Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Cisco 2924XL Switch TACACS Problem

Mitglied: Netflag

Netflag (Level 1) - Jetzt verbinden

10.04.2010, aktualisiert 13:17 Uhr, 4971 Aufrufe, 2 Kommentare

Guten Tag,
wie schon im Betreff geschrieben habe ich Probleme TACACS auf einem Switch einzurichten.

Im Netz wurden schon einige Router mit TACACS konfiguriert und bisher funktioniert alles korrekt. Nachdem die folgenden Befehle eingegeben wurden bestehen keine Rechte mehr für die weitere Konfiguration. Gültige Userdaten werden nicht angenommen.


Befehle:
01.
aaa new-model 
02.
tacacs-server host 172.96.13.1 
03.
tacacs-server key 7 112B4B0A085BBB894D081C870F 
04.
ip tacacs source-interface vlan0999 
05.
aaa authentication login default tacacs+ local 
06.
aaa authentication enable default tacacs+ enable 
07.
aaa authentication ppp default local 
08.
aaa authorization exec tacacs+ if-authenticated 
09.
aaa authorization commands 1 tacacs+ if-authenticated 
10.
aaa authorization commands 15 tacacs+ if-authenticated 
11.
-> Fehler tritt nach dem letzten Befehl auf, vorher kann ohne Probleme weiterkonfiguriert werden.
Und hier die Konfig vom Switch:
01.
 Current configuration: 
02.
03.
version 11.2 
04.
no service pad 
05.
service password-encryption 
06.
service udp-small-servers 
07.
service tcp-small-servers 
08.
09.
hostname Switch 
10.
11.
enable secret 5 $1$R2B.$GgLP5pjY0/WHipeFutQFv/ 
12.
13.
14.
ip subnet-zero 
15.
no ip domain-lookup 
16.
17.
18.
interface VLAN1 
19.
 no ip route-cache 
20.
 shutdown 
21.
22.
interface VLAN10 
23.
 no ip route-cache 
24.
 shutdown 
25.
26.
interface VLAN999 
27.
ip address 172.17.17.4 255.255.255.248 
28.
no ip route-cache 
29.
30.
interface FastEthernet0/1 
31.
 switchport trunk encapsulation dot1q 
32.
 switchport trunk allowed vlan 1,10,999,1002-1005 
33.
 switchport mode trunk 
34.
 no cdp enable 
35.
36.
interface FastEthernet0/2 
37.
 switchport trunk encapsulation dot1q 
38.
 switchport trunk allowed vlan 1,10,999,1002-1005 
39.
 switchport mode trunk 
40.
 no cdp enable 
41.
42.
interface FastEthernet0/3 
43.
 switchport access vlan 10 
44.
 no cdp enable 
45.
46.
interface FastEthernet0/4-24 
47.
 no cdp enable 
48.
 Shutdown 
49.
50.
ip default-gateway 172.16.16.7 
51.
logging buffered 10000 debugging 
52.
no cdp run 
53.
 
54.
banner motd ^CC 
55.
Willkommen... 
56.
 
57.
^C 
58.
59.
line con 0 
60.
 password 7 7781 
61.
 login 
62.
 stopbits 1 
63.
line vty 0 4 
64.
 password 7 5112 
65.
 login 
66.
line vty 5 15 
67.
 password 7 6970 
68.
 login 
69.
70.
end
Ich habe im Netz ein par Hinweise gefunden, dass es vielleicht an den lines liegen können. Allerdings konnte beim ausprobieren kein nennenswerter Erfolg verzeichnet werden. Vielleicht weiss ja hier jemand Rat.

Ich bedanke mich für Antworen im voraus. Mit freundlichem Gruß
Mitglied: aqui
10.04.2010 um 16:12 Uhr
Mmmhhh, wenn man etwas nachdenkt ist es doch logisch und der Switch verhält sich absolut korrekt !!!
Mit dem letzen Kommando "aaa authorization commands 15 tacacs+ if-authenticated" aktivierst und erzwingst du die TACACS+ Authorisation für alle normalen Priviliged Level Kommandos.
Sowie du danach ein weiteres Kommando eingeben willst, versucht dich der Switch am Tacacs Server zu authorisieren was du aber logischerweise nicht bist !!
Damit macht der Server also genau was er soll, nämlich einem nicht authorisierten Benutzer das Eingeben von Priviliged Kommandos zu verbieten !!
Works as designed...sagt da der Network Admin !!
Logischerweise muss dies also immer das allerletze Kommando sein was du eingibst um den Benutzer TACACS authorisieren zu lassen.
Danach musst du dann immer ausloggen und dich neu anmelden.
Zuvor musst du natürlich sicherstellen, das dein Account auf dem Tacas Server korrekt angelegt ist und du authentisiert werden kannst bzw. das der Tacas Server überhaupt erreichbar ist (Ping vom Switch !)

