รหัสผ่าน AAA / TACACS + บนสวิตช์ของ Cisco จะล้มเหลวเสมอในการขอรหัสผ่านครั้งที่สอง

เมื่อใดก็ตามที่ลงชื่อเข้าใช้อุปกรณ์เครือข่ายโดยใช้ AAA / TACACS + หากฉันระบุรหัสผ่านหลังจากรหัสผ่านชื่อผู้ใช้การตั้งค่ารหัสผ่านที่สองจะล้มเหลวเสมอแม้ว่ารหัสผ่านจะถูกต้อง ฉันต้องรอการแจ้งชื่อผู้ใช้อีกครั้งและต้องได้รับรหัสผ่านที่ถูกต้องในการแจ้งรหัสผ่านครั้งแรกทันทีหลังจากนั้น กล่าวอีกนัยหนึ่งเมื่อใดก็ตามที่ฉันเห็นพรอมต์รหัสผ่านที่สองมันจะไม่ทำงาน

ดูการโต้ตอบที่ถูกสุขอนามัยและการกำหนดค่าด้านล่าง

การยืนยันการเข้าถึงของผู้ใช้
ชื่อผู้ใช้: ชื่อผู้ใช้
รหัสผ่าน:

รหัสผ่าน: (ล้มเหลวเสมอที่นี่)
% ปฏิเสธการเข้าใช้

การยืนยันการเข้าถึงของผู้ใช้
ชื่อผู้ใช้: ชื่อผู้ใช้
รหัสผ่าน:

เชื่อมต่อกับ s-site-rack-agg2.example.net ที่บรรทัด 1 (ชื่อไซต์)
S-เว็บไซต์ชั้น agg2 #

สิ่งที่อาจแตกต่างกับรหัสผ่านที่สองนั้นแจ้งให้บัญชีสำหรับพฤติกรรมนี้

AAA ทั่วไปและการกำหนดค่าที่เกี่ยวข้องที่ฉันมีคือ:

aaa โมเดลใหม่
aaa รับรองความถูกต้องเริ่มต้นเข้าสู่ระบบกลุ่ม tacacs + สายท้องถิ่น
aaa รับรองความถูกต้องเข้าสู่ระบบ CONSOLE ไม่มี
การรับรองความถูกต้อง aaa เปิดใช้งานกลุ่มเริ่มต้น tacac +
การอนุมัติ aaa ผู้บริหารกลุ่มเริ่มต้น tacacs + ท้องถิ่นหากผ่านการตรวจสอบแล้ว
คำสั่งการอนุญาต aaa 1 กลุ่มเริ่มต้น tacacs + ท้องถิ่นหากผ่านการตรวจสอบแล้ว
คำสั่งอนุญาต aaa 7 กลุ่มเริ่มต้น tacacs + ท้องถิ่นถ้าผ่านการตรวจสอบ
คำสั่งอนุญาต aaa 15 กลุ่มเริ่มต้น tacacs + ท้องถิ่นถ้าผ่านการตรวจสอบ
บัญชี aaa ผู้บริหารกลุ่มเริ่มต้น tacac +
การบัญชี aaa คำสั่ง 0 กลุ่มเริ่มต้นเริ่มต้นแบบครบวงจร tacac +
คำสั่งการบัญชี aaa 1 กลุ่ม start-stop เริ่มต้น tacacs +
การบัญชี aaa คำสั่ง 7 กลุ่มการเริ่มต้นหยุดแบบดีฟอลต์ tacacs +
การบัญชี aaa คำสั่งเริ่มต้นกลุ่มการเริ่มต้นหยุด 15 tacac +
ระบบบัญชี aaa เริ่มต้นเริ่มต้นระบบกลุ่ม tacacs +
!
ip tacacs อินเตอร์เฟสแหล่งที่มา Loopback0
tacacs-server host -prmiaryipremoved- การเชื่อมต่อเดี่ยว
tacacs-server host -secondaryipremoved- การเชื่อมต่อเดี่ยว
การหมดเวลาของเซิร์ฟเวอร์ tacacs 10
ร้องขอเซิร์ฟเวอร์ tacacs
tacacs-key server 7 -removed-
!
บรรทัดที่ 0
 การตรวจสอบการเข้าสู่ระบบ CONSOLE
บรรทัด vty 0 4
 สถานที่ -removed-
 exec-timeout 60 0
 รหัสผ่าน 7 -removed-
 การขนส่งอินพุต telnet ssh

