Cisco anahtarındaki AAA / TACACS + parolası her zaman ikinci parola isteminde başarısız olur

9

AAA / TACACS + kullanarak bir ağ cihazına her giriş yaptığınızda, kullanıcı adı isteminden sonra şifre istemini şişirirsem, şifre doğru olsa bile ikinci şifre istemi her zaman başarısız olur. Kullanıcı adı istemini tekrar beklemek zorundayım ve hemen ardından ilk şifre isteminde şifreyi doğru almalıyım. Diğer bir deyişle, ikinci şifre istemini her gördüğümde çalışmaz.

Sterilize edilmiş etkileşime ve yapılandırmaya bakın.

Kullanıcı Erişim Doğrulaması
Kullanıcı adı: kullanıcı adı
Parola:

Şifre: (burada her zaman başarısız olur)
% Erişim reddedildi

Kullanıcı Erişim Doğrulaması
Kullanıcı adı: kullanıcı adı
Parola:

Satır 1'de (site adı) s-site-rack-agg2.example.net adresine bağlandı.
s-site-raf-agg2 #

Bu davranışı hesaba katmak için bu ikinci şifre isteminde ne fark olabilir?

Tipik AAA ve ben ilgili yapılandırma:

aaa yeni model
aaa kimlik doğrulama giriş varsayılan grup taktikleri + yerel satır
aaa kimlik doğrulama girişi CONSOLE yok
aaa kimlik doğrulaması varsayılan grup taktiklerini etkinleştirme + etkinleştirme
aaa yetkilendirme exec varsayılan grup tacacs + kimlik doğrulaması yapılmışsa yerel
aaa yetkilendirme komutları 1 varsayılan grup tacacs + kimlik doğrulaması yapılmışsa yerel
aaa yetkilendirme komutları 7 varsayılan grup tacacs + kimlik doğrulaması yapılmışsa yerel
aaa yetkilendirme komutları 15 varsayılan grup taktiği + kimlik doğrulaması yapılmışsa yerel
aaa muhasebe exec varsayılan start-stop grubu taktikleri +
aaa muhasebe komutları 0 varsayılan start-stop grubu tacacs +
aaa muhasebe komutları 1 varsayılan start-stop grubu taktikleri +
aaa muhasebe komutları 7 varsayılan start-stop grubu taktikleri +
aaa muhasebe komutları 15 varsayılan start-stop grubu tacacs +
aaa muhasebe sistemi varsayılan start-stop grubu taktikleri +
!
ip tacacs kaynak arayüzü Loopback0
tacacs-server host -prmiaryipremoved- tekli bağlantı
tacacs-sunucu ana bilgisayarı -akincil iptali kaldırıldı- tek bağlantı
tacacs-server zaman aşımı 10
tacacs-server yönlendirilmiş istek
tacacs-server key 7 -removed-
!
satır 0
 giriş kimlik doğrulaması CONSOLE
satır vty 0 4
 konum-kaldırıldı-
 yürütme zaman aşımı 60 0
 şifre 7-kaldırıldı-
 taşıma girişi telnet ssh
cisco  cisco-ios  aaa 
generalnetworkerror
kaynak
Başarısız parolalar TACACS'ın yanıt vermesi için zaman aşımına uğradığı için bunun altına asla inmedim, bu yüzden ikinci istem lineparoladaydı. Doğru şifreler derhal TACACS'tan yanıt aldı. Daha yeni ACS sunucularına taşındı sorunu çözdü, aynı yapılandırma, bu yüzden bir ACS sorunu gibi görünüyor.
generalnetworkerror

Yanıtlar:

4

Bunu denerken TACACS + sunucunuzda bir hata ayıklama yapacağım.

Yalnızca TACACS kimlik doğrulamasını kullanmak istediğinizi ve yalnızca sunucuya erişemiyorsa yerel oturum açma işlemlerine geri dönmek istediğinizi varsayacağım.

