Здравствуйте.
Имеется DGS-3627.
Boot PROM Version : Build 1.10-B09
Firmware Version : Build 2.81.B02
Настроил аутентификацию логина и enable через Tacacs+. На сервере Tacacs создал группы пользователей: "default_group" ,"support", "engineer".
Для каждой группы назначил свой пароль на enable. Аутентификация пользователя из групп "support" и "engineer" происходит без проблем. Но когда пытаюсь войти в режим 'enable admin', то пользователь определяется как DEFAULT, т.е в группе "default_group". Соответсвенно и пароль подходит только из группы default_group.
Проверял на следующих свичах. На них все работает как надо.
DES-3200-10
Firmware Version : Build 1.10.B015
DES-3526
Firmware Version : Build 5.01-B36
Проблема возникла именно с DGS-3627.
Каждый свич настрайвал строго по этой инструкции
http://dlink.ru/ru/faq/62/953.html
Группы и пользователи в Конфиге Tacacs+:
Код:
accounting file = /var/log/tac_plus.log
key = 12345
#Если пользователь не пуказан в конфиге,то он принимает атрибуты пользователя DEFAULT.
user = DEFAULT {
member = default_group
}
group = default_group {
enable = cleartext default
}
group = support {
enable = cleartext support
login = ldap {
basedn = "ou=People,ou=office,l=spb,o=company"
server = "10.0.0.10:389"
}
}
group = engineer {
default service = permit
enable = cleartext engineer
login = ldap {
basedn = "ou=People,ou=office,l=spb,o=company"
server = "10.0.0.10:389"
}
}
## Пользователи ##
user = sup1 {
member = support
login = sup1
}
user = lesha {
member = engineer
}
Лог /var/log/tac_plus.log
Приглашение логина и паролья. Тут все проходит нормально.
Код:
User Access Verification
login:
Wed May 19 14:04:39 2010 [26621]: Dollar substitution:
User Access Verification
login:
Wed May 19 14:04:43 2010 [26621]: cfg_get_value: name=sup1 isuser=1 attr=login rec=1
Wed May 19 14:04:43 2010 [26621]: cfg_get_pvalue: returns cleartext sup1
Wed May 19 14:04:43 2010 [26621]: cfg_get_value: name=sup1 isuser=1 attr=login rec=1
Wed May 19 14:04:43 2010 [26621]: cfg_get_pvalue: returns cleartext sup1
Wed May 19 14:04:44 2010 [26621]: acl_verify: name = <sup1>
Wed May 19 14:04:44 2010 [26621]: cfg_get_value: name=sup1 isuser=1 attr=access-group rec=1
Wed May 19 14:04:44 2010 [26621]: cfg_get_value: recurse group = support
Wed May 19 14:04:44 2010 [26621]: cfg_get_pvalue: returns border_acl
Wed May 19 14:04:44 2010 [26621]: acl_chk aname = border_acl username sup1
Wed May 19 14:04:44 2010 [26621]: found group border_acl in acltab
Wed May 19 14:04:44 2010 [26621]: acl_verify ret PERMIT
Wed May 19 14:04:44 2010 [26621]: cfg_get_value: name=sup1 isuser=1 attr=login rec=1
Wed May 19 14:04:44 2010 [26621]: cfg_get_pvalue: returns cleartext sup1
Wed May 19 14:04:44 2010 [26621]: verify daemon sup1 == NAS sup1
Wed May 19 14:04:44 2010 [26621]: Password is correct
Wed May 19 14:04:44 2010 [26621]: cfg_get_value: name=sup1 isuser=1 attr=expires rec=1
Wed May 19 14:04:44 2010 [26621]: cfg_get_value: recurse group = support
Wed May 19 14:04:44 2010 [26621]: cfg_get_pvalue: returns NULL
Wed May 19 14:04:44 2010 [26621]: Password has not expired <no expiry date set>
Wed May 19 14:04:44 2010 [26621]: set_time_status: name=sup1 rec=1
Wed May 19 14:04:44 2010 [26621]: set_time_status: recurse group = support
Wed May 19 14:04:44 2010 [26621]: set_sysadm_status: name=sup1 rec=1
Wed May 19 14:04:44 2010 [26621]: set_sysadm_status: recurse group = support
Wed May 19 14:04:44 2010 [26621]: set_usradm_status: name=sup1
Wed May 19 14:04:44 2010 [26621]: set_usradm_status: no database file
Wed May 19 14:04:44 2010 [26621]: login query for 'sup1' tty1 from 172.17.1.30 accepted
Wed May 19 14:04:44 2010 [26621]: cfg_get_value: name=sup1 isuser=1 attr=message rec=1
Wed May 19 14:04:44 2010 [26621]: cfg_get_value: recurse group = support
Wed May 19 14:04:44 2010 [26621]: cfg_get_pvalue: returns NULL
Пользователь зашел.
