AAA / TACACS + пароль при перемиканні Cisco завжди виходить з ладу при другому запиті пароля

Щоразу, коли ви входите в мережевий пристрій за допомогою AAA / TACACS +, якщо я жирним пальцем запрошує пароль після запиту користувача, друге запит пароля завжди виходить з ладу, навіть якщо пароль правильний. Мені доведеться чекати ще раз підказки користувача, і я повинен отримати правильний пароль у першій підказці пароля відразу після цього. Іншими словами, щоразу, коли я побачу друге запит пароля, він не працюватиме.

Див. Санізовану взаємодію та конфігурацію нижче.

Підтвердження доступу користувача
Ім'я користувача: ім'я користувача
Пароль:

Пароль: (тут завжди не вдається)
% У доступі відмовлено

Підтвердження доступу користувача
Ім'я користувача: ім'я користувача
Пароль:

Підключено до s-site-rack-agg2.example.net на лінії 1 (назва сайту).
s-site-rack-agg2 #

Що може відрізнятись від того другого запиту пароля для врахування такої поведінки?

Типовий у мене AAA та пов’язаний з цим конфігурація:

aaa new-model
aaa аутентифікація вхід для групи за замовчуванням tacacs + локальна лінія
aaa Вхід для аутентифікації CONSOLE немає
aaa автентифікація включити групу за замовчуванням tacacs + enable
aaa авторизація exec групи за замовчуванням tacacs + локальна, якщо підтверджена автентифікація
команди авторизації aaa 1 група за замовчуванням tacacs + локальна, якщо підтверджена автентифікація
Команди авторизації aaa 7 груп за замовчуванням tacacs + місцеві, якщо вони автентифіковані
Команди авторизації aaa 15 група замовчувань tacacs + місцеві, якщо вони автентифіковані
aaa облік exec за замовчуванням старт-стоп група tacacs +
aaa команди обліку 0 за замовчуванням група start-stop tacacs +
aaa команди обліку 1 за замовчуванням група start-stop tacacs +
aaa команди обліку 7 за замовчуванням група start-stop tacacs +
aaa команди обліку 15 за замовчуванням група start-stop tacacs +
aaa система обліку за замовчуванням група start-stop tacacs +
!
ip tacacs вихідний інтерфейс Loopback0
hoca-сервер tacacs -prmiaryipremoved- один-з'єднання
hoca-сервер tacacs -secondaryipremoved- єдине з'єднання
timeca-сервер tacacs 10
tacacs-сервер, спрямований на запит
tacacs-сервер ключ 7 -видалений-
!
рядок con 0
 Аутентифікація входу CONSOLE
рядок vty 0 4
 місцерозташування
 exec-timeout 60 0
 пароль 7 -видалений-
 транспортний вхід telnet ssh

cisco cisco-ios aaa

— загальна мережевийпомилка
джерело

Ніколи не доходив до цього, оскільки паролі брали> час очікування TACACS для повернення відповіді, тому другий підказки був від lineпароля. Правильні паролі отримали відповідь від TACACS негайно. Переміщений на новіші сервери ACS вирішив проблему в тому ж конфігурації, тому схоже, що це проблема ACS.

— generalnetworkerror

Відповіді:

Я б робив налагодження на вашому сервері TACACS +, поки ви це намагаєтеся.

Я припускаю, що ви хочете використовувати лише автентифікацію TACACS і лише повертатися до локальних логінів, якщо він не може отримати доступ до сервера?

Спробуйте скористатися цим:
aaa authentication login default group tacacs+ line aaa authentication enable default group tacacs+ enable

Також дивіться цей сайт: У ньому є кілька хороших прикладів та пояснень

http://my.safaribooksonline.com/book/networking/cisco-ios/0596527225/tacacsplus/i13896_ heada _4_2 # X2ludGVybmFsX0h0bWxWaWV3P3htbGlkPTA1OTY1MjcyMjUlMkZpNTAzNjNfX2hlYWRhX180XzEmcXVlcnk9

Я здогадуюсь, що оскільки у вас є "локальне" ключове слово у:
aaa authentication login default group tacacs+ local line

Аутентифікація TACACS + повертає помилку, тому маршрутизатор намагається зробити локальну аутентифікацію. Я думаю, ви повинні надати нам line vtyсанітарну конфігурацію. Якщо у вас є
line vty 0 15 login local

Тоді він би здійснив автентифікацію імені користувача / пароля, інакше робиться пароль

— вузцех
джерело

Додано очищені lineконфігурації до Q.

— generalnetworkerror

З дуже короткого огляду налагодження, схоже на те, що ACS не повертається досить швидко через неправильний пароль, оскільки це умова - це єдиний раз, коли я бачу очікування часу з повідомленням сервера TACACS. Усі інші періоди часу нульові.

— generalnetworkerror

Я думаю, що ваша конфігурація є досить небезпечною, і ви здаєтесь нерішучою, якщо ви використовуєте "enable / line" або "local" як резервний, правильна відповідь - локальна, ніколи не використовуйте "enable" і особливо ніколи "line" ні для чого (рядок дво- спосіб 'зашифрований' не хеш-хед).

