[DejaVu]

Доброе утро :)

 

Осваиваю ASR. Весь вечер вчера копался- так и не победил маленькое неудобство. :)

IOS: asr1000rp2-adventerprise.02.06.02.122-33.XNF2.bin

 

aaa new-model
!
!
aaa group server tacacs+ TAC-SERVER
server 10.0.0.1
server 10.0.0.2
ip vrf forwarding mgmtLAN
ip tacacs source-interface GigabitEthernet1/1/0.2
!
aaa authentication login admin group TAC-SERVER local
aaa authorization exec admin group TAC-SERVER local 
aaa authorization commands 15 admin group TAC-SERVER local 
aaa accounting update newinfo
aaa accounting commands 1 admin start-stop group TAC-SERVER
aaa accounting commands 15 admin start-stop group TAC-SERVER

aaa session-id common

tacacs-server host 10.0.0.1 key 7 xxxxxxxxxxxxxxxxxxxx
tacacs-server host 10.0.0.2 key 7 xxxxxxxxxxxxxxxxxxxx
tacacs-server timeout 2
tacacs-server directed-request

 

line vty 0 4
exec-timeout 60 0
authorization commands 15 admin
authorization exec admin
accounting commands 15 admin
logging synchronous
login authentication admin

 

Все пускает, но приходится en писать постоянно. На всех остальных коммутаторах, роутерах эти же настройки - пускает сразу в привилегированный режим.

[FATHER_FBI]

Не знаю поможет или нет, на Cisco Catalyst настройка tacacs выглядит вот так

 

! Last configuration change at 19:02:29 EET Mon Oct 6 2014 by father
! NVRAM config last updated at 21:33:02 EET Thu Sep 25 2014 by father
!
version 12.2
no service pad
service timestamps debug uptime
no service timestamps log uptime
service password-encryption
!
!
logging message-counter debug
no logging console
enable password 7 110****0A0C12232****27213C23
!
username admin privilege 15 password 7 050C****0B00031E101E***027273A310E
aaa new-model
!
!
aaa authentication login default group tacacs+ local-case
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ local 
aaa authorization network default group tacacs+ local 
!
control-plane
!
!
line con 0
line vty 0 4
password 7 08*****0E150B0D05063****C223F3630113C
authorization commands 15 admin
authorization exec admin
accounting commands 15 admin
login authentication admin
line vty 5 15
!

Изменено 10 октября, 2014 пользователем FATHER_FBI

[DejaVu]

******************************* удалил ^)

 

Прикольные у Вас пароли :) Моя же конструкция, без vrf, естественно. на каталистах и 1921,7600 работает как надо, пускает сразу же в priv.

Изменено 10 октября, 2014 пользователем DejaVu

[zhenya`]

aaa authentication enable admin group TAC-SERVER local

не ?

Изменено 10 октября, 2014 пользователем zhenya`

[DejaVu]

aaa authentication enable admin group TAC-SERVER local

неа, такой синтаксис не прокатывает.

 

Прокатило так:

aaa authentication enable default group tacacs+ group TAC-SERVER

 

но

br020>en

Password:

% Error in authentication.

 

да же в консоли. Хорошо, что пока она в лабе живет :)

[FATHER_FBI]

У вас

line vty 0 4
exec-timeout 60 0
authorization commands 15 admin
authorization exec admin
accounting commands 15 admin
logging synchronous
login authentication admin

 

У меня

line vty 0 4
password 7 08*****0E150B0D05063****C223F3630113C
authorization commands 15 admin
authorization exec admin
accounting commands 15 admin
login authentication admin

 

Попробуйте добавить строчку которая отвечает за enable password

[zhenya`]

privileges 15 на line vty ?

[DejaVu]

privileges 15 на line vty ?

 

В эксплуатации на vty еще acl висит, где жестко все ограничено.

[DejaVu]

Все пускает, но приходится en писать постоянно. На всех остальных коммутаторах, роутерах эти же настройки - пускает сразу в привилегированный режим.

 

Пришлось перезагрузить после aaa authentication enable default group tacacs+ group TAC-SERVER. После перезагрузки сразу попадаю в priv15 как и хотел, настройки остались такие же как и были. Шаманство.