Jump to content

Доступ на Cisco ASA

sobones
 Share

Recommended Posts

sobones

sobones

Posted
Posted

Подскажите пожалуйста можно ли, что бы на Cisco ASA логинились пользователи прописанные в TACAC-ce и прописанные локально на железке.

Получается , что работает либо локальные , либо пользователи TACACS. А что б и так и так не получается.

chainick

chainick

Posted
Posted

ааа ходит проходит по цепочке. Предполагается, что локальная база будет использоваться только в качестве fallback, т.е. когда все серверы ааа будут недоступны, вы авторизуетесь по локальной базе.

 

А в чем проблема продублировать?

troyand

troyand

Posted
Posted

На ASA ломится локальный юзер по SSH. TACACS-сервер живой. ASA проверяет credentials на TACACS'е. Тот посылает юзера лесом, ASA делает то же самое. То есть как только была установлена связь с первым живым AAA-сервером и был получен отказ, проверка заканчивается. Иначе спрашиваем у следующего сервера или проверяем по локальной базе (если была установлена соответствующая опция). Выходит, чтобы реализовать требуемый функционал, при необходимости входа локальным пользователем, надо временно потушить TACACS-сервер или заблокировать коннективити к нему с ASA.

 

P.S. Какие TACACS-сервера нынче модно использовать?

sobones

sobones

Posted
  • Author
Posted
ааа ходит проходит по цепочке. Предполагается, что локальная база будет использоваться только в качестве fallback, т.е. когда все серверы ааа будут недоступны, вы авторизуетесь по локальной базе.

 

А в чем проблема продублировать?

Хотелось бы иметь такой функционал на случай некорректной работы TACACS сервера, пока прецендентов не было а вдруг ......

 

На ASA ломится локальный юзер по SSH. TACACS-сервер живой. ASA проверяет credentials на TACACS'е. Тот посылает юзера лесом, ASA делает то же самое. То есть как только была установлена связь с первым живым AAA-сервером и был получен отказ, проверка заканчивается. Иначе спрашиваем у следующего сервера или проверяем по локальной базе (если была установлена соответствующая опция). Выходит, чтобы реализовать требуемый функционал, при необходимости входа локальным пользователем, надо временно потушить TACACS-сервер или заблокировать коннективити к нему с ASA.

 

P.S. Какие TACACS-сервера нынче модно использовать?

Мы пользуем Cisco Secure ACS

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.