Introdução
Este documento descreve o comportamento do comando aaa authentication login default local group tacacs+ em um dispositivo Cisco IOS®.
Pré-requisitos
Requisitos
A Cisco recomenda que:
- O aaa new-model é ativado no dispositivo.
Componentes Utilizados
Este documento não se restringe a versões de software e hardware específicas.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Configurar
Note: Use o Cisco CLI Analyzer do Cisco Tool Catalog para obter mais informações sobre os comandos usados nesta seção. Somente usuários registrados da Cisco têm acesso a ferramentas e informações internas da Cisco.
Configure estes comandos no dispositivo no modo de configuração global:
aaa new-model
aaa authentication login default local group tacacs+
Com apenas aaa new model configurado, a autenticação local é aplicada a todas as linhas e interfaces (exceto line con 0 da linha do console).
Aqui, a lista de métodos AAA é aplicada em todas as tentativas de login em todas as linhas do dispositivo, onde o primeiro banco de dados local é verificado e, em seguida, se necessário, o servidor TACACS (Terminal Access Controller Access Control System) é tentado.
username cisco privilege 15 password 0 cisco
Banco de dados de usuário local:
tacacs-server host 10.20.220.141
tacacs-server key cisco
O servidor TACACS agora está configurado.
Verificar
Use esta seção para confirmar se a sua configuração funciona corretamente.
- Habilite Debug TACACS e Debug AAA Authentication no dispositivo em teste.
RUT#show debug
General OS:
TACACS access control debugging is on
AAA Authentication debugging is on
2. Execute um telnet no dispositivo:
RUT#show ip interface brief | exclude unassigned
Interface IP-Address OK? Method Status Protocol
FastEthernet0/1 10.197.235.96 YES DHCP up up
Loopback0 192.168.1.2 YES manual up up
RUT#telnet 192.168.1.2
Trying 192.168.1.2 ... Open
User Access Verification
Username: cisco
*Jul 23 09:34:37.023: AAA/BIND(0000001E): Bind i/f
*Jul 23 09:34:37.023: AAA/AUTHEN/LOGIN (0000001E): Pick method list 'default'
Password:
RUT>
Você percebe que ele não tentou acessar o servidor TACACS, pois o nome de usuário cisco foi encontrado localmente.
Agora, se você tentar usar uma credencial que não esteja configurada localmente na caixa:
RUT#telnet 192.168.1.2
Trying 192.168.1.2 ... Open
User Access Verification
Username:
*Jul 23 09:36:01.099: AAA/BIND(0000001F): Bind i/f
*Jul 23 09:36:01.099: AAA/AUTHEN/LOGIN (0000001F): Pick method list 'default'
Username: cisco1
*Jul 23 09:36:11.095: TPLUS: Queuing AAA Authentication request 31 for processing
*Jul 23 09:36:11.095: TPLUS: processing authentication start request id 31
*Jul 23 09:36:11.095: TPLUS: Authentication start packet created for 31(cisco1)
*Jul 23 09:36:11.095: TPLUS: Using server 10.20.220.141
*Jul 23 09:36:11.095: TPLUS(0000001F)/0/NB_WAIT/47A14C34: Started 5 sec timeout
*Jul 23 09:36:16.095: TPLUS(0000001F)/0/NB_WAIT/47A14C34: timed out
*Jul 23 09:36:16.095: TPLUS(0000001F)/0/NB_WAIT/47A14C34: timed out, clean up
*Jul 23 09:36:16.095: TPLUS(0000001F)/0/47A14C34: Processing the reply packet
% Authentication failed
Você pode ver que ele tenta acessar o servidor TACACS 10.20.220.141. É um comportamento padrão esperado. Não há um nome de usuário cisco1 configurado no servidor TACACS, portanto, o resultado é Authentication failed.
Se o dispositivo tiver o grupo padrão de login de autenticação aaa tacacs+ local na configuração, sua primeira preferência será TACACS. Se o TACACS estiver acessível, mas nenhum usuário tiver sido configurado nele, ele não fará fallback e tentará pesquisar no banco de dados local. Em vez disso, ele exibe a mensagem Authentication failed .
Troubleshooting
No momento, não há informações específicas disponíveis para solucionar esse problema de configuração.
Informações Relacionadas
Feedback