2
Cisco 2924XL Switch TACACS Problem
Guten Tag,
wie schon im Betreff geschrieben habe ich Probleme TACACS auf einem Switch einzurichten.
Im Netz wurden schon einige Router mit TACACS konfiguriert und bisher funktioniert alles korrekt. Nachdem die folgenden Befehle eingegeben wurden bestehen keine Rechte mehr für die weitere Konfiguration. Gültige Userdaten werden nicht angenommen.
Befehle:
Und hier die Konfig vom Switch:
Ich habe im Netz ein par Hinweise gefunden, dass es vielleicht an den lines liegen können. Allerdings konnte beim ausprobieren kein nennenswerter Erfolg verzeichnet werden. Vielleicht weiss ja hier jemand Rat.
Ich bedanke mich für Antworen im voraus. Mit freundlichem Gruß
wie schon im Betreff geschrieben habe ich Probleme TACACS auf einem Switch einzurichten.
Im Netz wurden schon einige Router mit TACACS konfiguriert und bisher funktioniert alles korrekt. Nachdem die folgenden Befehle eingegeben wurden bestehen keine Rechte mehr für die weitere Konfiguration. Gültige Userdaten werden nicht angenommen.
Befehle:
aaa new-model
tacacs-server host 172.96.13.1
tacacs-server key 7 112B4B0A085BBB894D081C870F
ip tacacs source-interface vlan0999
aaa authentication login default tacacs+ local
aaa authentication enable default tacacs+ enable
aaa authentication ppp default local
aaa authorization exec tacacs+ if-authenticated
aaa authorization commands 1 tacacs+ if-authenticated
aaa authorization commands 15 tacacs+ if-authenticated
-> Fehler tritt nach dem letzten Befehl auf, vorher kann ohne Probleme weiterkonfiguriert werden.Und hier die Konfig vom Switch:
Current configuration:
!
version 11.2
no service pad
service password-encryption
service udp-small-servers
service tcp-small-servers
!
hostname Switch
!
enable secret 5 $1$R2B.$GgLP5pjY0/WHipeFutQFv/
!
!
ip subnet-zero
no ip domain-lookup
!
!
interface VLAN1
no ip route-cache
shutdown
!
interface VLAN10
no ip route-cache
shutdown
!
interface VLAN999
ip address 172.17.17.4 255.255.255.248
no ip route-cache
!
interface FastEthernet0/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,10,999,1002-1005
switchport mode trunk
no cdp enable
!
interface FastEthernet0/2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,10,999,1002-1005
switchport mode trunk
no cdp enable
!
interface FastEthernet0/3
switchport access vlan 10
no cdp enable
!
interface FastEthernet0/4-24
no cdp enable
Shutdown
!
ip default-gateway 172.16.16.7
logging buffered 10000 debugging
no cdp run
banner motd ^CC
Willkommen...
^C
!
line con 0
password 7 7781
login
stopbits 1
line vty 0 4
password 7 5112
login
line vty 5 15
password 7 6970
login
!
endIch bedanke mich für Antworen im voraus. Mit freundlichem Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 140277
Url: https://administrator.de/contentid/140277
Printed on: April 18, 2024 at 09:04 o'clock
2 Comments
Latest comment
Mmmhhh, wenn man etwas nachdenkt ist es doch logisch und der Switch verhält sich absolut korrekt !!!
Mit dem letzen Kommando "aaa authorization commands 15 tacacs+ if-authenticated" aktivierst und erzwingst du die TACACS+ Authorisation für alle normalen Priviliged Level Kommandos.
Sowie du danach ein weiteres Kommando eingeben willst, versucht dich der Switch am Tacacs Server zu authorisieren was du aber logischerweise nicht bist !!
Damit macht der Server also genau was er soll, nämlich einem nicht authorisierten Benutzer das Eingeben von Priviliged Kommandos zu verbieten !!
Works as designed...sagt da der Network Admin !!
Logischerweise muss dies also immer das allerletze Kommando sein was du eingibst um den Benutzer TACACS authorisieren zu lassen.
