1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Чт июл 24, 2025 03:50

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Эта тема закрыта, Вы не можете редактировать и оставлять сообщения в ней.  Страница 1 из 1
  [ Сообщений: 12 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
Ivan E.
СообщениеДобавлено: Вт окт 20, 2009 03:41 
Не в сети

Зарегистрирован: Пн фев 11, 2008 06:24
Сообщений: 604
Откуда: Хабаровск
Добрый день!

Может проблема уже и известна, но все же (на форуме не нашел). Прошил последней прошивкой, которая была (V4.30.B14) коммутатор DES3010FL. Настроил TACACS:
Код:
create authen server_host 172.31.1.1 protocol tacacs+ port 49 key "asdf" timeout 5 retransmit 2
config authen server_group tacacs+ delete server_host 172.31.1.1 protocol tacacs+
create authen server_host 172.31.2.1 protocol tacacs+ port 49 key "qwert" timeout 5 retransmit 2
config authen server_group tacacs+ delete server_host 172.31.2.1 protocol tacacs+
config authen server_group tacacs+ add server_host 172.31.1.1 protocol tacacs+
config authen server_group tacacs+ add server_host 172.31.2.1 protocol tacacs+
config authen_login default method tacacs+ local
config authen_enable default method tacacs+ local_enable
config authen application console login default
config authen application console enable default
config authen application telnet login default
config authen application telnet enable default
config authen application ssh login default
config authen application ssh enable default
config authen application http login default
config authen application http enable default
config authen parameter response_timeout 30
config authen parameter attempt 3
en auth

Подключаюсь к коммутатору. Успешно. Пытаюсь перейти в энабле
new-sw-1# en adm
Fail!
Fail!
Fail

Соответственно, получить права администратора не могу.
Откатился на V4.30.B12 - все работает как и раньше. Запросил в соответствующей ветке более новую прошивку, может уже починили.

ЗЫ Обидно было то, что коммутатор находился на узле. И исправить проблему получилось только сделав недоступным сервер авторизации для данного коммутатора. А дальше зашел под локальной учетной записью, которая по умолчанию имеет админскккие права.
Вернуться наверх
 Профиль  
 
Denis Evgraphov
СообщениеДобавлено: Вт окт 20, 2009 13:36 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Я протестировал ситуацию с представленными Вами настройками - у меня все корректно отработало. Проверьте, пожалуйста, настройки TACACS+ сервера в области наличия учетной записи $enable$
Вернуться наверх
 Профиль  
 
Ivan E.
 Заголовок сообщения:
СообщениеДобавлено: Чт окт 22, 2009 01:25 
Не в сети

Зарегистрирован: Пн фев 11, 2008 06:24
Сообщений: 604
Откуда: Хабаровск
Простая замена прошивки устраняет проблему! Вы уверены, что все корректно сделали? Но я все же сегодня постараюсь проверить.
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения:
СообщениеДобавлено: Чт окт 22, 2009 10:26 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Да, сейчас еще раз проверил по Вашему описанию: у меня все корректно отработало. Имеется ли у Вас возможность проверить ситуацию не удаленно, а на тестовом коммутаторе и с какой версии прошивки Вы обновлялись на 4.30.B14?
Вернуться наверх
 Профиль  
 
Ivan E.
 Заголовок сообщения:
СообщениеДобавлено: Пт ноя 13, 2009 03:14 
Не в сети

Зарегистрирован: Пн фев 11, 2008 06:24
Сообщений: 604
Откуда: Хабаровск
Вот и появилось время продолжить разбирательства. Аналогичную проблему обнаружил на DGS-3612G с прошивкой 2.52.B44. Посотмрел лог tacacs сервера и увидел интересную катрину.
Код:
tac_accs.log:Thu Nov 12 15:08:21 2009   flegontova5-sw-6.mgmt.redcom.net        tty2    172.31.253.51   ivan    accepted   login
tac_accs.log:Thu Nov 12 15:10:40 2009   flegontova5-sw-6.mgmt.redcom.net        tty2    172.31.253.51   enable  rejected   enable
tac_accs.log:Thu Nov 12 15:10:40 2009   flegontova5-sw-6.mgmt.redcom.net        tty2    172.31.253.51   enable  rejected   enable
tac_accs.log:Thu Nov 12 15:10:40 2009   flegontova5-sw-6.mgmt.redcom.net        tty2    172.31.253.51   enable  rejected   enable


