AAA / TACACS + пароль при перемиканні Cisco завжди виходить з ладу при другому запиті пароля


9

Щоразу, коли ви входите в мережевий пристрій за допомогою AAA / TACACS +, якщо я жирним пальцем запрошує пароль після запиту користувача, друге запит пароля завжди виходить з ладу, навіть якщо пароль правильний. Мені доведеться чекати ще раз підказки користувача, і я повинен отримати правильний пароль у першій підказці пароля відразу після цього. Іншими словами, щоразу, коли я побачу друге запит пароля, він не працюватиме.

Див. Санізовану взаємодію та конфігурацію нижче.

Підтвердження доступу користувача
Ім'я користувача: ім'я користувача
Пароль:

Пароль: (тут завжди не вдається)
% У доступі відмовлено

Підтвердження доступу користувача
Ім'я користувача: ім'я користувача
Пароль:

Підключено до s-site-rack-agg2.example.net на лінії 1 (назва сайту).
s-site-rack-agg2 #

Що може відрізнятись від того другого запиту пароля для врахування такої поведінки?

Типовий у мене AAA та пов’язаний з цим конфігурація:

aaa new-model
aaa аутентифікація вхід для групи за замовчуванням tacacs + локальна лінія
aaa Вхід для аутентифікації CONSOLE немає
aaa автентифікація включити групу за замовчуванням tacacs + enable
aaa авторизація exec групи за замовчуванням tacacs + локальна, якщо підтверджена автентифікація
команди авторизації aaa 1 група за замовчуванням tacacs + локальна, якщо підтверджена автентифікація
Команди авторизації aaa 7 груп за замовчуванням tacacs + місцеві, якщо вони автентифіковані
Команди авторизації aaa 15 група замовчувань tacacs + місцеві, якщо вони автентифіковані
aaa облік exec за замовчуванням старт-стоп група tacacs +
aaa команди обліку 0 за замовчуванням група start-stop tacacs +
aaa команди обліку 1 за замовчуванням група start-stop tacacs +
aaa команди обліку 7 за замовчуванням група start-stop tacacs +
aaa команди обліку 15 за замовчуванням група start-stop tacacs +
aaa система обліку за замовчуванням група start-stop tacacs +
!
ip tacacs вихідний інтерфейс Loopback0
hoca-сервер tacacs -prmiaryipremoved- один-з'єднання
hoca-сервер tacacs -secondaryipremoved- єдине з'єднання
timeca-сервер tacacs 10
tacacs-сервер, спрямований на запит
tacacs-сервер ключ 7 -видалений-
!
рядок con 0
 Аутентифікація входу CONSOLE
рядок vty 0 4
 місцерозташування
 exec-timeout 60 0
 пароль 7 -видалений-
 транспортний вхід telnet ssh

Ніколи не доходив до цього, оскільки паролі брали> час очікування TACACS для повернення відповіді, тому другий підказки був від lineпароля. Правильні паролі отримали відповідь від TACACS негайно. Переміщений на новіші сервери ACS вирішив проблему в тому ж конфігурації, тому схоже, що це проблема ACS.
generalnetworkerror

Відповіді:


4

Я б робив налагодження на вашому сервері TACACS +, поки ви це намагаєтеся.

Я припускаю, що ви хочете використовувати лише автентифікацію TACACS і лише повертатися до локальних логінів, якщо він не може отримати доступ до сервера?

Спробуйте скористатися цим:
aaa authentication login default group tacacs+ line
aaa authentication enable default group tacacs+ enable

Також дивіться цей сайт: У ньому є кілька хороших прикладів та пояснень

http://my.safaribooksonline.com/book/networking/cisco-ios/0596527225/tacacsplus/i13896_ heada _4_2 # X2ludGVybmFsX0h0bWxWaWV3P3htbGlkPTA1OTY1MjcyMjUlMkZpNTAzNjNfX2hlYWRhX180XzEmcXVlcnk9

Я здогадуюсь, що оскільки у вас є "локальне" ключове слово у:
aaa authentication login default group tacacs+ local line

Аутентифікація TACACS + повертає помилку, тому маршрутизатор намагається зробити локальну аутентифікацію. Я думаю, ви повинні надати нам line vtyсанітарну конфігурацію. Якщо у вас є
line vty 0 15
login local

Тоді він би здійснив автентифікацію імені користувача / пароля, інакше робиться пароль


Додано очищені lineконфігурації до Q.
generalnetworkerror

З дуже короткого огляду налагодження, схоже на те, що ACS не повертається досить швидко через неправильний пароль, оскільки це умова - це єдиний раз, коли я бачу очікування часу з повідомленням сервера TACACS. Усі інші періоди часу нульові.
generalnetworkerror

4

Я думаю, що ваша конфігурація є досить небезпечною, і ви здаєтесь нерішучою, якщо ви використовуєте "enable / line" або "local" як резервний, правильна відповідь - локальна, ніколи не використовуйте "enable" і особливо ніколи "line" ні для чого (рядок дво- спосіб 'зашифрований' не хеш-хед).

