задача проста, но неполучается у меня...
нужно чтоб при админ-входе на корпоративный свич2950 авторизация происходила на сервере Tacacs+... тоесть все пароли админов хранятся на этом сервере.у меня сомнения по поводу конфига свича...
вот он
aaa new-model
aaa authentication login default group tacacs+
aaa authorization exec default group tacacs+
aaa authorization commands 1 default group tacacs+
aaa authorization commands 15 default group tacacs+
aaa authorization network default group tacacs+
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 0 default start-stop group tacacs+
aaa accounting network default start-stop group tacacs+
server-tacacs host 10.10.10.10
server-tacacs key cisco
-------------------------# User for network 10.10.10.0 (Samba)
user = nokia
{
pap = cleartext nokia
service = ppp protocol = ip
}
--------------------------
появляется приглашение ..ВВОЖУ пароль\логин.. затем enable и password...появляется "приглашение" но ниодну команду выполнить нельзя (ошибка авторизации)как это бороть??
deb aaa autho
>
># User for network 10.10.10.0 (Samba)
>user = nokia
>{
>pap = cleartext nokia
>service = ppp protocol = ip
> }
Привет.
Вот как в конфиге TACACS у меня прописан пользователь для захода.
Может тебе поможет.user = user_name {
login = cleartext "мой_супер_пароль"
service = exec {
idletime = 30
}
}На кошке:
enable secret 5 <cenzored>
!
aaa new-model
!
!
aaa authentication login default local-case group tacacs+
aaa authentication enable default group tacacs+ enable
aaa authorization exec default local group tacacs+
aaa authorization network default group tacacs+ local
aaa accounting resource default start-stop group tacacs+
aaa session-id common
!
tacacs-server host xxx.xxx.xxx.xxx
tacacs-server host xxx.xxx.xxx.xxx
tacacs-server directed-request
tacacs-server key 7 <cenzored>
!
привет, хочу вернуться к этой теме... что только не пробовал, не работает!!!
пишу полностью твой конфиг на рутере
enable secret 5 <cenzored>
aaa new-model
aaa authentication login default local-case group tacacs+
aaa authentication enable default group tacacs+ enable
aaa authorization exec default local group tacacs+
aaa authorization network default group tacacs+ local
aaa accounting resource default start-stop group tacacs+
aaa session-id common
tacacs-server host xxx.xxx.xxx.xxx
tacacs-server host xxx.xxx.xxx.xxx
tacacs-server directed-request
tacacs-server key 7 <cenzored>до такакса даже недоходит....
появляется username - ввожу
password - ввожу ... пишет что ошибка аутонтефикации...
И ВСЕ!!!
>привет, хочу вернуться к этой теме... что только не пробовал, не работает!!!
>
>пишу полностью твой конфиг на рутере
>enable secret 5 <cenzored>
>aaa new-model
>aaa authentication login default local-case group tacacs+
>aaa authentication enable default group tacacs+ enable
>aaa authorization exec default local group tacacs+
>aaa authorization network default group tacacs+ local
>aaa accounting resource default start-stop group tacacs+
>aaa session-id common
>tacacs-server host xxx.xxx.xxx.xxx
>tacacs-server host xxx.xxx.xxx.xxx
>tacacs-server directed-request
>tacacs-server key 7 <cenzored>
>
>до такакса даже недоходит....
>появляется username - ввожу
>password - ввожу ... пишет что ошибка аутонтефикации...
>И ВСЕ!!!Привет.
Привожу конфиг такакса:
------------------------------------------------------------------------------key = "<cenzored>"
accounting file = /path/to/tac_plus_log_file# Ordinar Users.
# Этот кусок описывает юзера
user = user-name {
login = cleartext "<cenzored>"
service = exec {
idletime = 30
}
}
# А здесь пароль на ENABLE
user = $enab15$ {
login = cleartext "<cenzored>"
service = exec {
idletime = 30
}
}-bash-2.05b$ ssh user-name@xxx.xxx.xxx.xxx
user-name@xxx.xxx.xxx.xxx's password:My-super-cisco>
My-super-cisco>en
Password:
My-super-cisco#
My-super-cisco#q-bash-2.05b$ tail -f /path/to/tac_plus_log_file
Tue May 16 18:28:33 2006 [97835]: login query for 'user-name' tty6 from xxx.xxx.xxx.xxx accepted
Tue May 16 18:28:33 2006 [97836]: authorization query for 'user-name' tty6 from xxx.xxx.xxx.xxx accepted
Tue May 16 18:30:04 2006 [97847]: enable query for 'user-name' tty6 from xxx.xxx.xxx.xxx acceptedКонфиг на кошке:
------------------------------------------------------------------------------!
aaa new-model
!
!
aaa authentication login default group tacacs+ local-case
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ local
aaa authorization network default group tacacs+ local
aaa accounting resource default start-stop group tacacs+
aaa session-id common
!
tacacs-server host xxx.xxx.xxx.xxx
tacacs-server host xxx.xxx.xxx.xxx
tacacs-server directed-request
tacacs-server key 7 <cenzored>
!Больше ничего нигде не прописывал.
