tacacs+
TACACS+ ACS 5.3 错误‘ACS:未找到资源或内部服务器错误,无信息’
以前有人遇到过这个问题吗? 运行:Cisco TACACS+ ACS 5.3 当我登录时,我看到右侧窗格中显示此信息。左侧窗格中仍有导航链接,并且能够启动监控和报告。 ACS:未找到资源或内部服务器错误 没有关于此错误的信息。 ...
tacacs+
tacacs+
TACACS+ - 思科路由器 - 故障转移到本地数据库无法正常运行
我已使 TACACS+ 正常运行,现在我正尝试进行设置,以便当 TACACS+ 服务器不可用时,它可以在本地进行故障转移。 我的目标是让它首先检查 TACACS 服务器,如果无法联系则进行故障转移。 据我了解,下面的配置行可以实现这一点,在“group tacacs+”命令之后加上“local”一词来实现这一点: aaa 身份验证登录 vtymethod 组 tacacs+ 本地 测试:我禁用服务器上的 TACACS 服务并尝试与本地用户进行身份验证,并被告知该用户不在组中(就像被 TACACS 拒绝一样)。 我可以使用以下命令行来实现如上所述的最...
tacacs+
无法授权通过 ssh 在 shell 中执行的 tacacs+ 服务器命令
我已经在这里设置了一个 tacacs+ 服务器和一个 PAM tacacs 客户端-https://github.com/kravietz/pam_tacplus/tree/main。 当用户通过 ssh 进入 tacacs 客户端机器时,我希望从 tacacs+ 服务器进行身份验证,并且只允许执行 tacacs+ 服务器配置中允许的 shell 命令。 身份验证有效,但我无法使 shell 命令授权起作用。 为了实现这个目的我需要做哪些改变? 这是 tacacs+ 服务器配置,我只允许 ls 命令: key = testkey123 user = tes...
tacacs+
Linux 中的 PAM:如果远程/外部身份验证数据库返回负面响应,是否有办法跳过本地身份验证?
亲爱的系统修补者们, 一位管理员朋友问了我以下问题: 在许多网络元素和服务器上,他使用针对 TACACS+ 服务器的远程身份验证。在某些此类专有设备上,如果远程方法返回“身份验证服务器不可用”(无法访问,超时),身份验证只会询问本地身份验证数据库。如果远程身份验证服务器是可用,并返回否定响应,则有问题的盒子会按表面意义接受这一点,并且不会尝试针对本地用户数据库进行身份验证。 现在...在基于 Linux 的机器上,他想实现相同的行为。但他似乎无法做到。Linux 操作系统首先尝试远程身份验证,但在收到明确的否定响应(服务器响应“身份验证失败,这些不是有效凭据...
tacacs+
服务器 2016 Tacacs.net 安装抛出“处理响应错误”,需要今天启动。
我为此苦苦挣扎了几天。我有一台全新的服务器,我在上面安装了 tacacs.net,但我无法让它工作。我按照快速入门指南打开了端口 49。 我认为要么是字符集有错误,要么是域强化有问题。我知道我们已禁用所有旧 Cyphers,并且仅使用 aes128 和 256,并且已应用 fips 合规性,并且已启用并运行 tls1.2。 使用 Tacacs.net 版本 1.3.2 Server 2016(满足包括 .net 2.0 在内的要求)所有文件均已只读删除。 Cmd 输出 ...
tacacs+
Tacacs+ 带有 PAM 双因素 Google 身份验证吗?
