Tacacs VRF-Authentifizierung

7

Wir haben gerade einen neuen Supervisor7 mit OS 3.4.1 bekommen. Ich versuche, die Authentifizierung mit Tacacs zu konfigurieren, und ich kann nicht verstehen, wie sie funktioniert. Diese Konfiguration funktioniert auf unseren anderen Switches, auf diesem 4500 jedoch nicht.

aaa new-model
username cisco privilege 15 secret 5 $1$qLGb$VQ7BdaJEpzGFqPeC979Uh1
tacacs-server host 10.4.25.8 key ourKeyIsSecret
aaa authentication login default group tacacs+ local
line vty 0 15
 login authen default

Wir können uns nur mit dem Fallback-Passwort anmelden. Der Schalter versucht nicht einmal, Tacacs zu kontaktieren.

Kann jemand helfen?

Nachos
quelle
1
Können Sie den Tacacs + Server anpingen? show tacacssollte einige Informationen sowie enthüllen debug tacacs events.
Generalnetworkerror
#ping vrf mgmtVrf 10.4.25.8 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.4.25.8, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
Nachos

Antworten:

8

Diese Konfiguration funktioniert auf unseren anderen Switches, auf diesem 4500 jedoch nicht.

Sie verwenden den integrierten Sup7 FastEthernet-Anschluss. Dies ist also Ihr Problem:

aaa authentication login default group tacacs+ local
                                 ^^^^^^^^^^^^^

Der Sup7 OOB-Port befindet sich in einer VRF . Daher müssen Sie Tacacs + in einem VRF konfigurieren

aaa new-model
!
no tacacs-server host 10.4.25.8
!
aaa group server tacacs+ TacacsVrf
  server-private 10.4.25.8 key 7 ourKeyIsSecret
  ip vrf forwarding mgmtVrf
  ip tacacs source FastEthernet1
!
aaa authentication login default group TacacsVrf local
Mike Pennington
quelle
1

Dies ist ein Teil der Konfiguration, die ich auf 4506 unter 12.2 verwende

username failsafe secret [local password]
aaa new-model
!
!
aaa authentication attempts login 3
aaa authentication fail-message ^Your fail message here.^
aaa authentication login default group tacacs+ local
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ if-authenticated 
aaa accounting exec default start-stop group tacacs+
! 
!
!
aaa session-id common
tacacs-server host [IP address]
tacacs-server timeout 10
no tacacs-server directed-request
tacacs-server key [key]

Nichts auf VTY für die Anmeldung. Ich hoffe es hilft.

modisch
quelle