Bunu kullanmayı deneyin:
aaa authentication login default group tacacs+ line
aaa authentication enable default group tacacs+ enable

Ayrıca bu siteye bakın: Bazı iyi örnekleri ve açıklamaları var

http: // my.

Benim tahminim şu "yerel" anahtar kelime var çünkü:
aaa authentication login default group tacacs+ local line

TACACS + kimlik doğrulaması başarısız olur, böylece yönlendirici yerel kimlik doğrulaması yapmaya çalışır. Sanırım line vtytemizlenmiş konfigürasyonu bize vermelisin . Eğer varsa
line vty 0 15
login local

Sonra bir kullanıcı adı / şifre kimlik doğrulaması yapar, aksi takdirde şifre yapıyor

knotseh
kaynak
Ayıklanmış eklendi lineQ için yapılandırmaları
generalnetworkerror
Hata ayıklama sadece kısa bir bakıştan, ACS kötü bir parola yeterince hızlı geri gelmiyor gibi görünüyor çünkü bu durum rapor TACACS sunucusu ile zaman aşımlarını görmek tek zaman. Diğer tüm zamanlarda sıfır zaman aşımı vardır.
generalnetworkerror
4

Bence yapılandırmanız oldukça tehlikelidir ve geri dönüş olarak 'enable / line' veya 'local' kullanıyorsanız kararsız görünüyorsunuz, doğru cevap yereldir, hiçbir şey için asla 'enable' kullanmayın ve özellikle asla 'line' kullanmayın (satır iki - tek yönlü karma değil "şifreli".

Bunun yerine bu yapılandırmayı tavsiye ederim:

aaa new-model
! uses tacacs, fallsback to local user if tacacs not working
aaa authentication login default group tacacs+ local
! user gets enabled by tacacs or by enable password
aaa authentication enable default group tacacs+ enable
! console user is authorized as well (gets enabled, if such permission)
aaa authorization console
! configuration commands are authorized as well as exec commands (Good to prevent dangerous commands)
aaa authorization config-commands
! user privilege level is recovered from tacacs or from local account
aaa authorization exec default group tacacs+ local
! level 15 commands are authorized (you really only need this) 
aaa authorization commands 15 default group tacacs+ if-authenticated 
! level 1, 15 commands are logged (you really only need these two)
aaa accounting commands 1 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
!
! fallback user consulted only when tacacs is broken
username sikrit privilege 15 secret <password>

'sikrit' kullanıcı tacacs çalışmıyorken kullanılmalıdır (TACACS cevap verirse kullanılamaz) VTY altında 'line' parolasına gerek yoktur, çünkü asla danışılmaz. Asla başvurulmadığı için 'etkinleştir' şifresine gerek yoktur. Etkin olmayan yedekleme kullanıcısı istiyorsanız, 'ayrıcalık 1' ile başka bir tane oluşturun.
Ne de olsa onu kullanmak istiyorsanız 'enable' için destek ekledim.

OOB kullanıyorsanız ve OOB erişimi zaten güvenli / kimlik doğrulaması yapılmışsa, TAMACS'ın bozuk olması ancak IOS yanlışlıkla olmadığını düşünüyorsa, OOB kullanıcısının her zaman yerel kimlik doğrulamasını kullanmasına izin vermek isteyebilirsiniz , o zaman böyle bir şey eklersiniz :

