Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Hardware Switche und Hubs

GELÖST

Cisco 2924XL Switch TACACS Problem

Mitglied: Netflag

Netflag (Level 1) - Jetzt verbinden

10.04.2010, aktualisiert 13:17 Uhr, 4952 Aufrufe, 2 Kommentare

Guten Tag,
wie schon im Betreff geschrieben habe ich Probleme TACACS auf einem Switch einzurichten.

Im Netz wurden schon einige Router mit TACACS konfiguriert und bisher funktioniert alles korrekt. Nachdem die folgenden Befehle eingegeben wurden bestehen keine Rechte mehr für die weitere Konfiguration. Gültige Userdaten werden nicht angenommen.


Befehle:
01.
aaa new-model 
02.
tacacs-server host 172.96.13.1 
03.
tacacs-server key 7 112B4B0A085BBB894D081C870F 
04.
ip tacacs source-interface vlan0999 
05.
aaa authentication login default tacacs+ local 
06.
aaa authentication enable default tacacs+ enable 
07.
aaa authentication ppp default local 
08.
aaa authorization exec tacacs+ if-authenticated 
09.
aaa authorization commands 1 tacacs+ if-authenticated 
10.
aaa authorization commands 15 tacacs+ if-authenticated 
11.
-> Fehler tritt nach dem letzten Befehl auf, vorher kann ohne Probleme weiterkonfiguriert werden.
Und hier die Konfig vom Switch:
01.
 Current configuration: 
02.
03.
version 11.2 
04.
no service pad 
05.
service password-encryption 
06.
service udp-small-servers 
07.
service tcp-small-servers 
08.
09.
hostname Switch 
10.
11.
enable secret 5 $1$R2B.$GgLP5pjY0/WHipeFutQFv/ 
12.
13.
14.
ip subnet-zero 
15.
no ip domain-lookup 
16.
17.
18.
interface VLAN1 
19.
 no ip route-cache 
20.
 shutdown 
21.
22.
interface VLAN10 
23.
 no ip route-cache 
24.
 shutdown 
25.
26.
interface VLAN999 
27.
ip address 172.17.17.4 255.255.255.248 
28.
no ip route-cache 
29.
30.
interface FastEthernet0/1 
31.
 switchport trunk encapsulation dot1q 
32.
 switchport trunk allowed vlan 1,10,999,1002-1005 
33.
 switchport mode trunk 
34.
 no cdp enable 
35.
36.
interface FastEthernet0/2 
37.
 switchport trunk encapsulation dot1q 
38.
 switchport trunk allowed vlan 1,10,999,1002-1005 
39.
 switchport mode trunk 
40.
 no cdp enable 
41.
42.
interface FastEthernet0/3 
43.
 switchport access vlan 10 
44.
 no cdp enable 
45.
46.
interface FastEthernet0/4-24 
47.
 no cdp enable 
48.
 Shutdown 
49.
50.
ip default-gateway 172.16.16.7 
51.
logging buffered 10000 debugging 
52.
no cdp run 
53.
 
54.
banner motd ^CC 
55.
Willkommen... 
56.
 
57.
^C 
58.
59.
line con 0 
60.
 password 7 7781 
61.
 login 
62.
 stopbits 1 
63.
line vty 0 4 
64.
 password 7 5112 
65.
 login 
66.
line vty 5 15 
67.
 password 7 6970 
68.
 login 
69.
70.
end
Ich habe im Netz ein par Hinweise gefunden, dass es vielleicht an den lines liegen können. Allerdings konnte beim ausprobieren kein nennenswerter Erfolg verzeichnet werden. Vielleicht weiss ja hier jemand Rat.

Ich bedanke mich für Antworen im voraus. Mit freundlichem Gruß
Mitglied: aqui
10.04.2010 um 16:12 Uhr
Mmmhhh, wenn man etwas nachdenkt ist es doch logisch und der Switch verhält sich absolut korrekt !!!
Mit dem letzen Kommando "aaa authorization commands 15 tacacs+ if-authenticated" aktivierst und erzwingst du die TACACS+ Authorisation für alle normalen Priviliged Level Kommandos.
Sowie du danach ein weiteres Kommando eingeben willst, versucht dich der Switch am Tacacs Server zu authorisieren was du aber logischerweise nicht bist !!
Damit macht der Server also genau was er soll, nämlich einem nicht authorisierten Benutzer das Eingeben von Priviliged Kommandos zu verbieten !!
Works as designed...sagt da der Network Admin !!
Logischerweise muss dies also immer das allerletze Kommando sein was du eingibst um den Benutzer TACACS authorisieren zu lassen.
Danach musst du dann immer ausloggen und dich neu anmelden.
Zuvor musst du natürlich sicherstellen, das dein Account auf dem Tacas Server korrekt angelegt ist und du authentisiert werden kannst bzw. das der Tacas Server überhaupt erreichbar ist (Ping vom Switch !)

