সিসকো সুইচে এএএ / টিএএএসিএস + পাসওয়ার্ড দ্বিতীয় পাসওয়ার্ড প্রম্পটে সর্বদা ব্যর্থ হয়

যখনই AAA / TACACS + ব্যবহার করে কোনও নেটওয়ার্ক ডিভাইসে লগইন করা হয়, আমি যদি ব্যবহারকারীর নাম প্রম্পটের পরে পাসওয়ার্ড প্রম্পটে ফ্যাট-আঙুল করি তবে দ্বিতীয় পাসওয়ার্ড প্রম্পটটি সর্বদা ব্যর্থ হয় পাসওয়ার্ডটি সঠিক থাকলেও। আমাকে আবার ব্যবহারকারীর প্রম্পটের জন্য অপেক্ষা করতে হবে, এবং অবশ্যই তাৎক্ষণিকভাবে নিম্নলিখিত পাসওয়ার্ড প্রম্পটে পাসওয়ার্ডটি সঠিকভাবে পেতে হবে। অন্য কথায়, আমি যখনই দ্বিতীয় পাসওয়ার্ড প্রম্পট দেখি, এটি কার্যকর হবে না।

স্যানিটাইজড মিথস্ক্রিয়া এবং নীচে কনফিগারেশন দেখুন।

ব্যবহারকারীর অ্যাক্সেস যাচাইকরণ
ব্যবহারকারীর নাম: ব্যবহারকারীর নাম
পাসওয়ার্ড:

পাসওয়ার্ড: (সর্বদা এখানে ব্যর্থ হয়)
% অ্যাক্সেস অস্বীকৃত

ব্যবহারকারীর অ্যাক্সেস যাচাইকরণ
ব্যবহারকারীর নাম: ব্যবহারকারীর নাম
পাসওয়ার্ড:

লাইন 1 (সাইটের নাম) এ সাইট-rack-agg2.example.net এর সাথে সংযুক্ত।
s-সাইট-আলনা-agg2 #

এই আচরণের জন্য অ্যাকাউন্টে যাওয়ার দ্বিতীয় পাসওয়ার্ড প্রম্পটের সাথে কী আলাদা হতে পারে?

আমার কাছে টিপিক্যাল এএএ এবং সম্পর্কিত কনফিগারেশন হ'ল:

আআ নতুন মডেল
এএএ প্রমাণীকরণ লগইন ডিফল্ট গ্রুপ tacacs + স্থানীয় লাইন
এএএ প্রমাণীকরণ লগইন কনসোল কিছুই
এএএ প্রমাণীকরণ ডিফল্ট গোষ্ঠী ট্যাক্যাকগুলি সক্ষম করে
এএএ অনুমোদন কার্যকর ডিফল্ট গোষ্ঠী ট্যাক্যাক্স + স্থানীয় যদি-প্রমাণিত হয়
এএএ অনুমোদনের আদেশ 1 টি ডিফল্ট গোষ্ঠী ট্যাকাক্স + স্থানীয় যদি-অনুমোদিত হয়
এএএ অনুমোদনের জন্য 7 টি ডিফল্ট গোষ্ঠী ট্যাকাক্স + স্থানীয়-যদি প্রমাণিত হয় commands
এএএ অনুমোদনের 15 টি ডিফল্ট গোষ্ঠী ট্যাকাক্স + স্থানীয়-যদি অনুমোদিত হয় তবে commands
এএএ অ্যাকাউন্টিং এক্সিকিউটর ডিফল্ট স্টার্ট-স্টপ গ্রুপ ট্যাক্যাকস +
এএ অ্যাকাউন্টিং কমান্ড 0 ডিফল্ট স্টার্ট-স্টপ গ্রুপ ট্যাকাকস +
এএ অ্যাকাউন্টিং কমান্ড 1 টি ডিফল্ট স্টার্ট-স্টপ গ্রুপ ট্যাকাকস +
এএ অ্যাকাউন্টিং কমান্ড 7 ডিফল্ট স্টার্ট-স্টপ গ্রুপ ট্যাকাকস + commands
এএ অ্যাকাউন্টিং কমান্ড 15 ডিফল্ট স্টপ-স্টপ গ্রুপ ট্যাক্যাকস +
এএ অ্যাকাউন্টিং সিস্টেম ডিফল্ট স্টপ-স্টপ গ্রুপ ট্যাক্যাকস +
!
আইপি ট্যাকাক্স উত্স-ইন্টারফেস লুপব্যাক ০
ট্যাকাক্স-সার্ভার হোস্ট-প্রিমিয়ারিপ্রিমোভড- একক সংযোগ
ট্যাকাক্স-সার্ভার হোস্ট-সেকেন্ডারিআইপ্রেমোভড- একক সংযোগ
tacacs- সার্ভারের সময়সীমা 10
tacacs- সার্ভার নির্দেশিত-অনুরোধ
ট্যাকাক্স-সার্ভার কী 7-সরানো-
!
লাইন কন 0
 লগইন প্রমাণীকরণ কনসোল
লাইন vty 0 4
 অবস্থান
 নির্বাহ-সময়সীমা 60 0
 পাসওয়ার্ড 7-সরানো-
 পরিবহন ইনপুট টেলনেট ssh