aaa authentication login CONSOLE local
!
line con 0
 login authentication CONSOLE
ytti
kaynak
Sahip olma fikri aaa authentication login default group tacacs+ local line, AAA şablonu TACACS'ın bozulduğu ve hiçbir yerel kullanıcı tanımlanmayan bir cihaza dağıtıldıysa hat şifresini bir catchall olarak kullanmaktı. Aslında aaa authentication login CONSOLE nonebenim konfigürasyonumda aslında göstermediğim vardı. (Evet, fiziksel konsol erişimine cihazlara muhtemelen ihtiyacımdan daha fazla güvenme eğilimindeyim.)
generalnetworkerror
Aslında gördüğünüz problemi laboratuarda çoğaltamadım. 'Yerel' parolanız yapılandırılmamışsa ve IOS, TACACS'a erişilemez olduğunu düşünüyorsa, 'satır' şifresini sormak mantıklı olacaktır, ancak benim için ulaşılabilir TACACS için 'satır'a geri dönmedi. Belki de başarısız kimlik doğrulamasının başarısız TACACS bağlantısı gibi görünmesini sağlayan IOS veya TACACS'ta hata ('tek bağlantı' olmadan denemeye değer olabilir)
ytti
İkinci bir kullanıcı adı istemi olmadan ikinci parola istemi line, localkimlik doğrulaması için herhangi bir yerel kullanıcı oluşturulmadan bir sistemdeki parolada başarısız olduğunu bize kesin olarak söylüyor mu? [ aaa authentication login default group tacacs+ local line.] tacacs + başarısız, yerel hiçbir yerel kullanıcı olarak atlandı, o zaman hat şifresi?
generalnetworkerror
Ben tacacs + auth_failure üzerine düşmesi gerektiğini sanmıyorum, sadece eksik tacacs + cevap için yapmalısınız. Bu yüzden IOS'un tacacs + 'ın neden yanıt vermediğini düşündüğü seçenekleri araştırıyorum (yanıt verdiğini düşünüyorum). Belki denemek için bir şey, farklı tacacs yapılandırması (tek bağlantıyı kaldırmak gibi), IOS hatasıysa, hata tetikleyicisini kaldırabilir.
ytti
Muhtemelen, tacacs + 'ın sadece şifre yanlış olduğunda yanıt vermesinin 30'dan fazla sürdüğünü gösteren hata ayıklama hakkındaki başka bir cevap hakkındaki yorumumu görmediniz ; o zamana kadar, sistemler tacacs sunucu yanıtının eksik olduğunu düşünüyor ve yetkilendirmede bir sonrakine geçiyor. Parola doğru olduğunda, tacacs yanıtı hemen olur.
generalnetworkerror
4

Yerel aygıt yapılandırmanızın bunun için sorumlu olacağından emin değilim, bunun yerine TACACS sunucunuzun kendisi. TACACS, kullanıcı adı / şifre istemini TACACS sunucusundan (ve muhtemelen bir harici kimlik deposundan) cihaza yakınlaştırır, bu nedenle ACS kullanıyorsanız (örneğin) ve kullanıcı kimlik doğrulaması yapmak için AD ile konuşacak şekilde ayarlanmış olmanız gerekir kullanıcı adı / şifre istemini cihazın kendisi yerine bir etki alanı denetleyicisinden geliyormuş gibi düşünmek.

Son zamanlarda ACS'ye bir yama ile düzeltilen tam olarak böyle bir sorunla karşılaştım - yine, ACS kullandığınızı ve kullanıcı kimlik doğrulama / grup doğrulaması vb. İçin AD'den çektiğini varsayıyorum. Cisco hata kimliği CSCtz03211 ve temel olarak ACS 5.3, aygıta tek bir "kullanıcı adı / şifre" yetkilendirme girişimi başına AD'ye birden fazla yetkilendirme denemesi gönderiyordu. Bu, bir kullanıcı ilk denemede parolayı yağladığı takdirde, hatalı kullanıcı adı / parola kombinasyonunun birden çok örneğinin AD'ye gönderildiği ve kullanıcının hesabının gerçekten kilitlendiği ve böylece daha sonra başarısız oturum açma girişimleriyle sonuçlanan davranışla sonuçlanır. bir kullanıcı ikinci denemede kullanıcı adını / şifresini doğru yazmış olsa bile (elbette bu davranış AD içindeki kullanıcı hesaplarında belirlediğiniz kilitleme eşiklerine göre değişir).

Dikkate alınması gereken bir şey (TACACS sunucu uygulamanız hakkında bilgi sahibi olmadan).

John Jensen
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.