Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Cisco 2924XL Switch TACACS Problem

Mitglied: Netflag

Netflag (Level 1) - Jetzt verbinden

10.04.2010, aktualisiert 13:17 Uhr, 5051 Aufrufe, 2 Kommentare

Guten Tag,
wie schon im Betreff geschrieben habe ich Probleme TACACS auf einem Switch einzurichten.

Im Netz wurden schon einige Router mit TACACS konfiguriert und bisher funktioniert alles korrekt. Nachdem die folgenden Befehle eingegeben wurden bestehen keine Rechte mehr für die weitere Konfiguration. Gültige Userdaten werden nicht angenommen.


Befehle:
01.
aaa new-model
02.
tacacs-server host 172.96.13.1
03.
tacacs-server key 7 112B4B0A085BBB894D081C870F
04.
ip tacacs source-interface vlan0999
05.
aaa authentication login default tacacs+ local
06.
aaa authentication enable default tacacs+ enable
07.
aaa authentication ppp default local
08.
aaa authorization exec tacacs+ if-authenticated
09.
aaa authorization commands 1 tacacs+ if-authenticated
10.
aaa authorization commands 15 tacacs+ if-authenticated
11.
-> Fehler tritt nach dem letzten Befehl auf, vorher kann ohne Probleme weiterkonfiguriert werden.
Und hier die Konfig vom Switch:
01.
 Current configuration:
02.
!
03.
version 11.2
04.
no service pad
05.
service password-encryption
06.
service udp-small-servers
07.
service tcp-small-servers
08.
!
09.
hostname Switch
10.
!
11.
enable secret 5 $1$R2B.$GgLP5pjY0/WHipeFutQFv/
12.
!
13.
!
14.
ip subnet-zero
15.
no ip domain-lookup
16.
!
17.
!
18.
interface VLAN1
19.
 no ip route-cache
20.
 shutdown
21.
!
22.
interface VLAN10
23.
 no ip route-cache
24.
 shutdown
25.
!
26.
interface VLAN999
27.
ip address 172.17.17.4 255.255.255.248
28.
no ip route-cache
29.
!
30.
interface FastEthernet0/1
31.
 switchport trunk encapsulation dot1q
32.
 switchport trunk allowed vlan 1,10,999,1002-1005
33.
 switchport mode trunk
34.
 no cdp enable
35.
!
36.
interface FastEthernet0/2
37.
 switchport trunk encapsulation dot1q
38.
 switchport trunk allowed vlan 1,10,999,1002-1005
39.
 switchport mode trunk
40.
 no cdp enable
41.
!
42.
interface FastEthernet0/3
43.
 switchport access vlan 10
44.
 no cdp enable
45.
!
46.
interface FastEthernet0/4-24
47.
 no cdp enable
48.
 Shutdown
49.
!
50.
ip default-gateway 172.16.16.7
51.
logging buffered 10000 debugging
52.
no cdp run
53.

54.
banner motd ^CC
55.
Willkommen...
56.

57.
^C
58.
!
59.
line con 0
60.
 password 7 7781
61.
 login
62.
 stopbits 1
63.
line vty 0 4
64.
 password 7 5112
65.
 login
66.
line vty 5 15
67.
 password 7 6970
68.
 login
69.
!
70.
end
Ich habe im Netz ein par Hinweise gefunden, dass es vielleicht an den lines liegen können. Allerdings konnte beim ausprobieren kein nennenswerter Erfolg verzeichnet werden. Vielleicht weiss ja hier jemand Rat.

Ich bedanke mich für Antworen im voraus. Mit freundlichem Gruß
Mitglied: aqui
10.04.2010 um 16:12 Uhr
Mmmhhh, wenn man etwas nachdenkt ist es doch logisch und der Switch verhält sich absolut korrekt !!!
Mit dem letzen Kommando "aaa authorization commands 15 tacacs+ if-authenticated" aktivierst und erzwingst du die TACACS+ Authorisation für alle normalen Priviliged Level Kommandos.
Sowie du danach ein weiteres Kommando eingeben willst, versucht dich der Switch am Tacacs Server zu authorisieren was du aber logischerweise nicht bist !!
Damit macht der Server also genau was er soll, nämlich einem nicht authorisierten Benutzer das Eingeben von Priviliged Kommandos zu verbieten !!
Works as designed...sagt da der Network Admin !!
Logischerweise muss dies also immer das allerletze Kommando sein was du eingibst um den Benutzer TACACS authorisieren zu lassen.
Danach musst du dann immer ausloggen und dich neu anmelden.
Zuvor musst du natürlich sicherstellen, das dein Account auf dem Tacas Server korrekt angelegt ist und du authentisiert werden kannst bzw. das der Tacas Server überhaupt erreichbar ist (Ping vom Switch !)