আপনি এটি চেষ্টা করার সময় আমি আপনার TACACS + সার্ভারে একটি ডিবাগ করব।

আমি ধরে নেব যে আপনি কেবলমাত্র টিএএএসিএস প্রমাণীকরণ ব্যবহার করতে চান এবং এটি যদি সার্ভারটিতে অ্যাক্সেস না করতে পারে তবে কেবল স্থানীয় লগইনগুলিতে ফিরে যেতে চান?

এটি ব্যবহার করার চেষ্টা করুন:
aaa authentication login default group tacacs+ line
aaa authentication enable default group tacacs+ enable

এই সাইটটিও দেখুন: এর কয়েকটি ভাল উদাহরণ এবং ব্যাখ্যা রয়েছে

http://my.safaribooksonline.com/book/networking/cisco-ios/0596527225/tacacsplus/i13896_ হেডা _4_2 # X2ludGVybmFsX0h0b0xWaWV3P3htbGlkPTA1OTY1MjcyMjUlMkZpNtzNjzNjznjnXjnxjnxjnxjnxjnxxncznXjnx

আমার অনুমান যেহেতু আপনার "স্থানীয়" কীওয়ার্ড রয়েছে:
aaa authentication login default group tacacs+ local line

TACACS + প্রমাণীকরণ একটি ব্যর্থতা দেয়, তাই রাউটার স্থানীয় প্রমাণীকরণের চেষ্টা করে। আমার ধারণা আপনারা আমাদের line vtyস্যানিটাইজড কনফিগারেশন সরবরাহ করবেন। যদি তোমার থাকে
line vty 0 15
login local

তারপরে এটি একটি ব্যবহারকারীর নাম / পাসওয়ার্ড প্রমাণীকরণ করবে অন্যথায় এটির পাসওয়ার্ড

আমি মনে করি আপনার কনফিগারেশনটি বেশ বিপজ্জনক এবং যদি আপনি 'সক্রিয় / লাইন' বা 'স্থানীয়' কে ফ্যালব্যাক হিসাবে ব্যবহার করেন তবে সঠিক উত্তর স্থানীয়, কখনও 'সক্ষম' এবং বিশেষত কখনই কোনও কিছুর জন্য 'লাইন' ব্যবহার করেন না (লাইন দুই- ওয়ে 'এনক্রিপ্টড' একমুখী হ্যাশ নয়)।

পরিবর্তে আমি এই কনফিগারেশনটি সুপারিশ করব:

aaa new-model
! uses tacacs, fallsback to local user if tacacs not working
aaa authentication login default group tacacs+ local
! user gets enabled by tacacs or by enable password
aaa authentication enable default group tacacs+ enable
! console user is authorized as well (gets enabled, if such permission)
aaa authorization console
! configuration commands are authorized as well as exec commands (Good to prevent dangerous commands)
aaa authorization config-commands
! user privilege level is recovered from tacacs or from local account
aaa authorization exec default group tacacs+ local
! level 15 commands are authorized (you really only need this) 
aaa authorization commands 15 default group tacacs+ if-authenticated 
! level 1, 15 commands are logged (you really only need these two)
aaa accounting commands 1 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
!
! fallback user consulted only when tacacs is broken
username sikrit privilege 15 secret <password>