ฉันจะทำการดีบักบนเซิร์ฟเวอร์ TACACS + ของคุณในขณะที่คุณพยายามทำสิ่งนี้

ฉันจะสมมติว่าคุณต้องการใช้การรับรองความถูกต้อง TACACS เท่านั้นและย้อนกลับไปที่การเข้าสู่ระบบในท้องถิ่นเท่านั้นหากไม่สามารถเข้าถึงเซิร์ฟเวอร์ได้

ลองใช้สิ่งนี้:
aaa authentication login default group tacacs+ line
aaa authentication enable default group tacacs+ enable

ดูไซต์นี้ด้วย: มีตัวอย่างและคำอธิบายที่ดี

http://my.safaribooksonline.com/book/networking/cisco-ios/0596527225/tacacsplus/i13896XXNNZZZNXXNNXXNNNXXNNKNNNXNZNZNZNNNNVNNVNNVARBYF_XT_HARTSWARTSWARTSWARTSWARTSWARTSWARTSWARTSWARTSTH http://my.safaribooksonline.com/book/networking/cisco-ios/0596527225/tacacsplus/i13896ZXXNNXXNNXXNNXXNNNXXNNKNFNNNXNNZNNNVNNVXNVARN ลูปครั้งแรก > http: //my.swkWzWNXXNNXXNNNXXNNVNXXNNVNVNVNTAV4TA>>>

ฉันเดาว่าเนื่องจากคุณมีคำหลัก "ท้องถิ่น" ใน:
aaa authentication login default group tacacs+ local line

การรับรองความถูกต้อง TACACS + ส่งคืนความล้มเหลวดังนั้นเราเตอร์พยายามทำการตรวจสอบภายใน ฉันเดาว่าคุณควรให้การline vtyกำหนดค่าที่ถูกสุขลักษณะแก่เรา ถ้าคุณมี
line vty 0 15
login local

จากนั้นจะทำการรับรองความถูกต้องชื่อผู้ใช้ / รหัสผ่านมิฉะนั้นมันทำรหัสผ่าน

ฉันคิดว่าการกำหนดค่าของคุณค่อนข้างอันตรายและดูเหมือนว่าไม่แน่ใจว่าคุณกำลังใช้ 'เปิดใช้งาน / สาย' หรือ 'ท้องถิ่น' เป็นทางเลือกคำตอบที่ถูกต้องคือท้องถิ่นไม่ใช้ 'เปิดใช้งาน' และโดยเฉพาะอย่างยิ่งไม่เคย 'บรรทัด' สำหรับสิ่งใด ๆ วิธี 'เข้ารหัส' ไม่ได้ถูกแฮชแบบทางเดียว)

ฉันอยากจะแนะนำการกำหนดค่านี้แทน:

aaa new-model
! uses tacacs, fallsback to local user if tacacs not working
aaa authentication login default group tacacs+ local
! user gets enabled by tacacs or by enable password
aaa authentication enable default group tacacs+ enable
! console user is authorized as well (gets enabled, if such permission)
aaa authorization console
! configuration commands are authorized as well as exec commands (Good to prevent dangerous commands)
aaa authorization config-commands
! user privilege level is recovered from tacacs or from local account
aaa authorization exec default group tacacs+ local
! level 15 commands are authorized (you really only need this) 
aaa authorization commands 15 default group tacacs+ if-authenticated 
! level 1, 15 commands are logged (you really only need these two)
aaa accounting commands 1 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
!
! fallback user consulted only when tacacs is broken
username sikrit privilege 15 secret <password>