Dies Kommando birgt also Gefahren wenn man den Cisco per Cut and Paste oder aus einem File konfiguriert, denn damit besteht die Gefahr sich den Ast abzusägen auf welchem man sitzt. Dies Kommando ist also immer das letzte was man einzugeben hat oder...
das du hinten statt "if-authenticated" eben "none" oder "local" eingibst. Letzteres erzwingt dann einen lokal konfigurierten User mit Passwort !
Bitte warten ..
Mitglied: Netflag
12.04.2010 um 13:57 Uhr
Vielen Dank für deine Antwort Aqui.

Die Befehle funktionierten alle bei anderen Geräten, weswegen ich nicht wusste was falsch sein sollte.
An der Verbindung zum TACACS Server konnte es zudem auch nicht liegen, da ein Pingtest erfolgreich war.

Lösung des Problems war mehr oder weniger dann doch einfach:
Die IOS Version des Switches war zu alt. Ich habe den Befehl
"tacacs-server key 7 112B4B0A085BBB894D081C870F "
direkt eingegeben, was allerdings nicht funktionierte da die Verschlüsselung des TACACS Keys erst ab der Version 12.2 unterstützt wird.
( Quelle: http://www.velocityreviews.com/forums/t56037-tacacs-server-key-password ... )
Habe den Key dann im Klartext eingegeben, was die Funktion der TACACS-Nutzung ermöglichte.

Nochmals vielen Dank, denke man liesst sich nochmal.

Grüße
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Cisco - Empfehlung Switch
gelöst Frage von JuckieLAN, WAN, Wireless6 Kommentare

Hallo zusammen, wir haben folgendes Szenario: Das Firmengebäude ist in 3 Netzwerkbereiche aufgeteilt, welche mittels LWL miteinerander verbunden sind. ...

Netzwerkgrundlagen
Cisco Switch simulator
gelöst Frage von Ghost108Netzwerkgrundlagen4 Kommentare

Hallo zusammen, gibt es ein Programm, womit man einen Cisco Switch simulieren kann und darauf mit der config etwas ...

Router & Routing
CISCO CCNP-SWITCH Prüfung
gelöst Frage von edvmaedchenfuerallesRouter & Routing3 Kommentare

Hallo. Heute hat es bei meiner Prüfung leider knapp nicht gereicht und ich darf es nochmal versuchen. Eine generelle ...

Switche und Hubs
Cisco Switch Oberfläche leer
gelöst Frage von ForgottenRealmSwitche und Hubs8 Kommentare

Moinmoin, bei meinem Cisco SG-300 ist seit Ewigkeiten die Weboberfläche praktisch tot, die Eingabefelder für Login und Passwort sind ...

Neue Wissensbeiträge
Windows 7
Updategängelung auf Windows 10, die zweite
Information von Penny.Cilin vor 8 StundenWindows 7

Hallo, da Windows 7 im kommenden Jahr nicht mehr supportet wird, werden Nutzer von Window 7 home premium wieder ...

Internet
EU-Urheberrechtsreform: Zusammenfassung
Information von Frank vor 2 TagenInternet1 Kommentar

Auf golem.de gibt es eine Analyse von Friedhelm Greis, der das Thema EU-Urheberrechtsreform gut und strukturiert zusammenfasst. Zwar haben ...

Microsoft Office

Office365 Schwachstellen bei Sicherheit und Datenschutz

Information von Penny.Cilin vor 3 TagenMicrosoft Office7 Kommentare

Auf Heise+ gibt es einen Artikel bzgl. Office365 Schwachstellen. Das ist noch ein Grund mehr seine Daten nicht in ...

Sicherheit
Schwachstellen in VPN Clients
Tipp von transocean vor 5 TagenSicherheit2 Kommentare

Moin, es gibt Sicherheitslücken bei VPN Clients namhafter Hersteller, wie man hier lesen kann. Gruß Uwe

Heiß diskutierte Inhalte
Vmware
Richtige Einstellungen beim ESXI 6.5 in Sachen CPU Zuweisung bei einer VM
gelöst Frage von zeroblue2005Vmware14 Kommentare

Hallo Zusammen, heute wollte ich mal fragen, wie ich eine VM die richtige Anzahl der von CPUs zuweise. Bin ...

Vmware
ESXI hebt Registrierung von Masschinen auf
Frage von SpitzbubeVmware12 Kommentare

Hallo, nutze seit einiger Zeit für meine IT Projekte einen alten HP G7 Server mit ESXi 6.5 und einem ...

Entwicklung
Programmieren lernen - Vorkenntnisse bisher nur in PowerShell
gelöst Frage von SomebodyToLoveEntwicklung10 Kommentare

Hallo zusammen, ich würde gerne tiefer in das Programmieren einsteigen, der Wunsch hängt mir schon im Kopf seid ich ...

Hyper-V
Chaosbeseitigung in Domainlandschaft
Frage von Rolf935Hyper-V10 Kommentare

Hallo zusammen, ich hätte gerne mal ein paar praktische Tipps oder Hinweise. Derzeit haben wir einen NAS als Fileserver ...