Перейти к содержимому
Калькуляторы

Доступ на Cisco ASA

Ответить

sobones   

sobones
Опубликовано · Жалоба

Подскажите пожалуйста можно ли, что бы на Cisco ASA логинились пользователи прописанные в TACAC-ce и прописанные локально на железке.

Получается , что работает либо локальные , либо пользователи TACACS. А что б и так и так не получается.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Stak   

Stak
Опубликовано · Жалоба

Попробуйте конструкцию типа:

aaa authentication login user_auth group radius local

 

ну только с ТАКАКСОМ вместо радиуса)

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

chainick   

chainick
Опубликовано · Жалоба

ааа ходит проходит по цепочке. Предполагается, что локальная база будет использоваться только в качестве fallback, т.е. когда все серверы ааа будут недоступны, вы авторизуетесь по локальной базе.

 

А в чем проблема продублировать?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

troyand   

troyand
Опубликовано · Жалоба

На ASA ломится локальный юзер по SSH. TACACS-сервер живой. ASA проверяет credentials на TACACS'е. Тот посылает юзера лесом, ASA делает то же самое. То есть как только была установлена связь с первым живым AAA-сервером и был получен отказ, проверка заканчивается. Иначе спрашиваем у следующего сервера или проверяем по локальной базе (если была установлена соответствующая опция). Выходит, чтобы реализовать требуемый функционал, при необходимости входа локальным пользователем, надо временно потушить TACACS-сервер или заблокировать коннективити к нему с ASA.

 

P.S. Какие TACACS-сервера нынче модно использовать?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

sobones   

sobones
Опубликовано · Жалоба
ааа ходит проходит по цепочке. Предполагается, что локальная база будет использоваться только в качестве fallback, т.е. когда все серверы ааа будут недоступны, вы авторизуетесь по локальной базе.

 

А в чем проблема продублировать?

Хотелось бы иметь такой функционал на случай некорректной работы TACACS сервера, пока прецендентов не было а вдруг ......

 

На ASA ломится локальный юзер по SSH. TACACS-сервер живой. ASA проверяет credentials на TACACS'е. Тот посылает юзера лесом, ASA делает то же самое. То есть как только была установлена связь с первым живым AAA-сервером и был получен отказ, проверка заканчивается. Иначе спрашиваем у следующего сервера или проверяем по локальной базе (если была установлена соответствующая опция). Выходит, чтобы реализовать требуемый функционал, при необходимости входа локальным пользователем, надо временно потушить TACACS-сервер или заблокировать коннективити к нему с ASA.

 

P.S. Какие TACACS-сервера нынче модно использовать?

Мы пользуем Cisco Secure ACS

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Подписчики 0
Перейти к списку тем Активное оборудование Ethernet, IP, MPLS, SDN/NFV...