Jump to content
Калькуляторы

Доступ на Cisco ASA

Подскажите пожалуйста можно ли, что бы на Cisco ASA логинились пользователи прописанные в TACAC-ce и прописанные локально на железке.

Получается , что работает либо локальные , либо пользователи TACACS. А что б и так и так не получается.

Share this post


Link to post
Share on other sites

Попробуйте конструкцию типа:

aaa authentication login user_auth group radius local

 

ну только с ТАКАКСОМ вместо радиуса)

Share this post


Link to post
Share on other sites

ааа ходит проходит по цепочке. Предполагается, что локальная база будет использоваться только в качестве fallback, т.е. когда все серверы ааа будут недоступны, вы авторизуетесь по локальной базе.

 

А в чем проблема продублировать?

Share this post


Link to post
Share on other sites

На ASA ломится локальный юзер по SSH. TACACS-сервер живой. ASA проверяет credentials на TACACS'е. Тот посылает юзера лесом, ASA делает то же самое. То есть как только была установлена связь с первым живым AAA-сервером и был получен отказ, проверка заканчивается. Иначе спрашиваем у следующего сервера или проверяем по локальной базе (если была установлена соответствующая опция). Выходит, чтобы реализовать требуемый функционал, при необходимости входа локальным пользователем, надо временно потушить TACACS-сервер или заблокировать коннективити к нему с ASA.

 

P.S. Какие TACACS-сервера нынче модно использовать?

Share this post


Link to post
Share on other sites
ааа ходит проходит по цепочке. Предполагается, что локальная база будет использоваться только в качестве fallback, т.е. когда все серверы ааа будут недоступны, вы авторизуетесь по локальной базе.

 

А в чем проблема продублировать?

Хотелось бы иметь такой функционал на случай некорректной работы TACACS сервера, пока прецендентов не было а вдруг ......

 

На ASA ломится локальный юзер по SSH. TACACS-сервер живой. ASA проверяет credentials на TACACS'е. Тот посылает юзера лесом, ASA делает то же самое. То есть как только была установлена связь с первым живым AAA-сервером и был получен отказ, проверка заканчивается. Иначе спрашиваем у следующего сервера или проверяем по локальной базе (если была установлена соответствующая опция). Выходит, чтобы реализовать требуемый функционал, при необходимости входа локальным пользователем, надо временно потушить TACACS-сервер или заблокировать коннективити к нему с ASA.

 

P.S. Какие TACACS-сервера нынче модно использовать?

Мы пользуем Cisco Secure ACS

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this