ผู้ใช้ 'sikrit' จะต้องใช้เมื่อ tacac ไม่ทำงาน (ไม่สามารถใช้งานได้หากคำตอบของ TACACS) ไม่จำเป็นต้องใช้รหัสผ่าน 'line' ภายใต้ VTY เนื่องจากไม่เคยปรึกษา ไม่จำเป็นต้องใช้รหัสผ่าน 'เปิดใช้' เนื่องจากไม่เคยปรึกษา หากคุณต้องการผู้ใช้สำรองข้อมูลที่ไม่ได้เปิดใช้งานให้สร้างอีกบัญชีหนึ่งด้วย 'สิทธิ์ 1'
อย่างไรก็ตามฉันเพิ่มการสนับสนุนสำหรับ 'เปิดใช้งาน' หากคุณต้องการใช้ด้วยเหตุผลบางประการ

หากคุณใช้ OOB และการเข้าถึง OOB มีความปลอดภัย / รับรองความถูกต้องแล้วคุณอาจต้องการอนุญาตให้ผู้ใช้ OOB ใช้การพิสูจน์ตัวตนในพื้นที่เสมอในกรณีที่ TACACS ใช้งานไม่ได้ แต่ IOS ผิดพลาดคิดว่าไม่ใช่คุณจะเพิ่มสิ่งนี้ :

aaa authentication login CONSOLE local
!
line con 0
 login authentication CONSOLE

ฉันไม่แน่ใจว่าการกำหนดค่าอุปกรณ์ในพื้นที่ของคุณจะตำหนิสำหรับสิ่งนี้ แต่แทนที่จะเป็นเซิร์ฟเวอร์ TACACS ของคุณเอง TACACS แสดงพรอมต์ชื่อผู้ใช้ / รหัสผ่านจากเซิร์ฟเวอร์ TACACS (และอาจเป็นที่เก็บข้อมูลภายนอก) ไปยังอุปกรณ์ดังนั้นหากคุณใช้ ACS (ตัวอย่าง) และตั้งค่าให้พูดคุยกับ AD เพื่อทำการตรวจสอบผู้ใช้คุณต้อง ให้คิดถึงชื่อผู้ใช้ / รหัสผ่านที่แจ้งว่ามาจากตัวควบคุมโดเมนแทนที่จะเป็นอุปกรณ์

ฉันเพิ่งพบปัญหาเช่นนี้ซึ่งแก้ไขโดย patch ไปยัง ACS - อีกครั้งฉันสมมติว่าคุณกำลังใช้ ACS และดึงมันออกมาจาก AD สำหรับการตรวจสอบผู้ใช้ / การตรวจสอบกลุ่มผู้ใช้ ฯลฯ Cisco bug ID คือ CSCtz03211 และโดยทั่วไป ACS 5.3 กำลังพยายามส่ง ADH หลายครั้งต่อหนึ่งชื่อผู้ใช้ / รหัสผ่านหนึ่งครั้ง สิ่งนี้จะส่งผลให้เกิดพฤติกรรมที่หากผู้ใช้ป้อนรหัสผ่านในครั้งแรกจำนวนผู้ใช้ / รหัสผ่านที่ผิดพลาดหลายครั้งถูกส่งไปยัง AD และบัญชีของผู้ใช้นั้นถูกล็อคเอาไว้จริง ๆ อุปกรณ์แม้ว่าผู้ใช้พิมพ์ชื่อผู้ใช้ / รหัสผ่านอย่างถูกต้องในการลองครั้งที่สอง (พฤติกรรมนี้แน่นอนแตกต่างกันไปตามเกณฑ์การล็อคที่คุณตั้งไว้ในบัญชีผู้ใช้ภายใน AD)

สิ่งที่ควรพิจารณา (โดยปราศจากความรู้เกี่ยวกับการปรับใช้เซิร์ฟเวอร์ TACACS ของคุณ)