TACACS+ enable на MES3124F
Добавлено: 08 дек 2016 17:25
Доброго дня.
Есть MES3124F c ПО 2.5.45. Задаю аутентификацию на enable через TACACS+ таким методом:
В конфиге TACACS+ делаю пользователя:
Если я логинюсь на свич по SSH непривелегированным пользователем (который попадает в USER Mode), делаю enable и ввожу локальный enable пароль (12345), я получаю доступ в enable. При этом в логах TACACS вижу:
То есть TACACS отбил доступ потому что пароль неверный, свич сравнил пароль с локальной настройкой enable и дал доступ, хотя не должен был.
В аналогичной ситуации Cisco SPS224G4 (small buisness) не дает получить доступ к enable.
И вопрос в тему, а почему нельзя отправлять нормальный username и обеспечить per-user enable пароль?
Есть MES3124F c ПО 2.5.45. Задаю аутентификацию на enable через TACACS+ таким методом:
Код: Выделить всё
aaa authentication enable default tacacs enable
enable password 12345В конфиге TACACS+ делаю пользователя:
Код: Выделить всё
user="$enab15$" {
member = leadeng
login = des "xxxxx"
enable = des "xxxxx"
}Если я логинюсь на свич по SSH непривелегированным пользователем (который попадает в USER Mode), делаю enable и ввожу локальный enable пароль (12345), я получаю доступ в enable. При этом в логах TACACS вижу:
Код: Выделить всё
Dec 8 16:59:04 icinga tac_plus[17419]: login failure: $enab15$ 10.128.100.38 (10.128.100.38) unknown-portТо есть TACACS отбил доступ потому что пароль неверный, свич сравнил пароль с локальной настройкой enable и дал доступ, хотя не должен был.
В аналогичной ситуации Cisco SPS224G4 (small buisness) не дает получить доступ к enable.
И вопрос в тему, а почему нельзя отправлять нормальный username и обеспечить per-user enable пароль?