forum.opennet.ru - "Cisco 3750 Tac+ авторизация" (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Cisco 3750 Tac+ авторизация"

Форум Маршрутизаторы CISCO и др. оборудование. (AAA, Radius, Tacacs)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Cisco 3750 Tac+ авторизация"	+/–
Сообщение от bDrwx (ok) on 09-Дек-14, 10:15
Здравствуйте. Столкнулся с проблемой при настройке авторизации на TAC_PLUS сервере. Путем отладки выяснил что железка отправляет запросы tac_plus серверу только при наличии вводимых пользователя и пароля в локальной базе устройства. P.S. Единственно что мне приходит в голову, эти железки отличаются от остальных которые работаю с tac сервером наличием vrf. Но у меня в голове не укладывается как в данном случае это может повлиять. Конфин устройства: aaa new-model aaa authentication login telnet group tacacs+ local aaa authentication login console group tacacs+ local aaa authentication enable default group tacacs+ enable aaa authorization exec default group tacacs+ local aaa authorization commands 15 default group tacacs+ local aaa accounting update newinfo aaa session-id common ip tacacs source-interface Vlan517 tacacs-server host 10.10.10.10 tacacs-server directed-request tacacs-server key cle_tacacs Логи с устройства: 2y33w: TAC+: using previously set server 10.10.10.10 from group tacacs+ 2y33w: TAC+: Opening TCP/IP to 10.10.10.10/49 timeout=5 2y33w: TAC+: Opened TCP/IP handle 0x4C7D54C to 10.10.10.10/49 using source 5.5.5.5 2y33w: TAC+: Opened 10.10.10.10 index=1 2y33w: TAC+: 10.10.10.10 (1770772525) AUTHOR/START queued 2y33w: TAC+: (1770772525) AUTHOR/START processed 2y33w: TAC+: (1770772525): received author response status = FAIL 2y33w: TAC+: Closing TCP/IP 0x4C7D54C connection to 10.10.10.10/49 2y33w: AAA/MEMORY: create_user (0x3F2F4F0) user='NULL' ruser='NULL' ds0=0 port='tty11' rem_addr='1.2.3.4' authen_type=ASCII service=LOGIN priv=1 initial_task_id='0', vrf= (id=0) 2y33w: %SEC_LOGIN-5-LOGIN_SUCCESS: Login Success [user: ] [Source: 1.2.3.4] [localport: 23] at 12:50:33 Moscow Mon Dec 8 2014 2y33w: tty11 AAA/AUTHOR/EXEC (109700739): Port='tty11' list='' service=EXEC 2y33w: AAA/AUTHOR/EXEC: tty11 (109700739) user='cisco' 2y33w: tty11 AAA/AUTHOR/EXEC (109700739): send AV service=shell 2y33w: tty11 AAA/AUTHOR/EXEC (109700739): send AV cmd* 2y33w: tty11 AAA/AUTHOR/EXEC (109700739): found list "default" 2y33w: tty11 AAA/AUTHOR/EXEC (109700739): Method=tacacs+ (tacacs+) 2y33w: AAA/AUTHOR/TAC+: (109700739): user=cisco 2y33w: AAA/AUTHOR/TAC+: (109700739): send AV service=shell 2y33w: AAA/AUTHOR/TAC+: (109700739): send AV cmd* 2y33w: TAC+: Using default tacacs server-group "tacacs+" list. 2y33w: TAC+: Opening TCP/IP to 10.10.10.10/49 timeout=5 2y33w: TAC+: Opened TCP/IP handle 0x4929EEC to 10.10.10.10/49 using source 5.5.5.5 2y33w: TAC+: 10.10.10.10 (109700739) AUTHOR/START queued 2y33w: TAC+: (109700739) AUTHOR/START processed 2y33w: TAC+: (109700739): received author response status = FAIL 2y33w: TAC+: Closing TCP/IP 0x4929EEC connection to 10.10.10.10/49 2y33w: AAA/AUTHOR (109700739): Post authorization status = FAIL 2y33w: AAA/AUTHOR/EXEC: Authorization FAILED 2y33w: AAA/MEMORY: free_user (0x3F2F4F0) user='cisco' ruser='NULL' port='tty11' rem_addr='1.2.3.4' authen_type=ASCII service=LOGIN priv=1 <- вот так выглядит обращение с юзером cisco. Который есть в локальной базе. 2y33w: AAA/MEMORY: free_user_quiet (0x420F9B4) user='tar' ruser='NULL' port='tty11' rem_addr='1.2.3.4' authen_type=1 service=1 priv=1 2y33w: AAA: parse name=tty11 idb type=-1 tty=-1 2y33w: AAA: name=tty11 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=11 channel=0 2y33w: AAA/MEMORY: create_user (0x420F9B4) user='NULL' ruser='NULL' ds0=0 port='tty11' rem_addr='10.13.65.34' authen_type=ASCII ervice=LOGIN priv=1 initial_task_id='0', vrf= (id=0) <- а вот так юзер которого в локальной базе нет. Ни единого tac пакета...
Ответить \| Правка \| Cообщить модератору