Danach musst du dann immer ausloggen und dich neu anmelden.
Zuvor musst du natürlich sicherstellen, das dein Account auf dem Tacas Server korrekt angelegt ist und du authentisiert werden kannst bzw. das der Tacas Server überhaupt erreichbar ist (Ping vom Switch !)
Dies Kommando birgt also Gefahren wenn man den Cisco per Cut and Paste oder aus einem File konfiguriert, denn damit besteht die Gefahr sich den Ast abzusägen auf welchem man sitzt. Dies Kommando ist also immer das letzte was man einzugeben hat oder...
das du hinten statt "if-authenticated" eben "none" oder "local" eingibst. Letzteres erzwingt dann einen lokal konfigurierten User mit Passwort !
Mit dem letzen Kommando "aaa authorization commands 15 tacacs+ if-authenticated" aktivierst und erzwingst du die TACACS+ Authorisation für alle normalen Priviliged Level Kommandos.
Sowie du danach ein weiteres Kommando eingeben willst, versucht dich der Switch am Tacacs Server zu authorisieren was du aber logischerweise nicht bist !!
Damit macht der Server also genau was er soll, nämlich einem nicht authorisierten Benutzer das Eingeben von Priviliged Kommandos zu verbieten !!
Works as designed...sagt da der Network Admin !!
Logischerweise muss dies also immer das allerletze Kommando sein was du eingibst um den Benutzer TACACS authorisieren zu lassen.
Danach musst du dann immer ausloggen und dich neu anmelden.
Zuvor musst du natürlich sicherstellen, das dein Account auf dem Tacas Server korrekt angelegt ist und du authentisiert werden kannst bzw. das der Tacas Server überhaupt erreichbar ist (Ping vom Switch !)
Dies Kommando birgt also Gefahren wenn man den Cisco per Cut and Paste oder aus einem File konfiguriert, denn damit besteht die Gefahr sich den Ast abzusägen auf welchem man sitzt. Dies Kommando ist also immer das letzte was man einzugeben hat oder...
das du hinten statt "if-authenticated" eben "none" oder "local" eingibst. Letzteres erzwingt dann einen lokal konfigurierten User mit Passwort !
Vielen Dank für deine Antwort Aqui.
Die Befehle funktionierten alle bei anderen Geräten, weswegen ich nicht wusste was falsch sein sollte.
An der Verbindung zum TACACS Server konnte es zudem auch nicht liegen, da ein Pingtest erfolgreich war.
Lösung des Problems war mehr oder weniger dann doch einfach:
Die IOS Version des Switches war zu alt. Ich habe den Befehl
"tacacs-server key 7 112B4B0A085BBB894D081C870F "
direkt eingegeben, was allerdings nicht funktionierte da die Verschlüsselung des TACACS Keys erst ab der Version 12.2 unterstützt wird.
( Quelle: http://www.velocityreviews.com/forums/t56037-tacacs-server-key-password ... )
Habe den Key dann im Klartext eingegeben, was die Funktion der TACACS-Nutzung ermöglichte.
Nochmals vielen Dank, denke man liesst sich nochmal.
Grüße
Die Befehle funktionierten alle bei anderen Geräten, weswegen ich nicht wusste was falsch sein sollte.
An der Verbindung zum TACACS Server konnte es zudem auch nicht liegen, da ein Pingtest erfolgreich war.
Lösung des Problems war mehr oder weniger dann doch einfach:
Die IOS Version des Switches war zu alt. Ich habe den Befehl
"tacacs-server key 7 112B4B0A085BBB894D081C870F "
direkt eingegeben, was allerdings nicht funktionierte da die Verschlüsselung des TACACS Keys erst ab der Version 12.2 unterstützt wird.
( Quelle: http://www.velocityreviews.com/forums/t56037-tacacs-server-key-password ... )
Habe den Key dann im Klartext eingegeben, was die Funktion der TACACS-Nutzung ermöglichte.
Nochmals vielen Dank, denke man liesst sich nochmal.
Grüße
