Каким образом мне прописать в конфигурационном файле tacacs+ ключ закодированный des и таким же образом прописать его на маршрутизаторе
TACACS+
key = des зашифрованный_ключ
как получить зашифрованный ключ?
CISCO
tacacs-server key зашифрованный_кдюч
как получить туже последовательность (ключ зашифрованный в des) ?
попробуй програмку которая идет в комплекте с tacacs+, в разных наборах по разному называется, но принцип один
generate_passwd (в пакете с ftp-eng.cisco.com)
tac_pwd (из порта FreeBSD)
P.S.
tacacs-server key <не защифрованный ключ>
service password-encryption
OpenBSD 4.0
# pkg_info | grep tacacs
tacacs+-4.0.4ap1 Cisco AAA protocol daemon
# ls /usr/local/sbin
generate_passwd tac_plus
Но нигде не пишется, что generate_passwd для des шифрованияпутем generate_passwd я получаю шифрованную_последовательность, ее вставляю у tacacs+
key = des <шифрованная_последовательнось>и исходный ключ, из чего я получил последовательность вставляю в
tacacs-server key <нешифрованная_последовательность>так я понял?
у меня стоит service password-encryption, но когда я ввел нешифрованную последотельность, и сделал show run то увидел все еще нешифрованной
>OpenBSD 4.0
># pkg_info | grep tacacs
>tacacs+-4.0.4ap1 Cisco AAA protocol daemon
># ls /usr/local/sbin
>generate_passwd tac_plus
>Но нигде не пишется, что generate_passwd для des шифрования
>
>путем generate_passwd я получаю шифрованную_последовательность, ее вставляю у tacacs+
>key = des <шифрованная_последовательнось>
у тебя BSD, поищи tac_pwd>и исходный ключ, из чего я получил последовательность вставляю в
>tacacs-server key <нешифрованная_последовательность>>так я понял?
Да, по идее так должно работать. У меня на половине цысок шифруется, а на другой половине не шифрованная. попробуй на разных cisco/ios.>у меня стоит service password-encryption, но когда я ввел нешифрованную последотельность,
>и сделал show run то увидел все еще нешифрованной
может так поможет:
no service password-encryption
service password-encryption
>OpenBSD 4.0
># pkg_info | grep tacacs
>tacacs+-4.0.4ap1 Cisco AAA protocol daemon
># ls /usr/local/sbin
>generate_passwd tac_plus
>Но нигде не пишется, что generate_passwd для des шифрования
ftp://ftpeng.cisco.com/pub/tacacs/
в архиве tac_plus.F4.0.4.alpha.tar.Z есть замечательный файлик users_guide, ознакомся с ним...
Да вот еще...
$ uname -sr
FreeBSD 4.10-RELEASE
$ man tac_pwd
tac_pwd(8) tac_pwd(8)NAME
tac_pwd - generate DES encryption of a passwordSYNOPSIS
tac_pwd [-eh] [salt]DESCRIPTION
tac_pwd prompts for a clear-text password and produces a DES encryption
of that password on stdout which may be used in lieu of the clear-text
representation in the tac_plus.conf(5).The DES salt may be provide as a command-line argument.
COMMAND-LINE OPTIONS
-e Do not echo the plain-text password to the terminal.-h Display help message.
SEE ALSO
crypt(3), tac_plus(8), tac_plus.conf(5)22 March 2003 tac_pwd(8)
охотно верю, но увы только generate_passwd, и без манов.
секрет на cisco шифруется а вот ключ - нет
>охотно верю, но увы только generate_passwd, и без манов.
В любом случае не стоит полагаться на наличие этого MAN, у тебя под рукой google, также есть всякие README и UserGuide
>секрет на cisco шифруется а вот ключ - нет
sh ver?
Center#sho ver
Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-IS-M), Version 12.0(5)T1, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-1999 by cisco Systems, Inc.