Оглавление

Cisco 3750 Tac+ авторизация, eek, 12:32 , 09-Дек-14, (1)

Cisco 3750 Tac+ авторизация, bDrwx, 13:32 , 09-Дек-14, (2)

Cisco 3750 Tac+ авторизация, eek, 07:15 , 10-Дек-14, (3)

Cisco 3750 Tac+ авторизация, bDrwx, 15:54 , 10-Дек-14, (4)

Cisco 3750 Tac+ авторизация, eek, 08:34 , 11-Дек-14, (5)

Cisco 3750 Tac+ авторизация, bDrwx, 10:44 , 11-Дек-14, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "Cisco 3750 Tac+ авторизация" +/–

Сообщение от eek (ok) on 09-Дек-14, 12:32

Если интерфейс с которого хочется делать авторизацию находиться в VRF то лучше через
aaa group server, там и vrf в явном виде указывается и интерфейс.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Cisco 3750 Tac+ авторизация" +/–

Сообщение от bDrwx (ok) on 09-Дек-14, 13:32

Нет. Интерфейс с которого нужно делать авторизацию находится в основной таблице маршрутизации.
> Если интерфейс с которого хочется делать авторизацию находиться в VRF то лучше
> через
> aaa group server, там и vrf в явном виде указывается и интерфейс.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Cisco 3750 Tac+ авторизация" +/–

Сообщение от eek (ok) on 10-Дек-14, 07:15

> Нет. Интерфейс с которого нужно делать авторизацию находится в основной таблице маршрутизации.
>> Если интерфейс с которого хочется делать авторизацию находиться в VRF то лучше
>> через
>> aaa group server, там и vrf в явном виде указывается и интерфейс.
Это так и должно быть?
2y33w: TAC+: Opened TCP/IP handle 0x4929EEC to 10.10.10.10/49 using source 5.5.5.5
Идет на private из public ?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Cisco 3750 Tac+ авторизация" +/–

Сообщение от bDrwx (ok) on 10-Дек-14, 15:54

Это я заменял реальные IP адреса на вымышленные. Неудачный пример для замены выбрал. На самом деле все это ходит внутри корпоративной сети.
>> Нет. Интерфейс с которого нужно делать авторизацию находится в основной таблице маршрутизации.
>>> Если интерфейс с которого хочется делать авторизацию находиться в VRF то лучше
>>> через
>>> aaa group server, там и vrf в явном виде указывается и интерфейс.
> Это так и должно быть?
> 2y33w: TAC+: Opened TCP/IP handle 0x4929EEC to 10.10.10.10/49 using source 5.5.5.5
> Идет на private из public ?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Cisco 3750 Tac+ авторизация" +/–

Сообщение от eek (ok) on 11-Дек-14, 08:34

> Это я заменял реальные IP адреса на вымышленные. Неудачный пример для замены
> выбрал. На самом деле все это ходит внутри корпоративной сети.
>>> Нет. Интерфейс с которого нужно делать авторизацию находится в основной таблице маршрутизации.
>>>> Если интерфейс с которого хочется делать авторизацию находиться в VRF то лучше
>>>> через
>>>> aaa group server, там и vrf в явном виде указывается и интерфейс.
>> Это так и должно быть?
>> 2y33w: TAC+: Opened TCP/IP handle 0x4929EEC to 10.10.10.10/49 using source 5.5.5.5
>> Идет на private из public ?
Судя по этому логу вы идете на сервер 10.10.10.10 с адреса 5.5.5.5 это у вас лаба что-ли?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Cisco 3750 Tac+ авторизация" +/–

