Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Cisco 2924XL Switch TACACS Problem

Frage Hardware Switche und Hubs

Mitglied: Netflag

Netflag (Level 1) - Jetzt verbinden

10.04.2010, aktualisiert 13:17 Uhr, 4911 Aufrufe, 2 Kommentare

Guten Tag,
wie schon im Betreff geschrieben habe ich Probleme TACACS auf einem Switch einzurichten.

Im Netz wurden schon einige Router mit TACACS konfiguriert und bisher funktioniert alles korrekt. Nachdem die folgenden Befehle eingegeben wurden bestehen keine Rechte mehr für die weitere Konfiguration. Gültige Userdaten werden nicht angenommen.


Befehle:
01.
aaa new-model 
02.
tacacs-server host 172.96.13.1 
03.
tacacs-server key 7 112B4B0A085BBB894D081C870F 
04.
ip tacacs source-interface vlan0999 
05.
aaa authentication login default tacacs+ local 
06.
aaa authentication enable default tacacs+ enable 
07.
aaa authentication ppp default local 
08.
aaa authorization exec tacacs+ if-authenticated 
09.
aaa authorization commands 1 tacacs+ if-authenticated 
10.
aaa authorization commands 15 tacacs+ if-authenticated 
11.
-> Fehler tritt nach dem letzten Befehl auf, vorher kann ohne Probleme weiterkonfiguriert werden.
Und hier die Konfig vom Switch:
01.
 Current configuration: 
02.
03.
version 11.2 
04.
no service pad 
05.
service password-encryption 
06.
service udp-small-servers 
07.
service tcp-small-servers 
08.
09.
hostname Switch 
10.
11.
enable secret 5 $1$R2B.$GgLP5pjY0/WHipeFutQFv/ 
12.
13.
14.
ip subnet-zero 
15.
no ip domain-lookup 
16.
17.
18.
interface VLAN1 
19.
 no ip route-cache 
20.
 shutdown 
21.
22.
interface VLAN10 
23.
 no ip route-cache 
24.
 shutdown 
25.
26.
interface VLAN999 
27.
ip address 172.17.17.4 255.255.255.248 
28.
no ip route-cache 
29.
30.
interface FastEthernet0/1 
31.
 switchport trunk encapsulation dot1q 
32.
 switchport trunk allowed vlan 1,10,999,1002-1005 
33.
 switchport mode trunk 
34.
 no cdp enable 
35.
36.
interface FastEthernet0/2 
37.
 switchport trunk encapsulation dot1q 
38.
 switchport trunk allowed vlan 1,10,999,1002-1005 
39.
 switchport mode trunk 
40.
 no cdp enable 
41.
42.
interface FastEthernet0/3 
43.
 switchport access vlan 10 
44.
 no cdp enable 
45.
46.
interface FastEthernet0/4-24 
47.
 no cdp enable 
48.
 Shutdown 
49.
50.
ip default-gateway 172.16.16.7 
51.
logging buffered 10000 debugging 
52.
no cdp run 
53.
 
54.
banner motd ^CC 
55.
Willkommen... 
56.
 
57.
^C 
58.
59.
line con 0 
60.
 password 7 7781 
61.
 login 
62.
 stopbits 1 
63.
line vty 0 4 
64.
 password 7 5112 
65.
 login 
66.
line vty 5 15 
67.
 password 7 6970 
68.
 login 
69.
70.
end
Ich habe im Netz ein par Hinweise gefunden, dass es vielleicht an den lines liegen können. Allerdings konnte beim ausprobieren kein nennenswerter Erfolg verzeichnet werden. Vielleicht weiss ja hier jemand Rat.

Ich bedanke mich für Antworen im voraus. Mit freundlichem Gruß
Mitglied: aqui
10.04.2010 um 16:12 Uhr
Mmmhhh, wenn man etwas nachdenkt ist es doch logisch und der Switch verhält sich absolut korrekt !!!
Mit dem letzen Kommando "aaa authorization commands 15 tacacs+ if-authenticated" aktivierst und erzwingst du die TACACS+ Authorisation für alle normalen Priviliged Level Kommandos.
Sowie du danach ein weiteres Kommando eingeben willst, versucht dich der Switch am Tacacs Server zu authorisieren was du aber logischerweise nicht bist !!
Damit macht der Server also genau was er soll, nämlich einem nicht authorisierten Benutzer das Eingeben von Priviliged Kommandos zu verbieten !!
Works as designed...sagt da der Network Admin !!
Logischerweise muss dies also immer das allerletze Kommando sein was du eingibst um den Benutzer TACACS authorisieren zu lassen.
Danach musst du dann immer ausloggen und dich neu anmelden.
Zuvor musst du natürlich sicherstellen, das dein Account auf dem Tacas Server korrekt angelegt ist und du authentisiert werden kannst bzw. das der Tacas Server überhaupt erreichbar ist (Ping vom Switch !)

Dies Kommando birgt also Gefahren wenn man den Cisco per Cut and Paste oder aus einem File konfiguriert, denn damit besteht die Gefahr sich den Ast abzusägen auf welchem man sitzt. Dies Kommando ist also immer das letzte was man einzugeben hat oder...
das du hinten statt "if-authenticated" eben "none" oder "local" eingibst. Letzteres erzwingt dann einen lokal konfigurierten User mit Passwort !
Bitte warten ..
Mitglied: Netflag
12.04.2010 um 13:57 Uhr
Vielen Dank für deine Antwort Aqui.

Die Befehle funktionierten alle bei anderen Geräten, weswegen ich nicht wusste was falsch sein sollte.
An der Verbindung zum TACACS Server konnte es zudem auch nicht liegen, da ein Pingtest erfolgreich war.

Lösung des Problems war mehr oder weniger dann doch einfach:
Die IOS Version des Switches war zu alt. Ich habe den Befehl
"tacacs-server key 7 112B4B0A085BBB894D081C870F "
direkt eingegeben, was allerdings nicht funktionierte da die Verschlüsselung des TACACS Keys erst ab der Version 12.2 unterstützt wird.
( Quelle: http://www.velocityreviews.com/forums/t56037-tacacs-server-key-password ... )
Habe den Key dann im Klartext eingegeben, was die Funktion der TACACS-Nutzung ermöglichte.

Nochmals vielen Dank, denke man liesst sich nochmal.

Grüße
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Netzwerkmanagement
gelöst HP 1920 24G Switch QOS-Problem bei Portzuweisung mit DHCP Relay (2)

Frage von farbschmelz zum Thema Netzwerkmanagement ...

Router & Routing
Problem - Router cisco 2821 hinter Fritzbox mit WLAN (23)

Frage von Cyberurmel zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...