TACACS+ enable на MES3124F

[yman]

Доброго дня.
Есть MES3124F c ПО 2.5.45. Задаю аутентификацию на enable через TACACS+ таким методом:

Код: Выделить всё

aaa authentication enable default tacacs enable
enable password 12345

В конфиге TACACS+ делаю пользователя:

Код: Выделить всё

user="$enab15$" {
    member = leadeng
    login = des "xxxxx"
    enable = des "xxxxx"
}

Если я логинюсь на свич по SSH непривелегированным пользователем (который попадает в USER Mode), делаю enable и ввожу локальный enable пароль (12345), я получаю доступ в enable. При этом в логах TACACS вижу:

Код: Выделить всё

Dec  8 16:59:04 icinga tac_plus[17419]: login failure: $enab15$ 10.128.100.38 (10.128.100.38) unknown-port

То есть TACACS отбил доступ потому что пароль неверный, свич сравнил пароль с локальной настройкой enable и дал доступ, хотя не должен был.
В аналогичной ситуации Cisco SPS224G4 (small buisness) не дает получить доступ к enable.
И вопрос в тему, а почему нельзя отправлять нормальный username и обеспечить per-user enable пароль?

[Евгений Т]

Добрый день.
Добавьте в конфиг
aaa authentication mode break

[yman]

Странное решение на мой вкус, но работает. Спасибо.

[Евгений Т]

Это один из режимов работы. Подробнее о нем можете прочесть в документации.