aaa con tacacs+

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
best1980
Cisco fan
Messaggi: 69
Iscritto il: ven 08 apr , 2005 1:39 pm
Località: Milano

Ciao a tutti...

Volevo fare una domanda. sto smanettando un po' con l'autenticazione aaa e volevo fare in modo che l'autenticazione telnet verso il mio router ADSL 827 sulle linee vty 0 4 avvenga tramite autenticazione su server tacacs+.

Ho installato su linux il server tacacs+ e ho configurato questo sul router:

Current configuration:
!
! Last configuration change at 00:14:21 UTC Sat Dec 30 2006 by xxxx
!
version 12.1
no service pad
service timestamps debug datetime
service timestamps log datetime
service password-encryption
!
hostname xxxxxxxxxx
!
aaa new-model
aaa group server tacacs+ aaatest
server 192.168.1.20
!
aaa authentication login aaatest group tacacs+ enable
enable secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
username xxxxxx password 7 xxxxxxxxxxxxxxxxx
!
!
!
!
clock timezone UTC 1
ip subnet-zero
no ip finger
!
interface Ethernet0
description Ethernet to LAN
ip address xxxxxxxxxx xxxxxxxxxxxx
ip access-group 100 in
ip nat inside
hold-queue 32 in
!
interface ATM0
!
interface Dialer0
!
ip nat translation timeout 420
ip nat translation tcp-timeout 120
ip nat translation udp-timeout 120
ip nat translation finrst-timeout 300
ip nat translation syn-timeout 120
ip nat translation dns-timeout 300
ip nat translation icmp-timeout 120
ip nat translation max-entries 5000
ip nat inside source list 1 interface Dialer0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
no ip http server
!
access-list 1 permit 192.168.0.0 0.0.255.255
!
line con 0
logging synchronous
transport input none
stopbits 1
line vty 0 4
access-class 1 in
login authentication aaatest
!
scheduler max-task-time 5000
end

Il problema è che quando accedo in telnet sul router sembra scartare a priori il server tacacs+ installato e funzionante sul 192.168.1.20 e mi si presenta il prompt di password dove mi tocca inserire la password di enable (scelto come alternativa al tacacs+).

Con tcpdump in linux vedo che il router non cerca neanche di connettersi al tacacs+ (porta 49 sul 192.168.1.20), quindi penso che ci sia qualcosa di sbagliato nella conf dell'IOS. Ma cosa?

Premetto che sono nuovo di questo argomento quindi probabilmente ci deve essere un problema magari stupido di configurazione...

HELP.

grazie e ciao
Top
Avatar utente
djdylan78
Network Emperor
Messaggi: 382
Iscritto il: ven 20 gen , 2006 2:01 pm

ti manca ancheun aaa authorization per authorizare gli utenti tacacs a fare telnet. Eventualmente usa un debug aaa authentication/authorization per vedere il comportamento del router
Cisco Certified
Top
best1980
Cisco fan
Messaggi: 69
Iscritto il: ven 08 apr , 2005 1:39 pm
Località: Milano

Manca l'authorization e anche l'accounting ma intanto per l'autenticazione doveva andare... invece ho visto che il problema è che non devo definire il gruppo ma solo il server con il comando:

tacacs-server host xxx.xxx.xxx.xxx

ed eventualemente

tacacs-server key xxxxxxxxxxxx

togliendo la riga di conf.

aaa group server tacacs..........

Poi ho aggiunto anche l'authorization e ora funziona tutto perfettamente con il server tacacs+ su linux...
Top
Rispondi

Torna a “Configurazioni”