Jump to content
Калькуляторы

Странное поведение tac plus

Доброго времени суток!

 

Есть у нас в сети TACACS-сервер. Обычный tac-plus из комплекта дебиана 7 версии 4.0.4.19-11.

Недавно столкнулся с интересной особенностью. Заходил на консоль шеститонника и ошибся в пароле - набрал вместо 10 символов 9 в внезапно успешно авторизовался на железке. Проверил еще раз - работает, попробовал 8 символов - попал, 9 - попал.

Ну, думаю, может совпадение. Завел в такаксе пользователя testuser:1q2w3e4r5t. Та же история: пароли 1q2w3e4r5t, 1q2w3e4r5, 1q2w3e4r подходят. При этом если ввести менее 8 символов, то авторизация не проходит.

Думал что это цисковский глюк. Попробовал с джунипера - то же самое, попробовал с SNR - та же история, попробовал с других цисок с другим иосом - та же история. Более того, если попробовать авторизоваться с паролем с лишними символами (>10), то авторизация тоже проходит нормально.

Такое ощущение, что от пароля просто используется первые 8 символов, а ослальные игнорируются. Но как такое может быть если в такаксе пароли передаются в виде хэшей. Т.е. если пароль будет короче, то и хэш у него будет отличаться от того, который есть в конфиге такакс-сервера. Короче магия какая-то.

На всякий случай вот конфиг с циски:

 

aaa new-model
!
!
aaa group server tacacs+ tac-int
server 10.201.0.4
!
aaa authentication login admin group tac-int local
aaa authorization console
aaa authorization exec admin group tac-int local
aaa authorization commands 15 admin group tac-int local
aaa accounting exec default start-stop group tac-int
aaa accounting commands 7 default start-stop group tac-int
aaa accounting commands 15 admin start-stop group tac-int
!

 

 

В нем никакой магии.

Это у меня что-то не так или это так задумано?

Share this post


Link to post
Share on other sites

Это не бага, а фича, на которуя я нарывался лет эдак.... 17 назад. Собственно почти из-за нее слез с такакса на радиус. Чего и вам желаю.

Share this post


Link to post
Share on other sites

tacacs+ в портах 9 фряхи таких глюков нет.

Версия F4.0.4.19

Покажите конфиг

Edited by FATHER_FBI

Share this post


Link to post
Share on other sites

это не баг , это особенности DES протокола , он воспринимает только первые 8 символов. Скормите такаксу пароли в виде

login = des $1$...

 

и будет вам счастье

Share this post


Link to post
Share on other sites

попробуйте генерить пароли при помощи mkpasswd -m md5, если не нравится md5 можно пользоваться sha

mkpasswd -m help

Available methods:

des standard 56 bit DES-based crypt(3)

md5 MD5

sha-256 SHA-256

sha-512 SHA-512

 

Но как такое может быть если в такаксе пароли передаются в виде хэшей.

 

Глупость какая , пароли в такакс протоколе передаются в виде паролей , с той лишь особенностью что они зашифрованы при помощи secret key который сконфигурен для данного оборудования. Как вариант , снимите дамп трафка по порту 49 и загоните его в wireshark, в wireshark откройте опции -> протоколы -> tacacs и туда впишите свой ключ , и вы без проблем увидите все пароли ....

Share this post


Link to post
Share on other sites

Селал вот так:

 

user = testuser {
member = admin
login = des $1$TJCqTXu8$gurjhbacxhcFAwBxESk701  ##encrypted 1q2w3e4r5t
}

 

 

Пароль зашифровал md5. После этого авторизация заработала нормально. Вчера, к стати, тоже подумал, что des как-то не так шифрует пароль. Попробовал указать в конфиге login = md5 passwd, но такакс с таким конфигом стартовать отказался, а про $1$ я что-то не подумал.

 

Спасибо за помощь!

Share this post


Link to post
Share on other sites

Это у меня что-то не так или это так задумано?

да, у нас тоже так было, да в общем и есть

 

Пароль зашифровал md5. После этого авторизация заработала нормально

А нормально это как? весь пароль стал учитываться, а не только 8 символов?

 

за $1$ отменя тоже всем зачет

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.