Я б рекомендував цю конфігурацію замість цього:

aaa new-model
! uses tacacs, fallsback to local user if tacacs not working
aaa authentication login default group tacacs+ local
! user gets enabled by tacacs or by enable password
aaa authentication enable default group tacacs+ enable
! console user is authorized as well (gets enabled, if such permission)
aaa authorization console
! configuration commands are authorized as well as exec commands (Good to prevent dangerous commands)
aaa authorization config-commands
! user privilege level is recovered from tacacs or from local account
aaa authorization exec default group tacacs+ local
! level 15 commands are authorized (you really only need this) 
aaa authorization commands 15 default group tacacs+ if-authenticated 
! level 1, 15 commands are logged (you really only need these two)
aaa accounting commands 1 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
!
! fallback user consulted only when tacacs is broken
username sikrit privilege 15 secret <password>

Користувача 'sikrit' слід використовувати, коли tacacs не працює (його не можна використовувати, якщо TACACS відповідає) немає необхідності в 'рядок' пароля під VTY, оскільки з ним ніколи не зверталися. Немає необхідності вводити пароль, оскільки з ним ніколи не звертаються. Якщо ви хочете, щоб користувач резервного копіювання не ввімкнув, просто створіть іншого з "привілеєм 1"
Однак я додав підтримку для "включення", якщо ви хочете використовувати її чомусь зрештою.

Якщо ви користуєтесь OOB, а доступ OOB вже захищений / автентифікований, ви можете дозволити користувачеві OOB завжди використовувати локальну аутентифікацію, на випадок, якщо TACACS порушено, але IOS помилково вважає, що це не так, тоді ви додасте щось подібне :

aaa authentication login CONSOLE local
!
line con 0
 login authentication CONSOLE

Ідея з необхідністю aaa authentication login default group tacacs+ local lineполягала в тому, щоб використовувати рядовий пароль як каталізатор, якщо шаблон AAA розгорнуто на пристрої, де TACACS був порушений і не було визначено місцевих користувачів. І я насправді мав aaa authentication login CONSOLE noneу своєму конфігурації, що спочатку не показував. (Так, я, як правило, більше довіряю фізичному консольному доступу до пристроїв, ніж я, мабуть, повинен.)
generalnetworkerror

Я фактично не міг повторити в лабораторії проблему, яку ви бачите. Якщо у вас немає налаштованого "локального" пароля, і IOS вважає, що TACACS недоступний, тоді було б доцільно запитати пароль "рядок", але для мене для доступу TACACS він не повернувся до "рядка". Можливо, помилка в IOS або в TACACS, що робить невдалу аутентифікацію схожою на невдале TACACS-з'єднання (можливо, варто спробувати без 'єдиного підключення')
ytti

Чи підкаже друге запит пароля без другого відповідного запиту імені користувача, остаточно повідомляє нам про те, що він не вдався до lineпароля в системі без локальних користувачів, створених для localавтентичності? [ aaa authentication login default group tacacs+ local line.] tacacs + не вдається, місцеві пропустили як місцевих користувачів, тож тоді рядок пароль?
generalnetworkerror

Я не думаю, що це повинно робити резервне копіювання на tacacs + auth_failure, це слід робити лише за відсутніх tacacs + відповідь. Тож я би дослідив варіанти, чому IOS вважає, що tacacs + не відповідає (я припускаю, що відповідає). Можливо, спробувати одне - це різні конфігурації tacacs (наприклад, видалити однополучне з'єднання), якщо це помилка IOS, вона може видалити тригер помилки.
ytti

Ви, напевно, не бачили мого коментаря до іншої відповіді про налагодження, що показує, що tacacs + приймає> 30s, щоб відповісти лише тоді, коли пароль невірний; до цього часу системи вважають, що відповідь сервера tacacs відсутня, і переходить до наступної в авт. Якщо пароль правильний, відповідь tacacs негайно.
generalnetworkerror

4

Я не впевнений, що в цьому винен саме ваш конфігурація локального пристрою, але, скоріше, ваш сервер TACACS. TACACS надає відповідне запит на ім'я користувача / пароль із сервера TACACS (і, можливо, магазину зовнішньої ідентичності) на пристрій, тому якщо ви використовуєте ACS (наприклад) і налаштовуєте його спілкуватися з AD, щоб зробити автентифікацію користувача, вам потрібно вважати, що підказка користувача / пароля надходить із контролера домену, а не з самого пристрою.

Нещодавно я зіткнувся з проблемою саме такою, яку було виправлено виправленням до ACS - знову ж таки, я припускаю, що ви використовуєте ACS і маєте його витягувати з AD для перевірки автентифікації / групи користувачів тощо. Ідентифікатор помилки Cisco був CSCtz03211 і в основному ACS 5.3 надсилав на пристрій кілька авторизованих спроб AD для однієї однієї авторської спроби "ім'я користувача / пароль". Це призведе до такої поведінки, коли якщо користувач жирним способом вводив пароль при першій спробі, кілька випадків помилкового комбінаційного імені користувача / пароля було надіслано до AD, а обліковий запис користувача фактично заблоковано, що призводить до подальших невдалих спроб входу в систему пристрій, навіть якщо користувач ввів своє ім’я користувача / пароль правильно під час другої спроби (звичайно, така поведінка змінюється залежно від порогів блокування, встановлених для облікових записів користувачів в межах AD).

Просто щось, що варто врахувати (без знання вашої реалізації сервера TACACS).

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.