Dies Kommando birgt also Gefahren wenn man den Cisco per Cut and Paste oder aus einem File konfiguriert, denn damit besteht die Gefahr sich den Ast abzusägen auf welchem man sitzt. Dies Kommando ist also immer das letzte was man einzugeben hat oder...
das du hinten statt "if-authenticated" eben "none" oder "local" eingibst. Letzteres erzwingt dann einen lokal konfigurierten User mit Passwort !
Bitte warten ..
Mitglied: Netflag
12.04.2010 um 13:57 Uhr
Vielen Dank für deine Antwort Aqui.

Die Befehle funktionierten alle bei anderen Geräten, weswegen ich nicht wusste was falsch sein sollte.
An der Verbindung zum TACACS Server konnte es zudem auch nicht liegen, da ein Pingtest erfolgreich war.

Lösung des Problems war mehr oder weniger dann doch einfach:
Die IOS Version des Switches war zu alt. Ich habe den Befehl
"tacacs-server key 7 112B4B0A085BBB894D081C870F "
direkt eingegeben, was allerdings nicht funktionierte da die Verschlüsselung des TACACS Keys erst ab der Version 12.2 unterstützt wird.
( Quelle: http://www.velocityreviews.com/forums/t56037-tacacs-server-key-password ... )
Habe den Key dann im Klartext eingegeben, was die Funktion der TACACS-Nutzung ermöglichte.

Nochmals vielen Dank, denke man liesst sich nochmal.

Grüße
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement

Cisco ACS 5.5 TACACS Funktion - Protokollierung - Configuration Audit von den Switchen - HP Switche

Frage von Ruffy1984Netzwerkmanagement5 Kommentare

Hallo Community, hallo Aqui, ich habe mal wieder eine Frage. Ich habe folgendes im Einsatz: - Cisco ACS ( ...

Router & Routing

CISCO CCNP-SWITCH Prüfung

gelöst Frage von edvmaedchenfuerallesRouter & Routing3 Kommentare

Hallo. Heute hat es bei meiner Prüfung leider knapp nicht gereicht und ich darf es nochmal versuchen. Eine generelle ...

Switche und Hubs

Cisco Switch Oberfläche leer

gelöst Frage von ForgottenRealmSwitche und Hubs8 Kommentare

Moinmoin, bei meinem Cisco SG-300 ist seit Ewigkeiten die Weboberfläche praktisch tot, die Eingabefelder für Login und Passwort sind ...

Sicherheit

Kritische Sicherheitslücke in Cisco-Switches

Information von kgbornSicherheit

Falls ihr Cisco-Switches in eurer Firmenumgebung administriert, heißt es nachsehen. In diversen Modellen gibt es eine Remote Code Execution-Schwachstelle. ...

Neue Wissensbeiträge
Server-Hardware
HP iLO ist gefährdet (iLO 4))
Tipp von AlFalcone vor 8 StundenServer-Hardware

Gemäss Twitter und Heise gibt es eine Angriffsmöglichkeit auf iLO Quelle: iLO ist gefährdet

CMS
Erneut kritische Zero-Day-Lücke in Drupal
Tipp von Reini82 vor 17 StundenCMS

Laut einem Bericht auf t3n gibt es eine Schwere Sicherheitslücke in Drupal die auch schon ausgenutzt wird. Betroffen sind ...

Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 1 TagSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 1 TagWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

Heiß diskutierte Inhalte
Windows Server
Alten DC entfernen
gelöst Frage von smartinoWindows Server27 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...

Ausbildung
Wie gelingt ein guter Einstieg in die FiSi-Ausbildung? (Umschulung)
Frage von SiAnKoAusbildung27 Kommentare

Schönen guten Tag, ich bin SiAnKo und habe seit dem 1.04.2018 eine Umschulung als FiSi angefangen. Ich möchte natürlich ...

Batch & Shell
Mit Powershell den Inhalt einer Excel mit einer Text Datei abgleichen
gelöst Frage von Bommi1961Batch & Shell21 Kommentare

Hallo zusammen, ich muss den Inhalt einer Excel Datei (Mappe1) mit dem Daten einer Text Datei abgleichen. Die Daten ...

Router & Routing
Subnetzmaske vergrößern
gelöst Frage von groovesurferRouter & Routing18 Kommentare

Hallo, hat jemand schonmal getestet was passiert, wenn man die Subnetzmaske bei laufendem Betrieb (wenn user im Netzwerk verbunden ...