Перейти к содержимому
Калькуляторы

Странное поведение tac plus

Доброго времени суток!

 

Есть у нас в сети TACACS-сервер. Обычный tac-plus из комплекта дебиана 7 версии 4.0.4.19-11.

Недавно столкнулся с интересной особенностью. Заходил на консоль шеститонника и ошибся в пароле - набрал вместо 10 символов 9 в внезапно успешно авторизовался на железке. Проверил еще раз - работает, попробовал 8 символов - попал, 9 - попал.

Ну, думаю, может совпадение. Завел в такаксе пользователя testuser:1q2w3e4r5t. Та же история: пароли 1q2w3e4r5t, 1q2w3e4r5, 1q2w3e4r подходят. При этом если ввести менее 8 символов, то авторизация не проходит.

Думал что это цисковский глюк. Попробовал с джунипера - то же самое, попробовал с SNR - та же история, попробовал с других цисок с другим иосом - та же история. Более того, если попробовать авторизоваться с паролем с лишними символами (>10), то авторизация тоже проходит нормально.

Такое ощущение, что от пароля просто используется первые 8 символов, а ослальные игнорируются. Но как такое может быть если в такаксе пароли передаются в виде хэшей. Т.е. если пароль будет короче, то и хэш у него будет отличаться от того, который есть в конфиге такакс-сервера. Короче магия какая-то.

На всякий случай вот конфиг с циски:

 

aaa new-model
!
!
aaa group server tacacs+ tac-int
server 10.201.0.4
!
aaa authentication login admin group tac-int local
aaa authorization console
aaa authorization exec admin group tac-int local
aaa authorization commands 15 admin group tac-int local
aaa accounting exec default start-stop group tac-int
aaa accounting commands 7 default start-stop group tac-int
aaa accounting commands 15 admin start-stop group tac-int
!

 

 

В нем никакой магии.

Это у меня что-то не так или это так задумано?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это не бага, а фича, на которуя я нарывался лет эдак.... 17 назад. Собственно почти из-за нее слез с такакса на радиус. Чего и вам желаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

tacacs+ в портах 9 фряхи таких глюков нет.

Версия F4.0.4.19

Покажите конфиг

Изменено пользователем FATHER_FBI

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

это не баг , это особенности DES протокола , он воспринимает только первые 8 символов. Скормите такаксу пароли в виде

login = des $1$...

 

и будет вам счастье

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

попробуйте генерить пароли при помощи mkpasswd -m md5, если не нравится md5 можно пользоваться sha

mkpasswd -m help

Available methods:

des standard 56 bit DES-based crypt(3)

md5 MD5

sha-256 SHA-256

sha-512 SHA-512

 

Но как такое может быть если в такаксе пароли передаются в виде хэшей.

 

Глупость какая , пароли в такакс протоколе передаются в виде паролей , с той лишь особенностью что они зашифрованы при помощи secret key который сконфигурен для данного оборудования. Как вариант , снимите дамп трафка по порту 49 и загоните его в wireshark, в wireshark откройте опции -> протоколы -> tacacs и туда впишите свой ключ , и вы без проблем увидите все пароли ....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Селал вот так:

 

user = testuser {
member = admin
login = des $1$TJCqTXu8$gurjhbacxhcFAwBxESk701  ##encrypted 1q2w3e4r5t
}

 

 

Пароль зашифровал md5. После этого авторизация заработала нормально. Вчера, к стати, тоже подумал, что des как-то не так шифрует пароль. Попробовал указать в конфиге login = md5 passwd, но такакс с таким конфигом стартовать отказался, а про $1$ я что-то не подумал.

 

Спасибо за помощь!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это у меня что-то не так или это так задумано?

да, у нас тоже так было, да в общем и есть

 

Пароль зашифровал md5. После этого авторизация заработала нормально

А нормально это как? весь пароль стал учитываться, а не только 8 символов?

 

за $1$ отменя тоже всем зачет

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.