Compiled Tue 17-Aug-99 14:39 by cmong
Image text-base: 0x80008088, data-base: 0x80B5E15CROM: System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1)
Center uptime is 13 weeks, 6 days, 20 hours, 52 minutes
System returned to ROM by power-on
System restarted at 18:15:44 MSK Tue Sep 5 2006
System image file is "flash:c2600-is-mz_120-5_T1.bin"cisco 2621 (MPC860) processor (revision 0x102) with 46080K/19456K bytes of memory.
Processor board ID JAB0341042C (3986040278)
M860 processor: part number 0, mask 49
Bridging software.
X.25 software, Version 3.0.0.
2 FastEthernet/IEEE 802.3 interface(s)
4 Serial(sync/async) network interface(s)
32K bytes of non-volatile configuration memory.
8192K bytes of processor board System flash (Read/Write)Configuration register is 0x2001
пишу
key = des шифрованный_ключ
ругается на шифрованный_ключ
Dec 12 12:51:44 mow tac_plus[2867]: Error Unrecognised token xrwKoexC6uyZk on line 1в логине подобная строка принимается
login = des шифрованный_пароль
все нормально
вот такой еще вопрос
если
aaa author exec defa group tacacs+
то при получении ошибки от tacacs+ не могу зайти на маршрутизатор даже под локальным эккаунтом.
а как сделать ситуацию подобноую в авторизации
aaa authentication login default group tacacs+ local
если ошибка от tacacs+ то используется локальная база и можно зайти?
>вот такой еще вопрос
>если
>aaa author exec defa group tacacs+
>то при получении ошибки от tacacs+ не могу зайти на маршрутизатор даже
>под локальным эккаунтом.
>а как сделать ситуацию подобноую в авторизации
>aaa authentication login default group tacacs+ local
>если ошибка от tacacs+ то используется локальная база и можно зайти?Если такакс дал отлуп, то локальная база НЕ используется.
Только в случае неответа такакса используется локальная база.
вопрос не в этом
при аутентификации
aaa authentication login default group tacacs+ local
даже ошибке tacacs используем локальную базу.а вот если
aaa author comma defa group tacacs+
при ошибке или неответе tacacs локальная база не используется и теряется доступ к конфигурации маршрутизатора
а как сделать, что бы при ошибке или недоступности tacacs доспут к конфигурации был?
и вот это не понятно
aaa author comm 17 defa if-authen tacacs+
---------
подумал сначала примерно так, авторизация по такаксу будет, асли пользовтель успешно прошел атентификацию по такаксу. ан нет.
- если такас недступен, аутентифицируюсь по локальной базе, авторизации по такаксу нет, досуп к конфигурации не теряется
- если такакс доступен, аутентифицируюсь по такаксу, но авторизация не работает по такаксу не работает.
смысл этой опции if-authent не понятен.
В конфиге такакса ключ ставится НЕШИФРОВАННЫМ.Внимательнее почитайте user_guide от tac_plus.4.0.4 - как вам раньше и писали.
цитирую1). Configuring the encryption key
If you want tac_plus to encrypt its packets (and you almost certainly
*DO* want this, as there can be usernames and passwords contained in
these packets), then you must specify an encryption key in the
configuration file. The identical key must also be configured on any
NAS which communicates with tac_plus.
Если вы хотите чтобы tac_plus шифровал свои пакеты (и вы почти уверены что хотите сделать это, так как в этих пакетах содержаться имена и пароли), тогда вы должы определить шифрованный ключ в конфигурационном файле. Идентичный ключь должен быть так же сконфигурирован в любом NAS который соединяется с tac_plus
Или тут имеется ввиду ключ для шифрования?!!!!!!!!!! а не шифрованный ключ?
>Или тут имеется ввиду ключ для шифрования?!!!!!!!!!! а не шифрованный ключ?
А как ты думаешь - есть различия между encryption key и encrypted key?
encryption key и encrypted key, согласен
еще
encrypting key
encryption key = ключ шифрования
как сделать чтобы accounting фиксировал все команды всех уровней привелегий
если я пишу
command 15не фиксуирет
sho arp
фиксирует
sho run