Dies Kommando birgt also Gefahren wenn man den Cisco per Cut and Paste oder aus einem File konfiguriert, denn damit besteht die Gefahr sich den Ast abzusägen auf welchem man sitzt. Dies Kommando ist also immer das letzte was man einzugeben hat oder...
das du hinten statt "if-authenticated" eben "none" oder "local" eingibst. Letzteres erzwingt dann einen lokal konfigurierten User mit Passwort !
Bitte warten ..
Mitglied: Netflag
12.04.2010 um 13:57 Uhr
Vielen Dank für deine Antwort Aqui.

Die Befehle funktionierten alle bei anderen Geräten, weswegen ich nicht wusste was falsch sein sollte.
An der Verbindung zum TACACS Server konnte es zudem auch nicht liegen, da ein Pingtest erfolgreich war.

Lösung des Problems war mehr oder weniger dann doch einfach:
Die IOS Version des Switches war zu alt. Ich habe den Befehl
"tacacs-server key 7 112B4B0A085BBB894D081C870F "
direkt eingegeben, was allerdings nicht funktionierte da die Verschlüsselung des TACACS Keys erst ab der Version 12.2 unterstützt wird.
( Quelle: http://www.velocityreviews.com/forums/t56037-tacacs-server-key-password ... )
Habe den Key dann im Klartext eingegeben, was die Funktion der TACACS-Nutzung ermöglichte.

Nochmals vielen Dank, denke man liesst sich nochmal.

Grüße
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
Cisco ACS 5.5 TACACS Funktion - Protokollierung - Configuration Audit von den Switchen - HP Switche
Frage von Ruffy1984Netzwerkmanagement5 Kommentare

Hallo Community, hallo Aqui, ich habe mal wieder eine Frage. Ich habe folgendes im Einsatz: - Cisco ACS ( ...

Router & Routing
CISCO CCNP-SWITCH Prüfung
gelöst Frage von edvmaedchenfuerallesRouter & Routing3 Kommentare

Hallo. Heute hat es bei meiner Prüfung leider knapp nicht gereicht und ich darf es nochmal versuchen. Eine generelle ...

Netzwerkmanagement
2 Cisco Switche verbinden
gelöst Frage von twicefaceNetzwerkmanagement8 Kommentare

Hallo allerseits, ich beschäftige mich seit kurzem mit Cisco Switchen (wie man sicher an meinen letzten Fragen merkt). ich ...

LAN, WAN, Wireless
Cisco - Empfehlung Switch
gelöst Frage von JuckieLAN, WAN, Wireless6 Kommentare

Hallo zusammen, wir haben folgendes Szenario: Das Firmengebäude ist in 3 Netzwerkbereiche aufgeteilt, welche mittels LWL miteinerander verbunden sind. ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 1 TagLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 2 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 2 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 2 TagenSicherheit10 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Batch & Shell
Meltdown Microsoft Prüf Script - .zip Datei leider leer
gelöst Frage von MasterBlaster88Batch & Shell13 Kommentare

Hallo zusammen, ich patche gerade unsere Windows Server bzgl. der Meltdown Lücke. Patch vorhanden, Reg Keys gesetzt Um das ...

Batch & Shell
Shell-Skript - Syntax error: Unterminated quoted string
Frage von newit1Batch & Shell13 Kommentare

Hallo Ich schreibe ein Skript das eine CSV-Datei in eine mySQL Datenbank schieben soll. Bekomme nach start des Skrips ...

E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Entwicklung
VBS: alle PDF-Dateien in einem Ordner gleichzeitig öffnen
gelöst Frage von JuweeeEntwicklung9 Kommentare

Hallo, ich habe in deiner Ordnerstruktur (.\Tagesberichte\xx.18\) mehrere dynamische PDF-Formulare (mit LCD erstellt). Die Berichtsformulare sind im Layout alle ...