Sempre que efetuar login em um dispositivo de rede usando AAA / TACACS +, se eu digitar o prompt de senha após o nome de usuário, o segundo prompt de senha sempre falha mesmo quando a senha está correta. Preciso aguardar o prompt do nome de usuário novamente e preciso obter a senha correta no primeiro prompt de senha imediatamente após isso. Em outras palavras, sempre que vir o segundo prompt de senha, ele não funcionará.
Veja a interação e a configuração higienizadas abaixo.
Verificação de acesso do usuário Nome de usuário: nome de usuário Senha: Senha: (sempre falha aqui) % Acesso negado Verificação de acesso do usuário Nome de usuário: nome de usuário Senha: Conectado a s-site-rack-agg2.example.net na linha 1 (nome do site). s-site-rack-agg2 #
O que poderia ser diferente com o segundo prompt de senha para explicar esse comportamento?
O AAA típico e a configuração relacionada que tenho é:
aaa novo modelo grupo padrão tacacs de login de autenticação aaa + linha local autenticação aaa login CONSOLE none autenticação aaa ativar grupo padrão tacacs + enable grupo tacacs padrão de exec de autorização aaa + local se autenticado comandos de autorização aaa 1 grupo padrão tacacs + local se autenticado comandos de autorização aaa 7 grupo tacacs padrão + local se autenticado comandos de aaa 15 grupos tacacs padrão + local se autenticado aaa padrão contábil exec executivo start-stop group tacacs comandos de contabilidade do aaa 0 grupo inicial start-stop padrão tacacs + comandos aaa accounting 1 grupo inicial start-stop padrão tacacs + comandos de contabilidade do aaa 7 tacacs padrão do grupo start-stop + comandos de contabilidade aaa 15 grupo inicial start / stop tacacs + tacacs de grupo start-stop padrão do sistema de contabilidade aaa + ! interface de origem ip tacacs Loopback0 host tacacs-server -premiaryipremoved- conexão única host tacacs-server -secondaryipremoved- single-connection tempo limite do tacacs-server 10 solicitação direcionada do servidor tacacs chave tacacs-server 7 -removed- ! linha con 0 autenticação de login CONSOLE linha vty 0 4 local -removido- exec-timeout 60 0 senha 7 - removida - telnet de entrada de transporte ssh
line
senha. As senhas corretas obtiveram uma resposta do TACACS imediatamente. Movido para servidores ACS mais novos, o problema foi resolvido com a mesma configuração, portanto parece que foi um problema do ACS.