Tacacs VRF認証

7

OS 3.4.1を搭載した新しいSupervisor7を入手しました。tacacsを使用して認証を構成しようとしていますが、それを機能させる方法を理解できません。この構成は他のスイッチでも機能しますが、この4500では機能しません。

aaa new-model
username cisco privilege 15 secret 5 $1$qLGb$VQ7BdaJEpzGFqPeC979Uh1
tacacs-server host 10.4.25.8 key ourKeyIsSecret
aaa authentication login default group tacacs+ local
line vty 0 15
 login authen default

フォールバックパスワードでのみログインできます。スイッチはtacacsに接続しようとさえしていません。

誰か助けてもらえますか?

cisco  cisco-catalyst  aaa  vrf  tacacs 
ナチョス
ソース
1
tacacs +サーバーにpingできますか? show tacacsだけでなく、いくつかの情報を明らかにする必要がありdebug tacacs eventsます。
generalnetworkerror 2013
#ping vrf mgmtVrf 10.4.25.8 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.4.25.8, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
ナチョス2013

回答:

8

この構成は他のスイッチでも機能しますが、この4500では機能しません。

オンボードのSup7 FastEthernetポートを使用しているため、これが問題です。

aaa authentication login default group tacacs+ local
                                 ^^^^^^^^^^^^^

Sup7 OOBポートはVRFにあります。したがって、VRFでTacacs +を設定する必要があります

aaa new-model
!
no tacacs-server host 10.4.25.8
!
aaa group server tacacs+ TacacsVrf
  server-private 10.4.25.8 key 7 ourKeyIsSecret
  ip vrf forwarding mgmtVrf
  ip tacacs source FastEthernet1
!
aaa authentication login default group TacacsVrf local
マイク・ペニントン
ソース
1

これは、12.2を実行する4506で使用している構成の一部です

username failsafe secret [local password]
aaa new-model
!
!
aaa authentication attempts login 3
aaa authentication fail-message ^Your fail message here.^
aaa authentication login default group tacacs+ local
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ if-authenticated 
aaa accounting exec default start-stop group tacacs+
! 
!
!
aaa session-id common
tacacs-server host [IP address]
tacacs-server timeout 10
no tacacs-server directed-request
tacacs-server key [key]

ログイン用のVTYには何もありません。それが役に立てば幸い。

トレンディ
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.