ট্যাক্যাকস কাজ না করাকালীন 'সিক্রিট' ব্যবহারকারীর ব্যবহার করতে হবে (টিএএসিএসিএস উত্তর দিলে এটি ব্যবহার করা যায় না) ভিটিওয়াইয়ের অধীনে 'লাইন' পাসওয়ার্ডের প্রয়োজন নেই, কারণ এটি কখনও পরামর্শ করা হয়নি। 'সক্ষম' পাসওয়ার্ডের কোনও প্রয়োজন নেই, কারণ এটি কখনও পরামর্শ করা হয় না। আপনি যদি অ-সক্ষম-করা ব্যাকআপ ব্যবহারকারী চান তবে 'সুবিধামত 1' দিয়ে অন্য একটি তৈরি করুন।
তবে আমি 'সক্ষম' এর জন্য সমর্থন যোগ করেছি যদি আপনি কোনও কারণে কোনও কারণে এটি ব্যবহার করতে চান।

যদি আপনি ওওবি ব্যবহার করে থাকেন এবং ওওবি অ্যাক্সেসটি ইতিমধ্যে সুরক্ষিত / প্রমাণীকৃত হয় তবে আপনি OOB ব্যবহারকারীকে সর্বদা স্থানীয় প্রমাণীকরণ ব্যবহারের অনুমতি দিতে চাইতে পারেন , কেবলমাত্র টিএএসিএসিএস নষ্ট হয়ে গেলেও আইওএস ভুলভাবে মনে করে যে এটি না, তবে আপনি এই জাতীয় কিছু যুক্ত করতে চাইবেন :

aaa authentication login CONSOLE local
!
line con 0
 login authentication CONSOLE

আমি নিশ্চিত না যে আপনার স্থানীয় ডিভাইস কনফিগারেশনের জন্য এটি দোষারোপ করা হবে, বরং এটি আপনার TACACS সার্ভার নিজেই। টিএএএসিএসএস টিএএসিএসিএস সার্ভার থেকে ব্যবহারকারী নাম / পাসওয়ার্ড প্রম্পটটি (এবং সম্ভবত একটি বাহ্যিক পরিচয় স্টোর) ডিভাইসে প্রক্স করে, তাই আপনি যদি এসি ব্যবহার করেন (উদাহরণস্বরূপ) এবং এটি ব্যবহারকারীর অনুমোদনের জন্য এডি সাথে কথা বলার জন্য আপনার প্রয়োজন হয় ব্যবহারকারীর নাম / পাসওয়ার্ড প্রম্পটটি ডিভাইসের পরিবর্তে কোনও ডোমেন নিয়ামক থেকে আসা হিসাবে ভাবা।

আমি সম্প্রতি ঠিক এমন একটি সমস্যার মধ্যে দৌড়েছি যা ACS- এ প্যাচ দ্বারা ঠিক করা হয়েছিল - আবারও, আমি ধরে নিচ্ছি যে আপনি ACS ব্যবহার করছেন এবং এটি ব্যবহারকারীর প্রমাণ / গোষ্ঠী যাচাইকরণের জন্য AD থেকে টানছে ইত্যাদি। সিসকো বাগ আইডিটি CSCtz03211 ছিল এবং মূলত এসিএস 5.3 ডিভাইসে একক "ইউজার নেম / পাসওয়ার্ড" স্বীকৃত প্রচেষ্টা প্রতি AD তে একাধিক অথেন প্রচেষ্টা প্রেরণ করছিল। এর ফলে এমন আচরণের ফলাফল ঘটবে যেখানে কোনও ব্যবহারকারীর যদি প্রথম প্রয়াসে পাসওয়ার্ডটি ফ্যাট-ফিঙ্গার করা হয় তবে ভুল ব্যবহারকারীর নাম / পাসওয়ার্ড কম্বোয়ের একাধিক উদাহরণ AD এ প্রেরণ করা হয়েছিল এবং ব্যবহারকারীর অ্যাকাউন্টটি আসলে লক আউট হয়ে গিয়েছিল ফলে ফলস্বরূপ পরবর্তী ব্যর্থ লগইন প্রয়াসের ফলে এমনকি যদি ব্যবহারকারী তাদের ব্যবহারকারীর নাম / পাসওয়ার্ড দ্বিতীয়বার চেষ্টা করে সঠিকভাবে টাইপ করে থাকে (অবশ্যই এই আচরণটি আপনি AD এর মধ্যে ব্যবহারকারীর অ্যাকাউন্টগুলিতে লক আউট থ্রেশহোল্ডগুলির সাথে পরিবর্তিত হয়)।

বিবেচনা করার মতো কিছু (আপনার TACACS সার্ভার প্রয়োগের জ্ঞান ছাড়াই)।