TACACS+ - Cisco Router - аварийное переключение на локальную базу данных не работает должным образом
У меня работает TACACS+, и теперь я пытаюсь настроить его так, чтобы он был аварийно переключаться локально, если сервер TACACS+ недоступен.
Моя цель состоит в том, чтобы сначала проверить сервер TACACS, а затем перейти на другой, если с ним невозможно связаться.
Насколько я понимаю, приведенная ниже строка конфигурации позволит добиться этого со словом "local" после ПОСЛЕ команды "group tacacs+" для достижения этой цели:
ааа аутентификация логин vtymethod группа tacacs+ local
Тест: я отключаю службу TACACS на сервере и пытаюсь пройти аутентификацию с локальным пользователем, и мне говорят, что пользователь не входит в группу (как это было отклонено TACACS).
Я могу достичь конечной цели, как указано выше, с помощью следующей командной строки:
ааа аутентификация логин vtymethod локальная группа tacacs +
Таким образом, он проверяет, доступен ли пользователь в первую очередь локально, в первую очередь... ВСЕГДА я понимал, что если поставить его последним, это позволит переключать его при сбое, и хотелось бы, чтобы TACACS был проверен первым...
Любые советы о том, где я иду не так?
4 ответа
Я фактически уже делаю это с различными коммутаторами и маршрутизаторами Cisco. Вот соответствующие строки кода из конфигов IOS.
aaa new-model
aaa authentication login default group tacacs+ local
tacacs-server host **redacted**
tacacs-server directed-request
tacacs-server **redacted**
Как видите, да, вы следуете за "tacacs+" с "local".
Что касается продолжительности отработки отказа, то при попытке аутентификации источник TACACS должен быть недоступен маршрутизатором в течение как минимум 15 секунд (5 секунд для тайм-аута и 3 попытки связаться с сервером), прежде чем источник аутентификации изменится на локальный. https://supportforums.cisco.com/discussion/11350726/two-acs-server-failover
Локальное ключевое слово в конце правильно для аварийного переключения.
Проблема в том, что аварийное переключение не происходит мгновенно и занимает до 30 секунд.
Ясно, что при тестировании я не ждал достаточно долго, чтобы он осознал, что сервер TACACS недоступен (хотя я бы подумал, что механизм должен быть больше проверять tacacs, он дает сбой, он не проходит)
Ааа новая модель
ааа аутентификация логин {метод} группа {сервер} {запасной вариант}
да, запасной вариант должен быть локальным, чтобы использовать локальную базу данных. Возможно, руководство tac plus dev может ответить на ваш вопрос.
НАСТРОЙКА ПОЛЬЗОВАТЕЛЕЙ И ГРУПП TACACS+
Каждый пользователь может принадлежать к группе (но только к одной группе). Каждая группа, в свою очередь, может принадлежать одной другой группе и так далее до бесконечности. Пользователи и группы объявляются следующим образом. Здесь мы объявляем двух пользователей "fred" и "lily" и две группы "admin" и "staff".
Фред является членом группы "admin", а группа "admin", в свою очередь, является членом группы "staff". Лили не состоит ни в одной группе.
user = lily { # user lily не состоит ни в одной группе # и пока ничего не настроил}
user = fred { # fred является участником группы admin member = admin }
группа = администратор { # группа администратор является членом группы сотрудников = персонал}
group = staff { # group staff не является членом какой-либо группы} РЕКУРСИЯ И ГРУППЫ В общем случае, когда демон ищет значения, например пароли, он сначала проверяет, есть ли у пользователя собственный пароль. Если нет, то выясняется, принадлежит ли она к группе и, если да, есть ли у группы определенный пароль. Если нет, этот процесс продолжается по иерархии групп (группа может быть членом другой группы) до тех пор, пока не будет найдено значение или не останется больше групп. Этот рекурсивный процесс происходит для поиска дат истечения срока действия, для "секретов" pap, arap и chap, а также для параметров авторизации (см. Далее).
Таким образом, типичная методика конфигурирования состоит в том, чтобы размещать пользователей в группы и указывать в описании группы как можно больше характеристик для всей группы. Затем отдельные пользовательские объявления могут использоваться для переопределения настроек группы для выбранных пользователей по мере необходимости.
Из того, что я помню, локальный и локальный для Cisco это две разные вещи.
local будет ссылаться на объектную группу, которая называется таковой.
LOCAL относится к фактической пользовательской базе данных, хранящейся локально на устройстве Cisco.
Следовательно, ваша команда должна выглядеть следующим образом;
aaa authentication login vtymethod group tacacs+ LOCAL
Извините, похоже, это верно только для устройств ASA...