Ввожу
#enable admin
и пароль
В логах пишет
Код:
Wed May 19 14:05:10 2010 [26622]: cfg_get_value: name=enable isuser=1 attr=enable rec=1
Wed May 19 14:05:10 2010 [26622]: cfg_get_value: recurse group = default_group
Wed May 19 14:05:10 2010 [26622]: cfg_get_pvalue: returns cleartext default
Wed May 19 14:05:14 2010 [26622]: cfg_get_value: name=enable isuser=1 attr=enable rec=1
Wed May 19 14:05:14 2010 [26622]: cfg_get_value: recurse group = default_group
Wed May 19 14:05:14 2010 [26622]: cfg_get_pvalue: returns cleartext default
Wed May 19 14:05:14 2010 [26622]: cfg_get_value: name=enable isuser=1 attr=enable rec=1
Wed May 19 14:05:14 2010 [26622]: cfg_get_value: recurse group = default_group
Wed May 19 14:05:14 2010 [26622]: cfg_get_pvalue: returns cleartext default
Wed May 19 14:05:14 2010 [26622]: acl_verify: name = <enable>
Wed May 19 14:05:14 2010 [26622]: cfg_get_value: name=enable isuser=1 attr=access-group rec=1
Wed May 19 14:05:14 2010 [26622]: cfg_get_value: recurse group = default_group
Wed May 19 14:05:14 2010 [26622]: cfg_get_pvalue: returns border_acl
Wed May 19 14:05:14 2010 [26622]: acl_chk aname = border_acl username enable
Wed May 19 14:05:14 2010 [26622]: found group border_acl in acltab
Wed May 19 14:05:14 2010 [26622]: acl_verify ret PERMIT
Wed May 19 14:05:14 2010 [26622]: cfg_get_value: name=enable isuser=1 attr=enable rec=1
Wed May 19 14:05:14 2010 [26622]: cfg_get_value: recurse group = default_group
Wed May 19 14:05:14 2010 [26622]: cfg_get_pvalue: returns cleartext default
Wed May 19 14:05:14 2010 [26622]: verify daemon default == NAS support
Wed May 19 14:05:14 2010 [26622]: Password is incorrect
Wed May 19 14:05:14 2010 [26622]: enable query for 'enable' tty1 from 172.17.1.30 rejected
Wed May 19 14:05:14 2010 [26622]: cfg_get_value: name=enable isuser=1 attr=reject rec=1
Wed May 19 14:05:14 2010 [26622]: cfg_get_value: recurse group = default_group
Wed May 19 14:05:14 2010 [26622]: cfg_get_pvalue: returns NULL
Wed May 19 14:05:14 2010 [26622]: substitute: Login incorrect
Wed May 19 14:05:14 2010 [26622]: Dollar substitution: Login incorrect
Wed May 19 14:05:14 2010 [26623]: cfg_get_value: name=enable isuser=1 attr=enable rec=1
Wed May 19 14:05:14 2010 [26623]: cfg_get_value: recurse group = default_group
Wed May 19 14:05:14 2010 [26623]: cfg_get_pvalue: returns cleartext default
Повторюсь, что на свичах 3200-10 и 3526 такого нет. Там все ок.
В прошивке для 3627 реализация tacacs+ отличается получается?
P.S: Используемая версия такакс:
tac+ia-0.96pre9.3
ftp://ftp.east.ru/pub/inet-admins/
Спасибо.
Вход
Регистрация
FAQ
Поиск
