Странное поведение tac plus

[megahertz0]

Доброго времени суток!

 

Есть у нас в сети TACACS-сервер. Обычный tac-plus из комплекта дебиана 7 версии 4.0.4.19-11.

Недавно столкнулся с интересной особенностью. Заходил на консоль шеститонника и ошибся в пароле - набрал вместо 10 символов 9 в внезапно успешно авторизовался на железке. Проверил еще раз - работает, попробовал 8 символов - попал, 9 - попал.

Ну, думаю, может совпадение. Завел в такаксе пользователя testuser:1q2w3e4r5t. Та же история: пароли 1q2w3e4r5t, 1q2w3e4r5, 1q2w3e4r подходят. При этом если ввести менее 8 символов, то авторизация не проходит.

Думал что это цисковский глюк. Попробовал с джунипера - то же самое, попробовал с SNR - та же история, попробовал с других цисок с другим иосом - та же история. Более того, если попробовать авторизоваться с паролем с лишними символами (>10), то авторизация тоже проходит нормально.

Такое ощущение, что от пароля просто используется первые 8 символов, а ослальные игнорируются. Но как такое может быть если в такаксе пароли передаются в виде хэшей. Т.е. если пароль будет короче, то и хэш у него будет отличаться от того, который есть в конфиге такакс-сервера. Короче магия какая-то.

На всякий случай вот конфиг с циски:

 

aaa new-model
!
!
aaa group server tacacs+ tac-int
server 10.201.0.4
!
aaa authentication login admin group tac-int local
aaa authorization console
aaa authorization exec admin group tac-int local
aaa authorization commands 15 admin group tac-int local
aaa accounting exec default start-stop group tac-int
aaa accounting commands 7 default start-stop group tac-int
aaa accounting commands 15 admin start-stop group tac-int
!

 

 

В нем никакой магии.

Это у меня что-то не так или это так задумано?

[taf_321]

Это не бага, а фича, на которуя я нарывался лет эдак.... 17 назад. Собственно почти из-за нее слез с такакса на радиус. Чего и вам желаю.

[FATHER_FBI]

tacacs+ в портах 9 фряхи таких глюков нет.

Версия F4.0.4.19

Покажите конфиг

Edited September 10, 2015 by FATHER_FBI

[orlik]

это не баг , это особенности DES протокола , он воспринимает только первые 8 символов. Скормите такаксу пароли в виде

login = des $1$...

 

и будет вам счастье

[orlik]

попробуйте генерить пароли при помощи mkpasswd -m md5, если не нравится md5 можно пользоваться sha

mkpasswd -m help

Available methods:

des standard 56 bit DES-based crypt(3)

md5 MD5

sha-256 SHA-256

sha-512 SHA-512

 

Но как такое может быть если в такаксе пароли передаются в виде хэшей.

 

Глупость какая , пароли в такакс протоколе передаются в виде паролей , с той лишь особенностью что они зашифрованы при помощи secret key который сконфигурен для данного оборудования. Как вариант , снимите дамп трафка по порту 49 и загоните его в wireshark, в wireshark откройте опции -> протоколы -> tacacs и туда впишите свой ключ , и вы без проблем увидите все пароли ....

[megahertz0]

Селал вот так:

 

user = testuser {
member = admin
login = des $1$TJCqTXu8$gurjhbacxhcFAwBxESk701  ##encrypted 1q2w3e4r5t
}

 

 

Пароль зашифровал md5. После этого авторизация заработала нормально. Вчера, к стати, тоже подумал, что des как-то не так шифрует пароль. Попробовал указать в конфиге login = md5 passwd, но такакс с таким конфигом стартовать отказался, а про $1$ я что-то не подумал.

 

Спасибо за помощь!

[zi_rus]

Это у меня что-то не так или это так задумано?

да, у нас тоже так было, да в общем и есть

 

Пароль зашифровал md5. После этого авторизация заработала нормально

А нормально это как? весь пароль стал учитываться, а не только 8 символов?

 

за $1$ отменя тоже всем зачет