タグ付けされた質問 「aaa」

AAA / TACACS +を使用してネットワークデバイスにログインするときはいつでも、ユーザー名のプロンプトの後にパスワードプロンプトをファットフィンガーすると、パスワードが正しい場合でも2番目のパスワードプロンプトが常に失敗します。ユーザー名のプロンプトをもう一度待つ必要があり、その直後の最初のパスワードプロンプトで正しいパスワードを取得する必要があります。つまり、2番目のパスワードプロンプトが表示されても、機能しません。 以下のサニタイズされた相互作用と設定を参照してください。 ユーザーアクセスの確認 ユーザー名：ユーザー名 パスワード： パスワード：（常にここで失敗します） ％ アクセスが拒否されました ユーザーアクセスの確認 ユーザー名：ユーザー名 パスワード： 1行目（サイト名）でs-site-rack-agg2.example.netに接続されています。 s-site-rack-agg2＃ この動作を説明するための2番目のパスワードプロンプトと何が違うのでしょうか？ 私が持っている典型的なAAAおよび関連する構成は次のとおりです。 AAA新型 aaa authentication login default group tacacs + local line aaa authentication login CONSOLE none aaa authentication enable default group tacacs + enable aaa authorization execデフォルトグループtacacs +ローカルif-authenticated aaa承認コマンド1つのデフォルトグループtacacs +ローカルif-authenticated aaa authorizationコマンド7デフォルトグループtacacs +ローカルif-authenticated …

9 cisco  cisco-ios  aaa 

ピアを設定するときに（通常はIPを使用します）暗号マップでFQDNを使用できますか。また、サーバーグループでLDAPサーバーまたはその他のAAAサーバーを定義するときにFQDNを使用できますか？どちらの場合も、FQDNは外部DNSサーバー（FQDNオブジェクト）への呼び出しによって解決する必要があります。 答えが「はい」の場合、その方法の簡単な例を提供してください。ACLでFQDNを使用し、外部DNSを設定し、ASAがそれらを適切に解決していることを確認する方法をすでに知っています。

8 cisco  cisco-asa  firewall  aaa 

簡単な問題があります。ログイン時のユーザー名に基づいて、ワイヤレスユーザーを特定のビジネスWebサイトに制限したいと考えています。ワイヤレスデバイスには、VoIP電話、携帯電話、ラップトップ、バーコードスキャナー、タブレットなど、さまざまな種類があります。 次のすべてのWebサイトカテゴリがあり、ユーザーの送信元アドレスにSSIDとVLANが割り当てられているとします。 インターネット（SSID-Internet、Vlan101） 音声（SSID-インターネット、Vlan102） アカウンティング（SSID-Business、Vlan103） HR（SSID-Business、Vlan104） インベントリ（SSID-Business、Vlan105） リサーチ（SSID-Business、Vlan106） 品質保証（SSID-Business、Vlan107） 製造（SSID-Business、Vlan108） 各ユーザーは、Windowsログインを使用してワイヤレスネットワークへの認証を行う必要があるかもしれませんが、特定のサービスにしかアクセスできません。いくつかの例： User1：SSID-VoiceにVoIP電話を使用してWindows資格情報を使用してログインし、この電話からのみ音声ネットワークにアクセスできます User1：SSID-Businessにラップトップを使用してWindows資格情報を使用してログインし、彼のラップトップからのみアカウンティングWebサイトにアクセスできます User1：SSID-Internetに携帯電話を使用してWindows資格情報を使用してログインし、プロキシ経由でのみインターネットにアクセスできます。 User2：VoIP電話を使用してWindows資格情報を使用してSSID-Voiceにログインし、自分の電話からのみ音声ネットワークにアクセスできます User2：Windows資格情報を使用してバーコードスキャナーを使用してSSID-Businessにログインし、彼のバーコードスキャナーからのみインベントリWebサイトにアクセスできます User2：Windows資格情報を使用して携帯電話でSSID-Internetにログインし、プロキシ経由でのみインターネットにアクセスできます。 すべてのユーザーが携帯電話でSSID-Internetに、Wi-Fi電話でSSID-Voiceにログインできる必要があります。これは、mac-addressフィルタリングを使用すれば十分簡単に​​思えます。ファイアウォールを使用して、VLAN内のユーザーがアクセス制限を超えないようにします。 問題は、多くのSSIDを作成したくないため、SSID-Businessの異なるVLANの数が難しいことです。ユーザーがSSID-Businessにログインするときに、いくつかの異なるVLANにユーザーを割り当てたいと考えています。Cisco ISEおよびCisco ACSはこれを実行できますか？その場合、Cisco ISE、Cisco ACS、およびWLCでどの機能を使用する必要がありますか？ユーザーごとに1つのWindowsユーザー名しかない場合、これらの機能はすべて機能しますか？ 私たちのWLCは、7.4を実行する5508です。Cisco ACS 5とCisco ISE 1.2があります。

8 cisco  wireless  firewall  wlc  aaa 

OS 3.4.1を搭載した新しいSupervisor7を入手しました。tacacsを使用して認証を構成しようとしていますが、それを機能させる方法を理解できません。この構成は他のスイッチでも機能しますが、この4500では機能しません。 aaa new-model username cisco privilege 15 secret 5 $1$qLGb$VQ7BdaJEpzGFqPeC979Uh1 tacacs-server host 10.4.25.8 key ourKeyIsSecret aaa authentication login default group tacacs+ local line vty 0 15 login authen default フォールバックパスワードでのみログインできます。スイッチはtacacsに接続しようとさえしていません。 誰か助けてもらえますか？

7 cisco  cisco-catalyst  aaa  vrf  tacacs