Элтекс

Добрый день.
Есть задача настроить radius авторизацию на cli и web, чтобы при недоступности radius-сервера, можно было авторизоваться локально.
На данный момент настроено таким образом

aaa authentication enable default radius enable
aaa authentication login default radius local
aaa authentication mode chain
enable password level 15 <password>
username Admin password <password> privilege 15
radius-server host X.X.X.X key <key>
radius-server retransmit 2
radius-server timeout 3

При этом, авторизация через telnet или ssh работает. Но есть нюанс, не работает цепочка - использовать локальную учетную запись только при недоступности radius сервера.

А с web интерфейсом происходят чудеса - через него можно залогиниться под любым пользователем без пароля, при чем доступны админские права.
Подскажите, кто сталкивался, это решаемо?

Добрый день.
При разлогинивании из веб интерфейса в течение 1 минуты действует таймаут разлогинивания. В это время действительно можно зайти с этой же машины под другим пользователем. Если подождете минуту, то убедитесь, что веб пускает только под локальным пользователем и пользователем радиуса (как и telnet с ssh)

Евгений Т,
Спасибо за информацию. Да, действительно, по прошествии минуты, могу заходить только через радиус. Вопрос - можно ли этот таймаут уменьшить или вообще убрать?

А по второму вопросу, что на cli не работает последовательность способов авторизации. Это глюк или фича?

Но есть нюанс, не работает цепочка - использовать локальную учетную запись только при недоступности radius сервера.

Проглядел. Настройте.
aaa authentication mode break

Вопрос - можно ли этот таймаут уменьшить или вообще убрать?

В будущем планируется убрать, но пока в плане ближайщих работ не стоит.

Евгений Т,
Спасибо еще раз, всё получилось.
Еще маленький вопрос. Планируется ли возможность пользования web для пользователя с правами мониторинга?

В ближайших планах нет.

Евгений Т писал(а):

Вопрос - можно ли этот таймаут уменьшить или вообще убрать?

В будущем планируется убрать, но пока в плане ближайщих работ не стоит.

Люди добрые !!! Помогите , в сети кол-во элтексов все больше и больше .Периодически при заходе через telnet ,приходиться ждать , пока пройдет таймаут при вводе неправильного пароль . Ради бога сделайте изменение значений таймаутов или режим login quiet-mode добавьте , пжл !!!!

А чем ssh не угодил?

fr33man писал(а):А чем ssh не угодил?

А разница есть , в плане таймаутов ?

Sergye писал(а):

fr33man писал(а):А чем ssh не угодил?

А разница есть , в плане таймаутов ?

Если пароль введён неправильно, то без тайм-аута есть ещё пара попыток на ввод.

fr33man писал(а):

Sergye писал(а):

fr33man писал(а):А чем ssh не угодил?

А разница есть , в плане таймаутов ?

Если пароль введён неправильно, то без тайм-аута есть ещё пара попыток на ввод.

ОК. Спасибо за инфу .

Однако ....

Исторически сложилось , что сеть управления вынесена в отдельный влан и на комутатор доступа
"ходим " по telnet-У а не по ssh ..Хочу " нормальный telnet " .

Люди !!! Дайте ответ ! Плюшки с таймерами будут или будем еще год ждать нормальной реализации ?!

Люди !!! Дайте ответ ! Плюшки с таймерами будут или будем еще год ждать нормальной реализации ?!

Перечитал тему, не понял из контекста про какие таймеры идет речь?

Александр Селезнев писал(а):

Люди !!! Дайте ответ ! Плюшки с таймерами будут или будем еще год ждать нормальной реализации ?!

Перечитал тему, не понял из контекста про какие таймеры идет речь?

Периодически при заходе через telnet ,приходиться ждать , пока пройдет таймаут при вводе неправильного пароль . Ради бога сделайте изменение значений таймаутов или режим login quiet-mode добавьте , пжл !!!!


login delay определяет время задержки перед разрешением повторной регистрации.
login quiet-mode access-class - адреса, которые не должны быть блокированы при регистрации