Сообщение от bDrwx (ok) on 11-Дек-14, 10:44

Нет это не лаба. Для публикации на форуме я заменил реальные IP адреса на вымышленные...
>[оверквотинг удален]
>> выбрал. На самом деле все это ходит внутри корпоративной сети.
>>>> Нет. Интерфейс с которого нужно делать авторизацию находится в основной таблице маршрутизации.
>>>>> Если интерфейс с которого хочется делать авторизацию находиться в VRF то лучше
>>>>> через
>>>>> aaa group server, там и vrf в явном виде указывается и интерфейс.
>>> Это так и должно быть?
>>> 2y33w: TAC+: Opened TCP/IP handle 0x4929EEC to 10.10.10.10/49 using source 5.5.5.5
>>> Идет на private из public ?
> Судя по этому логу вы идете на сервер 10.10.10.10 с адреса 5.5.5.5
> это у вас лаба что-ли?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Cisco 3750 Tac+ авторизация"	+/–
Сообщение от eek (ok) on 09-Дек-14, 12:32
Если интерфейс с которого хочется делать авторизацию находиться в VRF то лучше через aaa group server, там и vrf в явном виде указывается и интерфейс.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Cisco 3750 Tac+ авторизация"	+/–
	Сообщение от bDrwx (ok) on 09-Дек-14, 13:32
	Нет. Интерфейс с которого нужно делать авторизацию находится в основной таблице маршрутизации. > Если интерфейс с которого хочется делать авторизацию находиться в VRF то лучше > через > aaa group server, там и vrf в явном виде указывается и интерфейс.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Cisco 3750 Tac+ авторизация"	+/–
	Сообщение от eek (ok) on 10-Дек-14, 07:15
	> Нет. Интерфейс с которого нужно делать авторизацию находится в основной таблице маршрутизации. >> Если интерфейс с которого хочется делать авторизацию находиться в VRF то лучше >> через >> aaa group server, там и vrf в явном виде указывается и интерфейс. Это так и должно быть? 2y33w: TAC+: Opened TCP/IP handle 0x4929EEC to 10.10.10.10/49 using source 5.5.5.5 Идет на private из public ?
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Cisco 3750 Tac+ авторизация"	+/–
	Сообщение от bDrwx (ok) on 10-Дек-14, 15:54
	Это я заменял реальные IP адреса на вымышленные. Неудачный пример для замены выбрал. На самом деле все это ходит внутри корпоративной сети. >> Нет. Интерфейс с которого нужно делать авторизацию находится в основной таблице маршрутизации. >>> Если интерфейс с которого хочется делать авторизацию находиться в VRF то лучше >>> через >>> aaa group server, там и vrf в явном виде указывается и интерфейс. > Это так и должно быть? > 2y33w: TAC+: Opened TCP/IP handle 0x4929EEC to 10.10.10.10/49 using source 5.5.5.5 > Идет на private из public ?
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Cisco 3750 Tac+ авторизация"	+/–
	Сообщение от eek (ok) on 11-Дек-14, 08:34
	> Это я заменял реальные IP адреса на вымышленные. Неудачный пример для замены > выбрал. На самом деле все это ходит внутри корпоративной сети. >>> Нет. Интерфейс с которого нужно делать авторизацию находится в основной таблице маршрутизации. >>>> Если интерфейс с которого хочется делать авторизацию находиться в VRF то лучше >>>> через >>>> aaa group server, там и vrf в явном виде указывается и интерфейс. >> Это так и должно быть? >> 2y33w: TAC+: Opened TCP/IP handle 0x4929EEC to 10.10.10.10/49 using source 5.5.5.5 >> Идет на private из public ? Судя по этому логу вы идете на сервер 10.10.10.10 с адреса 5.5.5.5 это у вас лаба что-ли?
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Cisco 3750 Tac+ авторизация"	+/–
	Сообщение от bDrwx (ok) on 11-Дек-14, 10:44
	Нет это не лаба. Для публикации на форуме я заменил реальные IP адреса на вымышленные... >[оверквотинг удален] >> выбрал. На самом деле все это ходит внутри корпоративной сети. >>>> Нет. Интерфейс с которого нужно делать авторизацию находится в основной таблице маршрутизации. >>>>> Если интерфейс с которого хочется делать авторизацию находиться в VRF то лучше >>>>> через >>>>> aaa group server, там и vrf в явном виде указывается и интерфейс. >>> Это так и должно быть? >>> 2y33w: TAC+: Opened TCP/IP handle 0x4929EEC to 10.10.10.10/49 using source 5.5.5.5 >>> Идет на private из public ? > Судя по этому логу вы идете на сервер 10.10.10.10 с адреса 5.5.5.5 > это у вас лаба что-ли?
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору