Jump to content
Калькуляторы

ASR1004 tacacs

Доброе утро :)

 

Осваиваю ASR. Весь вечер вчера копался- так и не победил маленькое неудобство. :)

IOS: asr1000rp2-adventerprise.02.06.02.122-33.XNF2.bin

 

aaa new-model
!
!
aaa group server tacacs+ TAC-SERVER
server 10.0.0.1
server 10.0.0.2
ip vrf forwarding mgmtLAN
ip tacacs source-interface GigabitEthernet1/1/0.2
!
aaa authentication login admin group TAC-SERVER local
aaa authorization exec admin group TAC-SERVER local 
aaa authorization commands 15 admin group TAC-SERVER local 
aaa accounting update newinfo
aaa accounting commands 1 admin start-stop group TAC-SERVER
aaa accounting commands 15 admin start-stop group TAC-SERVER

aaa session-id common

tacacs-server host 10.0.0.1 key 7 xxxxxxxxxxxxxxxxxxxx
tacacs-server host 10.0.0.2 key 7 xxxxxxxxxxxxxxxxxxxx
tacacs-server timeout 2
tacacs-server directed-request

 

line vty 0 4
exec-timeout 60 0
authorization commands 15 admin
authorization exec admin
accounting commands 15 admin
logging synchronous
login authentication admin

 

Все пускает, но приходится en писать постоянно. На всех остальных коммутаторах, роутерах эти же настройки - пускает сразу в привилегированный режим.

Share this post


Link to post
Share on other sites

Не знаю поможет или нет, на Cisco Catalyst настройка tacacs выглядит вот так

 

! Last configuration change at 19:02:29 EET Mon Oct 6 2014 by father
! NVRAM config last updated at 21:33:02 EET Thu Sep 25 2014 by father
!
version 12.2
no service pad
service timestamps debug uptime
no service timestamps log uptime
service password-encryption
!
!
logging message-counter debug
no logging console
enable password 7 110****0A0C12232****27213C23
!
username admin privilege 15 password 7 050C****0B00031E101E***027273A310E
aaa new-model
!
!
aaa authentication login default group tacacs+ local-case
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ local 
aaa authorization network default group tacacs+ local 
!
control-plane
!
!
line con 0
line vty 0 4
password 7 08*****0E150B0D05063****C223F3630113C
authorization commands 15 admin
authorization exec admin
accounting commands 15 admin
login authentication admin
line vty 5 15
!

Edited by FATHER_FBI

Share this post


Link to post
Share on other sites

******************************* удалил ^)

 

Прикольные у Вас пароли :) Моя же конструкция, без vrf, естественно. на каталистах и 1921,7600 работает как надо, пускает сразу же в priv.

Edited by DejaVu

Share this post


Link to post
Share on other sites

aaa authentication enable admin group TAC-SERVER local

не ?

Edited by zhenya`

Share this post


Link to post
Share on other sites

aaa authentication enable admin group TAC-SERVER local

неа, такой синтаксис не прокатывает.

 

Прокатило так:

aaa authentication enable default group tacacs+ group TAC-SERVER

 

но

br020>en

Password:

% Error in authentication.

 

да же в консоли. Хорошо, что пока она в лабе живет :)

Share this post


Link to post
Share on other sites

У вас

line vty 0 4
exec-timeout 60 0
authorization commands 15 admin
authorization exec admin
accounting commands 15 admin
logging synchronous
login authentication admin

 

У меня

line vty 0 4
password 7 08*****0E150B0D05063****C223F3630113C
authorization commands 15 admin
authorization exec admin
accounting commands 15 admin
login authentication admin

 

Попробуйте добавить строчку которая отвечает за enable password

Share this post


Link to post
Share on other sites

privileges 15 на line vty ?

 

В эксплуатации на vty еще acl висит, где жестко все ограничено.

Share this post


Link to post
Share on other sites

Все пускает, но приходится en писать постоянно. На всех остальных коммутаторах, роутерах эти же настройки - пускает сразу в привилегированный режим.

 

Пришлось перезагрузить после aaa authentication enable default group tacacs+ group TAC-SERVER. После перезагрузки сразу попадаю в priv15 как и хотел, настройки остались такие же как и были. Шаманство.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this