А вот как выглядит лог на старых прошивках:
Код:
tac_accs.log:Fri Nov 13 10:08:35 2009   flegontova5-sw-3.mgmt.redcom.net        tty1    172.31.253.51   ivan    accepted   login
tac_accs.log:Fri Nov 13 10:08:38 2009   flegontova5-sw-3.mgmt.redcom.net        tty1    172.31.253.51   ivan    accepted  enable


Нас интересуют строчки перехода в энейбл. На новых версиях прошивках в качестве имени пользователя на энейбл используется имя пользователя enable. На старых прошивках было имя пользователя под которым залогинился пользователь, тоесть в моем случае ivan. По-моему проблема в этом. Именно по этому и не пускает. Интересно а на новых прошивках для серий 3052 эта особенность есть?...:)
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения:
СообщениеДобавлено: Пт ноя 13, 2009 11:06 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
А у Вас соответствующая запись enable каким образом создана, какой TACACS+ сервер используется и какие настройки на коммутаторе в этом плане используются?
Вернуться наверх
 Профиль  
 
Ivan E.
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 17, 2009 02:39 
Не в сети

Зарегистрирован: Пн фев 11, 2008 06:24
Сообщений: 604
Откуда: Хабаровск
Конфигурацию на коммутаторах выкладывал выше. Напоминаю, что это поменялось только в последних версиях прошивки (для 3010 для 3612G не знаю, так как поставили недавно и с самой последней прошивкой.)!!! То есть 98% коммутаторов работает на этом сервере и с этим конфигом. Не работают те, у которых старая версия прошивки без tacacs (3010, до которых не дошли руки обновить) и те у кого самая новая прошивка, в которой я не могу зайти по tacacs в enable. Задайте вопрос к разработчикам софта. Это они специально изменили или ошибочно? Нельзя ли вернуть обратно?

Использую сервер TACACS Plus 4.4rc2 FreeBSD binary http://www.networkforums.net/

Что Вас интересует в конфигурации сервера? Ошибки в конфигурации нет. Конфигурация последний раз менялась 14/08/2008. Кроме D-Link на нем авторизуются Cisco. И ради новой прошивки не хотелось бы менять весь конфиг...
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 17, 2009 11:13 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Я проверил ситуацию на тестовом стенде и успешно авторизовался с приведенной Вами выше конфигурацией на DGS-3612G используя свой TACACS+ сервер tac_plus версии 4.0.4.19. Приведите, пожалуйста, вырезку из своего конфигурационного файла, где созданы пользователи enable и ivan, это поможет для диагностики проблемы.
Вернуться наверх
 Профиль  
 
Ivan E.
 Заголовок сообщения:
СообщениеДобавлено: Ср ноя 18, 2009 02:04 
Не в сети

Зарегистрирован: Пн фев 11, 2008 06:24
Сообщений: 604
Откуда: Хабаровск
Код:
group = grp_noc {
    default service = permit
}

group = grp_enable {
}

user = ivan {
    name = "Ivan"
    login = des "XXXXXXXX"
    member = grp_noc
}

user = $enab15$ {
    login = des "XXXXXXXX"
    member = grp_enable
}

host = 172.31.0.0/16 {
    type = cisco
    prompt motd = /usr/local/etc/tacacs/tac_plus.motd
    prompt = "User Access Verification (netanf1)\n\nlogin: "
    permit enable grp_enable, grp_noc, grp_monitoring, grp_maintenance
    deny login *
}
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения:
СообщениеДобавлено: Ср ноя 18, 2009 12:47 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Вам просто нужно добавить такую секцию в конфигурационный файл:
Код:
user = enable {
    login = des "XXXXXXXX"
    member = grp_enable
}
Вернуться наверх
 Профиль  
 
Ivan E.
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 19, 2009 02:58 
Не в сети

Зарегистрирован: Пн фев 11, 2008 06:24
Сообщений: 604
Откуда: Хабаровск
Спасибо, помогло. Только плохо, что меняться то, что меняться не должно.
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения:
СообщениеДобавлено: Пт ноя 20, 2009 10:43 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Рад слышать, что все работает! Что касается настроек TACACS+, то все это описано в нашем FAQ по адресу: http://dlink.ru/ru/faq/62/953.html
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Эта тема закрыта, Вы не можете редактировать и оставлять сообщения в ней.  Страница 1 из 1
  [ Сообщений: 12 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 47

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB