sobones Опубликовано 6 февраля, 2009 · Жалоба Подскажите пожалуйста можно ли, что бы на Cisco ASA логинились пользователи прописанные в TACAC-ce и прописанные локально на железке. Получается , что работает либо локальные , либо пользователи TACACS. А что б и так и так не получается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 6 февраля, 2009 · Жалоба Попробуйте конструкцию типа: aaa authentication login user_auth group radius local ну только с ТАКАКСОМ вместо радиуса) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chainick Опубликовано 6 февраля, 2009 · Жалоба ааа ходит проходит по цепочке. Предполагается, что локальная база будет использоваться только в качестве fallback, т.е. когда все серверы ааа будут недоступны, вы авторизуетесь по локальной базе. А в чем проблема продублировать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
troyand Опубликовано 6 февраля, 2009 · Жалоба На ASA ломится локальный юзер по SSH. TACACS-сервер живой. ASA проверяет credentials на TACACS'е. Тот посылает юзера лесом, ASA делает то же самое. То есть как только была установлена связь с первым живым AAA-сервером и был получен отказ, проверка заканчивается. Иначе спрашиваем у следующего сервера или проверяем по локальной базе (если была установлена соответствующая опция). Выходит, чтобы реализовать требуемый функционал, при необходимости входа локальным пользователем, надо временно потушить TACACS-сервер или заблокировать коннективити к нему с ASA. P.S. Какие TACACS-сервера нынче модно использовать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sobones Опубликовано 9 февраля, 2009 · Жалоба ааа ходит проходит по цепочке. Предполагается, что локальная база будет использоваться только в качестве fallback, т.е. когда все серверы ааа будут недоступны, вы авторизуетесь по локальной базе. А в чем проблема продублировать? Хотелось бы иметь такой функционал на случай некорректной работы TACACS сервера, пока прецендентов не было а вдруг ...... На ASA ломится локальный юзер по SSH. TACACS-сервер живой. ASA проверяет credentials на TACACS'е. Тот посылает юзера лесом, ASA делает то же самое. То есть как только была установлена связь с первым живым AAA-сервером и был получен отказ, проверка заканчивается. Иначе спрашиваем у следующего сервера или проверяем по локальной базе (если была установлена соответствующая опция). Выходит, чтобы реализовать требуемый функционал, при необходимости входа локальным пользователем, надо временно потушить TACACS-сервер или заблокировать коннективити к нему с ASA. P.S. Какие TACACS-сервера нынче модно использовать? Мы пользуем Cisco Secure ACS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...