Jump to content

CLI AAA Fallback obwohl Tacacs den Zugriff gewährt


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

wir testen derzeit eine RSA SecurID Authentifizierung an Cisco-Geräten mit Hilfe von TACACS+.

Die Authentifizierung auf einem testweise eingebundenen Catalyst der 29xx-Serie funktioniert über ein SecurID-Token auch soweit über Telnet.

 

Allerdings funktioniert ein Loginversuch mittels eines in der TACACS-Konfiguration angelegten Benutzer (dieser ist kein SecurID-Nutzer, sondern ein lokal angelegter mit cleartext) nicht. Egal, ob das Passwort bei der Abfrage richtig oder falsch eingegeben wurde, folgt ein Fallback auf den Default-Login des Cisco-Geräts (lokale Authentifizierung).

Wenn das Passwort richtig eingegeben wurde, zeigt mir der Authentication Monitor des RSA Auth Managers eine erfolgreiche Freigabe via TACACS-Authentifizierung. Dennoch wird das normale lokale Login-PW des CLI abgefragt.

 

Hier die Configs:

 

TACACS:

user = test

{

login = cleartext "test123"

}

 

 

IOS:

aaa new-model

aaa authentication login default group tacacs+ enable

tacacs-server host x.x.x.x

tacacs-server key xxx

line con 0

password xxx

line vty 0 4

password xxx

 

Weiß jemand einen Rat?

 

Vielen Dank vorab.

 

Gruß,

Frittenbude

Link zu diesem Kommentar

Ist das für eine Grundkonfiguration wirklich erforderlich?

 

Ich habe inzwischen einen anderen Switch mit Debugging-Funktionalität verwendet und folgende Meldungen erhalten:

 

Erfolgreiche TACACS-Anmeldung mittels SecurID:

00:27:55: AAA: parse name=tty1 idb type=-1 tty=-1

00:27:55: AAA: name=tty1 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=1 chan0

00:27:55: AAA/MEMORY: create_user (0x187EF650) user='NULL' ruser='NULL' ds0=0 p)

00:27:55: AAA/AUTHEN/START (568432380): port='tty1' list='' action=LOGIN servicN

00:27:55: AAA/AUTHEN/START (568432380): using "default" list

00:27:55: AAA/AUTHEN/START (568432380): Method=tacacs+ (tacacs+)

00:27:55: TAC+: send AUTHEN/START packet ver=192 id=568432380

00:27:56: TAC+: ver=192 id=568432380 received AUTHEN status = GETUSER

00:27:56: AAA/AUTHEN (568432380): status = GETUSER

00:27:58: AAA/AUTHEN/CONT (568432380): continue_login (user='(undef)')

00:27:58: AAA/AUTHEN (568432380): status = GETUSER

00:27:58: AAA/AUTHEN (568432380): Method=tacacs+ (tacacs+)

00:27:58: TAC+: send AUTHEN/CONT packet id=568432380

00:27:58: TAC+: ver=192 id=568432380 received AUTHEN status = GETPASS

00:27:58: AAA/AUTHEN (568432380): status = GETPASS

00:28:04: AAA/AUTHEN/CONT (568432380): continue_login (user='user1')

00:28:04: AAA/AUTHEN (568432380): status = GETPASS

00:28:04: AAA/AUTHEN (568432380): Method=tacacs+ (tacacs+)

00:28:04: TAC+: send AUTHEN/CONT packet id=568432380

00:28:06: TAC+: ver=192 id=568432380 received AUTHEN status = PASS

00:28:06: AAA/AUTHEN (568432380): status = PASS

 

Fehlerhafte TACACS-Anmeldung mittels Cleartext:

00:29:09: AAA: parse name=tty1 idb type=-1 tty=-1

00:29:09: AAA: name=tty1 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=1 chan0

00:29:09: AAA/MEMORY: create_user (0x187EF930) user='NULL' ruser='NULL' ds0=0 p)

00:29:09: AAA/AUTHEN/START (2102659375): port='tty1' list='' action=LOGIN serviN

00:29:09: AAA/AUTHEN/START (2102659375): using "default" list

00:29:09: AAA/AUTHEN/START (2102659375): Method=tacacs+ (tacacs+)

00:29:09: TAC+: send AUTHEN/START packet ver=192 id=2102659375

00:29:09: TAC+: ver=192 id=2102659375 received AUTHEN status = GETUSER

00:29:09: AAA/AUTHEN (2102659375): status = GETUSER

00:29:11: AAA/AUTHEN/CONT (2102659375): continue_login (user='(undef)')

00:29:11: AAA/AUTHEN (2102659375): status = GETUSER

00:29:11: AAA/AUTHEN (2102659375): Method=tacacs+ (tacacs+)

00:29:11: TAC+: send AUTHEN/CONT packet id=2102659375

00:29:12: TAC+: ver=192 id=2102659375 received AUTHEN status = GETPASS

00:29:12: AAA/AUTHEN (2102659375): status = GETPASS

00:29:18: AAA/AUTHEN/CONT (2102659375): continue_login (user='user2')

00:29:18: AAA/AUTHEN (2102659375): status = GETPASS

00:29:18: AAA/AUTHEN (2102659375): Method=tacacs+ (tacacs+)

00:29:18: TAC+: send AUTHEN/CONT packet id=2102659375

00:29:23: AAA/AUTHEN (2102659375): status = ERROR

00:29:23: AAA/AUTHEN/START (2514039982): port='tty1' list='' action=LOGIN serviN

00:29:23: AAA/AUTHEN/START (2514039982): Restart

00:29:23: AAA/AUTHEN/START (2514039982): Method=ENABLE

00:29:23: AAA/AUTHEN (2514039982): status = GETPASS

 

Es scheint so, dass TACACS keine Freigabe an das Cisco-Gerät sendet.

An den RSA Authentication Manager hingegen sendet er nach wie vor eine erfolgreiche Benutzeranmeldung, wenn das der Benutzer mit Cleartext-Anmeldung das richtige PW eingegeben hat.

 

Gruß,

Frittenbude

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...