Щоразу, коли ви входите в мережевий пристрій за допомогою AAA / TACACS +, якщо я жирним пальцем запрошує пароль після запиту користувача, друге запит пароля завжди виходить з ладу, навіть якщо пароль правильний. Мені доведеться чекати ще раз підказки користувача, і я повинен отримати правильний пароль у першій підказці пароля відразу після цього. Іншими словами, щоразу, коли я побачу друге запит пароля, він не працюватиме.
Див. Санізовану взаємодію та конфігурацію нижче.
Підтвердження доступу користувача Ім'я користувача: ім'я користувача Пароль: Пароль: (тут завжди не вдається) % У доступі відмовлено Підтвердження доступу користувача Ім'я користувача: ім'я користувача Пароль: Підключено до s-site-rack-agg2.example.net на лінії 1 (назва сайту). s-site-rack-agg2 #
Що може відрізнятись від того другого запиту пароля для врахування такої поведінки?
Типовий у мене AAA та пов’язаний з цим конфігурація:
aaa new-model aaa аутентифікація вхід для групи за замовчуванням tacacs + локальна лінія aaa Вхід для аутентифікації CONSOLE немає aaa автентифікація включити групу за замовчуванням tacacs + enable aaa авторизація exec групи за замовчуванням tacacs + локальна, якщо підтверджена автентифікація команди авторизації aaa 1 група за замовчуванням tacacs + локальна, якщо підтверджена автентифікація Команди авторизації aaa 7 груп за замовчуванням tacacs + місцеві, якщо вони автентифіковані Команди авторизації aaa 15 група замовчувань tacacs + місцеві, якщо вони автентифіковані aaa облік exec за замовчуванням старт-стоп група tacacs + aaa команди обліку 0 за замовчуванням група start-stop tacacs + aaa команди обліку 1 за замовчуванням група start-stop tacacs + aaa команди обліку 7 за замовчуванням група start-stop tacacs + aaa команди обліку 15 за замовчуванням група start-stop tacacs + aaa система обліку за замовчуванням група start-stop tacacs + ! ip tacacs вихідний інтерфейс Loopback0 hoca-сервер tacacs -prmiaryipremoved- один-з'єднання hoca-сервер tacacs -secondaryipremoved- єдине з'єднання timeca-сервер tacacs 10 tacacs-сервер, спрямований на запит tacacs-сервер ключ 7 -видалений- ! рядок con 0 Аутентифікація входу CONSOLE рядок vty 0 4 місцерозташування exec-timeout 60 0 пароль 7 -видалений- транспортний вхід telnet ssh
line
пароля. Правильні паролі отримали відповідь від TACACS негайно. Переміщений на новіші сервери ACS вирішив проблему в тому ж конфігурації, тому схоже, що це проблема ACS.