Проверь синтаксис. Не забудь перезапустить демон такакса.Если не получится - пиши. Будем дальше ковырять. Если получится - тоже напиши. Будем искать, в чем была ошибка.
С Уважением, Александр.
PS Про такакс можно почитать тут - http://bog.pp.ru/work/tacacs.html
привет, спасибо за помощь... вообщем потихонтку разобрался кажется.
Ошибка была в том что неправильно я такакс сделал, а делал я его как на авторизацию дайлапных юзеров (дайлап то работает)...а проблему искал в киске...почему то был уверен что проблема в ней.
Возможно поэтому и не получалось.
Я добавил пару строк ааа accounting чтоб в логи все писалось, ну это детали...
Вообщем недооценил татакс или просто проклинило меня:))В любом случае СПАСИБО ЗА ПОМОЩЬ!
--------------------------------------------------
tacacs+
># А здесь пароль на ENABLE
>user = $enab15$ { +++++++++++ Вот про это несовсем понял, тоесть это уровень enable? тоесть чтоб давал приглашение для ввода пароля..??? несовсем я это понял..
>привет, спасибо за помощь... вообщем потихонтку разобрался кажется.
>Ошибка была в том что неправильно я такакс сделал, а делал я
>его как на авторизацию дайлапных юзеров (дайлап то работает)...а проблему искал
>в киске...почему то был уверен что проблема в ней.
>Возможно поэтому и не получалось.
>Я добавил пару строк ааа accounting чтоб в логи все писалось, ну
>это детали...
>Вообщем недооценил татакс или просто проклинило меня:))
>
>В любом случае СПАСИБО ЗА ПОМОЩЬ!
>--------------------------------------------------
>tacacs+
>># А здесь пароль на ENABLE
>>user = $enab15$ { +++++++++++ Вот про это несовсем понял, тоесть это уровень enable? тоесть чтоб давал приглашение для ввода пароля..??? несовсем я это понял..
>Привет.
Тат как в настройках кошки указано, что сначало проверяешься на такакс-сервере, то и пароль ENABLE нужно иметь там же (на кошке тоже, если через консоль будешь заходить).
Так же не стоит забывать про то, что на случай отказа такакс-сервера на кошке так же должен быть заведен, так сказать, аварийный пользователь.Вот наверно и все.
Если что не понятно - пиши. Покурим вместе.
привет..как оно, я опять с вопросом...))
http://www.opennet.me/openforum/vsluhforumID1/66368.html
---"кто нить слышал про виртуальную АТС на линуксе???"
Сообщение от flatciz on 18-Май-06, 16:38
привет, кто нить слышал про виртуальную АТС на линуксе...
работает как ip тел.связь, тоесть некое прогр.обеспечение на сервере и некая железка в которую помоему должен походить Е1..или что то вроде этого.
К сожалению более детально незнаю...говорят что есть такое в природе, очень интересно узнать...плиз, кто слышал поделитесь инфой
----в юниксовом форуме разместил.... не слышал про такое чудо? вроде что то подобное существует но название неизвестно..
>привет..как оно, я опять с вопросом...))
>http://www.opennet.me/openforum/vsluhforumID1/66368.html
>---
>
>"кто нить слышал про виртуальную АТС на линуксе???"
>Сообщение от flatciz on 18-Май-06, 16:38
>привет, кто нить слышал про виртуальную АТС на линуксе...
>работает как ip тел.связь, тоесть некое прогр.обеспечение на сервере и некая железка
>в которую помоему должен походить Е1..или что то вроде этого.
>К сожалению более детально незнаю...говорят что есть такое в природе, очень интересно
>узнать...плиз, кто слышал поделитесь инфой
>----
>
>в юниксовом форуме разместил.... не слышал про такое чудо? вроде что то
>подобное существует но название неизвестно..asteriks
>задача проста, но неполучается у меня...
>нужно чтоб при админ-входе на корпоративный свич2950 авторизация происходила на сервере Tacacs+...
> тоесть все пароли админов хранятся на этом сервере.
>
>у меня сомнения по поводу конфига свича...
>вот он
>aaa new-model
>aaa authentication login default group tacacs+
>aaa authorization exec default group tacacs+
>aaa authorization commands 1 default group tacacs+
>aaa authorization commands 15 default group tacacs+
>aaa authorization network default group tacacs+
>aaa accounting exec default start-stop group tacacs+
>aaa accounting commands 0 default start-stop group tacacs+
>aaa accounting network default start-stop group tacacs+
>server-tacacs host 10.10.10.10
>server-tacacs key cisco
>-------------------------
>
># User for network 10.10.10.0 (Samba)
>user = nokia
>{
>pap = cleartext nokia
>service = ppp protocol = ip
> }
>--------------------------
>появляется приглашение ..ВВОЖУ пароль\логин.. затем enable и password...появляется "приглашение" но ниодну команду
>выполнить нельзя (ошибка авторизации)
>
>как это бороть??
У вас включена авторизация команд уровня exec 1 и exec 15 на сервере, но на сервере в записи пользователя информации об разрешенных командах нет, поэтому нет и команд.Если надо авторизовать только админов, но не регистрировать их действия, то поменятйе строчку
aaa authorization commands 15 default group tacacs+
на
aaa authorization commands 15 default if-auth