Я б рекомендував цю конфігурацію замість цього:

aaa new-model
! uses tacacs, fallsback to local user if tacacs not working
aaa authentication login default group tacacs+ local
! user gets enabled by tacacs or by enable password
aaa authentication enable default group tacacs+ enable
! console user is authorized as well (gets enabled, if such permission)
aaa authorization console
! configuration commands are authorized as well as exec commands (Good to prevent dangerous commands)
aaa authorization config-commands
! user privilege level is recovered from tacacs or from local account
aaa authorization exec default group tacacs+ local
! level 15 commands are authorized (you really only need this) 
aaa authorization commands 15 default group tacacs+ if-authenticated 
! level 1, 15 commands are logged (you really only need these two)
aaa accounting commands 1 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
!
! fallback user consulted only when tacacs is broken
username sikrit privilege 15 secret <password>

Користувача 'sikrit' слід використовувати, коли tacacs не працює (його не можна використовувати, якщо TACACS відповідає) немає необхідності в 'рядок' пароля під VTY, оскільки з ним ніколи не зверталися. Немає необхідності вводити пароль, оскільки з ним ніколи не звертаються. Якщо ви хочете, щоб користувач резервного копіювання не ввімкнув, просто створіть іншого з "привілеєм 1"
Однак я додав підтримку для "включення", якщо ви хочете використовувати її чомусь зрештою.

Якщо ви користуєтесь OOB, а доступ OOB вже захищений / автентифікований, ви можете дозволити користувачеві OOB завжди використовувати локальну аутентифікацію, на випадок, якщо TACACS порушено, але IOS помилково вважає, що це не так, тоді ви додасте щось подібне :

aaa authentication login CONSOLE local
!
line con 0
 login authentication CONSOLE

— ytti
джерело

Ідея з необхідністю aaa authentication login default group tacacs+ local lineполягала в тому, щоб використовувати рядовий пароль як каталізатор, якщо шаблон AAA розгорнуто на пристрої, де TACACS був порушений і не було визначено місцевих користувачів. І я насправді мав aaa authentication login CONSOLE noneу своєму конфігурації, що спочатку не показував. (Так, я, як правило, більше довіряю фізичному консольному доступу до пристроїв, ніж я, мабуть, повинен.)

— generalnetworkerror

Я фактично не міг повторити в лабораторії проблему, яку ви бачите. Якщо у вас немає налаштованого "локального" пароля, і IOS вважає, що TACACS недоступний, тоді було б доцільно запитати пароль "рядок", але для мене для доступу TACACS він не повернувся до "рядка". Можливо, помилка в IOS або в TACACS, що робить невдалу аутентифікацію схожою на невдале TACACS-з'єднання (можливо, варто спробувати без 'єдиного підключення')

— ytti

Чи підкаже друге запит пароля без другого відповідного запиту імені користувача, остаточно повідомляє нам про те, що він не вдався до lineпароля в системі без локальних користувачів, створених для localавтентичності? [ aaa authentication login default group tacacs+ local line.] tacacs + не вдається, місцеві пропустили як місцевих користувачів, тож тоді рядок пароль?

— generalnetworkerror

Я не думаю, що це повинно робити резервне копіювання на tacacs + auth_failure, це слід робити лише за відсутніх tacacs + відповідь. Тож я би дослідив варіанти, чому IOS вважає, що tacacs + не відповідає (я припускаю, що відповідає). Можливо, спробувати одне - це різні конфігурації tacacs (наприклад, видалити однополучне з'єднання), якщо це помилка IOS, вона може видалити тригер помилки.

— ytti

Ви, напевно, не бачили мого коментаря до іншої відповіді про налагодження, що показує, що tacacs + приймає> 30s, щоб відповісти лише тоді, коли пароль невірний; до цього часу системи вважають, що відповідь сервера tacacs відсутня, і переходить до наступної в авт. Якщо пароль правильний, відповідь tacacs негайно.

— generalnetworkerror

Я не впевнений, що в цьому винен саме ваш конфігурація локального пристрою, але, скоріше, ваш сервер TACACS. TACACS надає відповідне запит на ім'я користувача / пароль із сервера TACACS (і, можливо, магазину зовнішньої ідентичності) на пристрій, тому якщо ви використовуєте ACS (наприклад) і налаштовуєте його спілкуватися з AD, щоб зробити автентифікацію користувача, вам потрібно вважати, що підказка користувача / пароля надходить із контролера домену, а не з самого пристрою.

Нещодавно я зіткнувся з проблемою саме такою, яку було виправлено виправленням до ACS - знову ж таки, я припускаю, що ви використовуєте ACS і маєте його витягувати з AD для перевірки автентифікації / групи користувачів тощо. Ідентифікатор помилки Cisco був CSCtz03211 і в основному ACS 5.3 надсилав на пристрій кілька авторизованих спроб AD для однієї однієї авторської спроби "ім'я користувача / пароль". Це призведе до такої поведінки, коли якщо користувач жирним способом вводив пароль при першій спробі, кілька випадків помилкового комбінаційного імені користувача / пароля було надіслано до AD, а обліковий запис користувача фактично заблоковано, що призводить до подальших невдалих спроб входу в систему пристрій, навіть якщо користувач ввів своє ім’я користувача / пароль правильно під час другої спроби (звичайно, така поведінка змінюється залежно від порогів блокування, встановлених для облікових записів користувачів в межах AD).

Просто щось, що варто врахувати (без знання вашої реалізації сервера TACACS).

— Джон Дженсен
джерело