• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Xác thực bằng TACACS kết hợp với local

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Xác thực bằng TACACS kết hợp với local

    Hi cả nhà.

    Em là thành viên mới của diễn đàn. Trước tiên xin gửi lời chào cả nhà và chúc cả nhà mạnh khỏe.:103:

    Em xin hỏi mọi người một chút. Thông thường khi triển khai xác thực trên router, có thể xác thực bằng local (Database ngay trên router, hoặc dùng RADIUS, TACACS), vậy có cách nào kết hợp cả 2 phương pháp này ko ? Trong trường hợp TACACS server có lỗi, thì còn cách dự phòng để vào router nưa chứ?
    Đứng yên thì sẽ bị thụt lùi...

  • #2
    Chào bạn,

    Câu lệnh bên dưới phù hợp cho nhu cầu của bạn:

    Router(config)#aaa authentication login default group tacacs+ group radius local

    Nếu server để chứng thực bằng cho user bằng tacacs lỗi -> chứng thực bằng radius server (Nếu lỗi tiếp tục)->sẽ chứng thực bằng username + password trong local.
    Nếu server chứng thực cho user bằng tacacs vẫn chạy nhưng bạn gõ sai thông tin username + password thì truy cập sẽ bị cấm.
    Last edited by phamminhtuan; 07-06-2010, 01:08 PM.
    Phạm Minh Tuấn

    Email : phamminhtuan@vnpro.org
    Yahoo : phamminhtuan_vnpro
    -----------------------------------------------------------------------------------------------
Trung Tâm Tin Học VnPro
149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
Tel : (08) 35124257 (5 lines)
Fax: (08) 35124314

Home page: http://www.vnpro.vn
Support Forum: http://www.vnpro.org
- Chuyên đào tạo quản trị mạng và hạ tầng Internet
- Phát hành sách chuyên môn
- Tư vấn và tuyển dụng nhân sự IT
- Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

Network channel: http://www.dancisco.com
Blog: http://www.vnpro.org/blog

Comment


  • #3
    Hi bạn.

    Trong mô hình của mình, R1 có địa chỉ là 10.33.100.10 TACACS server có địa chỉ là 10.33.10.250, trên server mình đã tạo 2 group và có 2 user thuộc 2 group này (Guest và balcony lần lượt thuộc nhóm Guest và Admin). Với cấu hình hiện tại

    enable password abc
    !
    aaa new-model
    aaa authentication login default group tacacs+
    aaa authorization exec default group tacacs+
    aaa session-id common
    ip subnet-zero

    tacacs-server host 10.33.100.250
    tacacs-server directed-request
    tacacs-server key keychiase
    line con 0
    line aux 0
    line vty 0 4

    Thì mình có thể telnet vào R1 bằng 1 trong 2 user nói trên. Sau khi thêm câu lệnh của bạn vào, vẫn có thể xác thực được bằng tacacs server, tuy nhiên nếu cho server này die, thì ko thể xác thực được bằng uername local được.

    User Access Verification

    Username: abc
    Password:
    % Authorization failed.
    Nó cứ toàn báo như trên.
    Đứng yên thì sẽ bị thụt lùi...

    Comment


    • #4
      hi bạn !
      - Thứ i : bạn nên tạo 1 user local trên Router bằng cmd (username abc pass ...).
      - Thứ ii : bạn muốn Server tacacs die, thì chứng thực sẽ dùng username local
      Router(config)#aaa authentication login default group tacacs+ local

      Chúc bạn thành công !

      Comment


      • #5
        Chào bạn,


        % Authorization failed.

        Bạn đã qua bước chứng thức (authentication).
        Còn lỗi báo authorization là do bạn chưa cấu hình quyền cho phần user local.

        Muốn hết báo lỗi bạn thử bỏ câu lệnh aaa authorization exec default group tacacs+ là hết báo lỗi ngay.
        Phạm Minh Tuấn

        Email : phamminhtuan@vnpro.org
        Yahoo : phamminhtuan_vnpro
        -----------------------------------------------------------------------------------------------
        Trung Tâm Tin Học VnPro
        149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
        Tel : (08) 35124257 (5 lines)
        Fax: (08) 35124314

        Home page: http://www.vnpro.vn
        Support Forum: http://www.vnpro.org
        - Chuyên đào tạo quản trị mạng và hạ tầng Internet
        - Phát hành sách chuyên môn
        - Tư vấn và tuyển dụng nhân sự IT
        - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

        Network channel: http://www.dancisco.com
        Blog: http://www.vnpro.org/blog

        Comment


        • #6
          Hi các bạn.

          Rát cảm ơn mọi người đã hỗ trợ, mình đã làm được như mong muốn. Xin hỏi mọi người một câu nữa. Nếu như trong mô hình của mình, nếu có thêm R2 cùng đặt dải IP 10.33.100.x khi thực hiện telnet đến R1, thì quá trình từ R2 đến R1 là hoàn toàn unsecure, mình đã dùng Wireshark để bắt gói tin và hoàn toàn có thể bắt được username/password này (username/password để xác thực trên TACACS). Mình đã nghĩ đến giải pháp là trên TACACS cấu hình chỉ cho phép R1 nhận phiên từ những IP được chỉ định, nhưng có giải pháp nào cho vấn đề này ko ạ ?
          Đứng yên thì sẽ bị thụt lùi...

          Comment


          • #7
            Chào bạn,

            Muốn người khác không bắt gói được thì bạn cấu hình line vty cho máy client của bạn cấu hình từ xa bằng ssh.
            Muốn xác định lớp mạng nào được connect vào cấu hình từ xa thì dùng access-class

            ip access-list standard SSH
            permit 192.168.1.0 0.0.0.255

            line vty 0 4
            access-class SSH in
            transport input ssh
            Phạm Minh Tuấn

            Email : phamminhtuan@vnpro.org
            Yahoo : phamminhtuan_vnpro
            -----------------------------------------------------------------------------------------------
            Trung Tâm Tin Học VnPro
            149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
            Tel : (08) 35124257 (5 lines)
            Fax: (08) 35124314

            Home page: http://www.vnpro.vn
            Support Forum: http://www.vnpro.org
            - Chuyên đào tạo quản trị mạng và hạ tầng Internet
            - Phát hành sách chuyên môn
            - Tư vấn và tuyển dụng nhân sự IT
            - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

            Network channel: http://www.dancisco.com
            Blog: http://www.vnpro.org/blog

            Comment


            • #8
              Hi, cảm ơn bạn đã hỗ trợ. Cho mình hỏi, khi triển khai AAA, thường cấu hình thêm Syslog server, vậy thông thường sử dụng phần mềm gì tại server ? Minh có search trên mạng thấy có KIWI, có soft nào free ko ạ ?

              Thanks.
              Đứng yên thì sẽ bị thụt lùi...

              Comment


              • #9
                Chào mọi người!
                Cho em hỏi 1 chút lạc đề! Em có 1 router được cấu hình gồm 1 user admin privi 15 và 1 user client privi 7. Khi dùng bình thường thì client sẽ sử dụng, xin hỏi admin khi truy cập router và muốn log lại nhưng câu lệnh mà user client đã cấu hình thì có thể dùng cách nào ?
                Thanks !
                Lê Hồng Nam
                NIIT-iPMAC
                [ Add: 6rd Floor, 142 Doi Can, Hanoi, Vietnam ]
                [ CCNA-CCNP-CCIE-MITP-CEH-LINUX Training Program ]
                [ NIIT-Java-.NET-PHP&MySQL Training Program]
                Website: www.ipmac.vn

                NET YOUR WORK!

                Comment

                • Working...
                  X