный ключ, из чего я получил последовательность вставляю в >tacacs-server key <нешифрованная_последовательность> >так я понял? Да, по идее так должно работать. У меня на половине цысок шифруется, а на другой половине не шифрованная. попробуй на разных cisco/ios. >у меня стоит service password-encryption, но когда я ввел нешифрованную последотельность, >и сделал show run то увидел все еще нешифрованной может так поможет: no service password-encryption service password-encryption
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "tacacs+ des"
	Сообщение от Сайко on 12-Дек-06, 11:03
	>OpenBSD 4.0 ># pkg_info \| grep tacacs >tacacs+-4.0.4ap1 Cisco AAA protocol daemon ># ls /usr/local/sbin >generate_passwd tac_plus >Но нигде не пишется, что generate_passwd для des шифрования ftp://ftpeng.cisco.com/pub/tacacs/ в архиве tac_plus.F4.0.4.alpha.tar.Z есть замечательный файлик users_guide, ознакомся с ним... Да вот еще... $ uname -sr FreeBSD 4.10-RELEASE $ man tac_pwd tac_pwd(8) tac_pwd(8) NAME tac_pwd - generate DES encryption of a password SYNOPSIS tac_pwd [-eh] [salt] DESCRIPTION tac_pwd prompts for a clear-text password and produces a DES encryption of that password on stdout which may be used in lieu of the clear-text representation in the tac_plus.conf(5). The DES salt may be provide as a command-line argument. COMMAND-LINE OPTIONS -e Do not echo the plain-text password to the terminal. -h Display help message. SEE ALSO crypt(3), tac_plus(8), tac_plus.conf(5) 22 March 2003 tac_pwd(8)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "tacacs+ des"
	Сообщение от A Clockwork Orange on 12-Дек-06, 11:14
	охотно верю, но увы только generate_passwd, и без манов. секрет на cisco шифруется а вот ключ - нет
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "tacacs+ des"
	Сообщение от Сайко on 12-Дек-06, 11:47
	>охотно верю, но увы только generate_passwd, и без манов. В любом случае не стоит полагаться на наличие этого MAN, у тебя под рукой google, также есть всякие README и UserGuide >секрет на cisco шифруется а вот ключ - нет sh ver?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "tacacs+ des"
	Сообщение от A Clockwork Orange on 12-Дек-06, 14:17
	Center#sho ver Cisco Internetwork Operating System Software IOS (tm) C2600 Software (C2600-IS-M), Version 12.0(5)T1, RELEASE SOFTWARE (fc1) Copyright (c) 1986-1999 by cisco Systems, Inc. Compiled Tue 17-Aug-99 14:39 by cmong Image text-base: 0x80008088, data-base: 0x80B5E15C ROM: System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1) Center uptime is 13 weeks, 6 days, 20 hours, 52 minutes System returned to ROM by power-on System restarted at 18:15:44 MSK Tue Sep 5 2006 System image file is "flash:c2600-is-mz_120-5_T1.bin" cisco 2621 (MPC860) processor (revision 0x102) with 46080K/19456K bytes of memory. Processor board ID JAB0341042C (3986040278) M860 processor: part number 0, mask 49 Bridging software. X.25 software, Version 3.0.0. 2 FastEthernet/IEEE 802.3 interface(s) 4 Serial(sync/async) network interface(s) 32K bytes of non-volatile configuration memory. 8192K bytes of processor board System flash (Read/Write) Configuration register is 0x2001 пишу key = des шифрованный_ключ ругается на шифрованный_ключ Dec 12 12:51:44 mow tac_plus[2867]: Error Unrecognised token xrwKoexC6uyZk on line 1 в логине подобная строка принимается login = des шифрованный_пароль все нормально
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "tacacs+ des"
	Сообщение от A Clockwork Orange on 12-Дек-06, 16:03
	вот такой еще вопрос если aaa author exec defa group tacacs+ то при получении ошибки от tacacs+ не могу зайти на маршрутизатор даже под локальным эккаунтом. а как сделать ситуацию подобноую в авторизации aaa authentication login default group tacacs+ local если ошибка от tacacs+ то используется локальная база и можно зайти?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "tacacs+ des"
	Сообщение от Wowa (??) on 12-Дек-06, 16:55
	>вот такой еще вопрос >если >aaa author exec defa group tacacs+ >то при получении ошибки от tacacs+ не могу зайти на маршрутизатор даже >под локальным эккаунтом. >а как сделать ситуацию подобноую в авторизации >aaa authentication login default group tacacs+ local >если ошибка от tacacs+ то используется локальная база и можно зайти? Если такакс дал отлуп, то локальная база НЕ используется. Только в случае неответа такакса используется локальная база.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "tacacs+ des"
	Сообщение от A Clockwork Orange on 12-Дек-06, 17:29
	вопрос не в этом при аутентификации aaa authentication login default group tacacs+ local даже ошибке tacacs используем локальную базу. а вот если aaa author comma defa group tacacs+ при ошибке или неответе tacacs локальная база не используется и теряется доступ к конфигурации маршрутизатора а как сделать, что бы при ошибке или недоступности tacacs доспут к конфигурации был?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "tacacs+ des"
	Сообщение от A Clockwork Orange on 12-Дек-06, 17:49
	и вот это не понятно aaa author comm 17 defa if-authen tacacs+ --------- подумал сначала примерно так, авторизация по такаксу будет, асли пользовтель успешно прошел атентификацию по такаксу. ан нет. - если такас недступен, аутентифицируюсь по локальной базе, авторизации по такаксу нет, досуп к конфигурации не теряется - если такакс доступен, аутентифицируюсь по такаксу, но авторизация не работает по такаксу не работает. смысл этой опции if-authent не понятен.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "tacacs+ des"
	Сообщение от Helper on 12-Дек-06, 22:32
	В конфиге такакса ключ ставится НЕШИФРОВАННЫМ. Внимательнее почитайте user_guide от tac_plus.4.0.4 - как вам раньше и писали.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "tacacs+ des"
	Сообщение от A Clockwork Orange on 13-Дек-06, 09:00
	цитирую 1). Configuring the encryption key If you want tac_plus to encrypt its packets (and you almost certainly DO want this, as there can be usernames and passwords contained in these packets), then you must specify an encryption key in the configuration file. The identical key must also be configured on any NAS which communicates with tac_plus. Если вы хотите чтобы tac_plus шифровал свои пакеты (и вы почти уверены что хотите сделать это, так как в этих пакетах содержаться имена и пароли), тогда вы должы определить шифрованный ключ в конфигурационном файле. Идентичный ключь должен быть так же сконфигурирован в любом NAS который соединяется с tac_plus Или тут имеется ввиду ключ для шифрования?!!!!!!!!!! а не шифрованный ключ?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "tacacs+ des"
	Сообщение от Сайко on 13-Дек-06, 11:22
	>Или тут имеется ввиду ключ для шифрования?!!!!!!!!!! а не шифрованный ключ? А как ты думаешь - есть различия между encryption key и encrypted key?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "tacacs+ des"
	Сообщение от A Clockwork Orange on 13-Дек-06, 13:36
	encryption key и encrypted key, согласен еще encrypting key
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "tacacs+ des"
	Сообщение от Helper on 13-Дек-06, 15:13
	encryption key = ключ шифрования
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "tacacs+ des"
	Сообщение от A Clockwork Orange on 13-Дек-06, 15:20
	как сделать чтобы accounting фиксировал все команды всех уровней привелегий если я пишу command 15 не фиксуирет sho arp фиксирует sho run
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]