megahertz0 Опубликовано 10 сентября, 2015 · Жалоба Доброго времени суток! Есть у нас в сети TACACS-сервер. Обычный tac-plus из комплекта дебиана 7 версии 4.0.4.19-11. Недавно столкнулся с интересной особенностью. Заходил на консоль шеститонника и ошибся в пароле - набрал вместо 10 символов 9 в внезапно успешно авторизовался на железке. Проверил еще раз - работает, попробовал 8 символов - попал, 9 - попал. Ну, думаю, может совпадение. Завел в такаксе пользователя testuser:1q2w3e4r5t. Та же история: пароли 1q2w3e4r5t, 1q2w3e4r5, 1q2w3e4r подходят. При этом если ввести менее 8 символов, то авторизация не проходит. Думал что это цисковский глюк. Попробовал с джунипера - то же самое, попробовал с SNR - та же история, попробовал с других цисок с другим иосом - та же история. Более того, если попробовать авторизоваться с паролем с лишними символами (>10), то авторизация тоже проходит нормально. Такое ощущение, что от пароля просто используется первые 8 символов, а ослальные игнорируются. Но как такое может быть если в такаксе пароли передаются в виде хэшей. Т.е. если пароль будет короче, то и хэш у него будет отличаться от того, который есть в конфиге такакс-сервера. Короче магия какая-то. На всякий случай вот конфиг с циски: aaa new-model ! ! aaa group server tacacs+ tac-int server 10.201.0.4 ! aaa authentication login admin group tac-int local aaa authorization console aaa authorization exec admin group tac-int local aaa authorization commands 15 admin group tac-int local aaa accounting exec default start-stop group tac-int aaa accounting commands 7 default start-stop group tac-int aaa accounting commands 15 admin start-stop group tac-int ! В нем никакой магии. Это у меня что-то не так или это так задумано? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 10 сентября, 2015 · Жалоба Это не бага, а фича, на которуя я нарывался лет эдак.... 17 назад. Собственно почти из-за нее слез с такакса на радиус. Чего и вам желаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FATHER_FBI Опубликовано 10 сентября, 2015 (изменено) · Жалоба tacacs+ в портах 9 фряхи таких глюков нет. Версия F4.0.4.19 Покажите конфиг Изменено 10 сентября, 2015 пользователем FATHER_FBI Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 11 сентября, 2015 · Жалоба это не баг , это особенности DES протокола , он воспринимает только первые 8 символов. Скормите такаксу пароли в виде login = des $1$... и будет вам счастье Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 11 сентября, 2015 · Жалоба попробуйте генерить пароли при помощи mkpasswd -m md5, если не нравится md5 можно пользоваться sha mkpasswd -m help Available methods: des standard 56 bit DES-based crypt(3) md5 MD5 sha-256 SHA-256 sha-512 SHA-512 Но как такое может быть если в такаксе пароли передаются в виде хэшей. Глупость какая , пароли в такакс протоколе передаются в виде паролей , с той лишь особенностью что они зашифрованы при помощи secret key который сконфигурен для данного оборудования. Как вариант , снимите дамп трафка по порту 49 и загоните его в wireshark, в wireshark откройте опции -> протоколы -> tacacs и туда впишите свой ключ , и вы без проблем увидите все пароли .... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
megahertz0 Опубликовано 11 сентября, 2015 · Жалоба Селал вот так: user = testuser { member = admin login = des $1$TJCqTXu8$gurjhbacxhcFAwBxESk701 ##encrypted 1q2w3e4r5t } Пароль зашифровал md5. После этого авторизация заработала нормально. Вчера, к стати, тоже подумал, что des как-то не так шифрует пароль. Попробовал указать в конфиге login = md5 passwd, но такакс с таким конфигом стартовать отказался, а про $1$ я что-то не подумал. Спасибо за помощь! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 11 сентября, 2015 · Жалоба Это у меня что-то не так или это так задумано? да, у нас тоже так было, да в общем и есть Пароль зашифровал md5. После этого авторизация заработала нормально А нормально это как? весь пароль стал учитываться, а не только 8 символов? за $1$ отменя тоже всем зачет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...