我正在为我的校园网络开发一个 tacacs+ 服务器,我一直在想如何设置一个 tacacs+ 服务器来与运行谷歌双因素身份验证的 PAM 进行通信。我在谷歌上搜索了很多次,找到了一些有用的信息,但我没有找到一个明确的“路线图”,而且很多步骤看起来充其量也模糊不清。我现在有一个正在运行的 Ubuntu tacacs+ 测试平台,还没有配置任何交换机或路由器。 有人做过这样的事吗?我在红帽电子邮件链中找到了一个相对不错的指南: https://www.redhat.com/archives/pam-list/2014-March/msg00008.html ...
tacacs+
使用 Tacacs 和 Active Directory 对任何 Linux 发行版进行身份验证
我在我的组织中设置了登录所有网络设备(Cisco、Juniper 等)的设置,这些设备使用 Windows AD 和 Cisco tacacs 服务器进行身份验证。用户通过单独的 Web 门户推送到 AD。 现在我有一个需求,需要将所有Linux服务器整合到上述设置中。我该如何实现上述需求? 我做了一些研究,发现可以将 Linux 与 TAC 服务器集成,但需要在 tac 配置文件中手动将所有用户添加到 Linux。我不想手动添加东西,而是希望 AD 扮演这个角色。可以这样做吗?有人能帮我完成这些步骤吗??? 提前致谢 ...
tacacs+
TACACS+ 配置:如何接收 priv-lvl 值?
我需要配置 TACACS+ 服务器以了解给定用户是否经过身份验证*以及他的权限级别是多少。作为客户端,我使用 tactest (tacacs.net) 和 TACACS+ 客户端 Java 库 (AXL)。 我尝试过这个: user = admin { name = “Admin User” login = cleartext admin service = exec { priv-lvl = 10 } } 并且可以作为管理员进行身份验证,但无法获取他的特权级别。 以下是 tactest 的输出: C:\P...
tacacs+
“aaa 会计命令”不支持 radius 吗?
当我发出这个命令时: aaa accounting commands 15 default start-stop group myradiusgroup 我收到此错误:%AAAA-4-SERVNOTACPLUS:服务器组“myradiusgroup”不是 tacacs+ 服务器组。请将“myradiusgroup”定义为 tacacs+ 服务器组。 在文档中我找不到任何说明“命令”记帐类型仅适用于 tacacs+ 的内容。aaa 不支持 radius 的这种记帐类型吗? ...
tacacs+
使用 pam_tacplus 进行 Linux 身份验证/授权的 tacacs+
我正在使用 TACACS+ 通过 pam_tacplus.so PAM 模块对 Linux 用户进行身份验证,并且一切运行正常。 我已经修改了 pam_tacplus 模块以满足我的一些自定义要求。 我知道默认情况下,TACACS+ 没有任何方法可以支持 Linux 组或通过 Linux bash 命令进行访问级别控制,但是,我想知道是否有任何方法可以从 TACACS+ 服务器端传递一些信息,以让 pam_tacplus.so 模块可用于允许/拒绝或动态修改用户组[从 pam 模块本身]。 示例:如果我可以将 priv-lvl 编号从服务器传递到客户端...
tacacs+
Linux TACACS+ 授权
我想知道如何在 Linux 控制台 (bash) 上授权(仅允许一组命令)用户。到目前为止,我能够通过 TACACS+ 验证 ssh 用户,但授权不起作用。 这是我的 tac_plus.conf 文件,为了测试确实进行了简化: accounting file = /tmp/tacacs.acc #default authentication = file /etc/passwd user=bart { default service = deny pap = cleartext "bart" service = ppp p...
tacacs+
网络设备无法从 Active Directory 访问组
只发生在 1 个用户身上,当 TACACS+ 尝试验证并检索组时失败,根据日志显示验证成功,但在检索组时失败并出现错误“24027 组搜索以错误结束”。 -> 用户 ID 与除 TACACS+ 之外的所有其他应用程序配合良好。-> 可能是思科的问题,但域控制器是否有可能重置连接? 如果有任何问题需要确认,请告诉我。 ...
tacacs+
Linux TACACS+ 为 SSH 进行身份验证,但允许用户使用公钥身份验证
我们运行 tacacs 环境,用于集中登录我们的路由器、防火墙等,甚至大多数 Linux 机器都可以通过 ssh 登录 我们希望允许用户通过公钥认证来验证 SSH,而不必输入密码,但仍然通过 tacacs 进行授权,以检查是否确实允许登录并应授予访问权限,但如果用户在 tacacs 中被禁用,则应拒绝 这可能吗?如何实现?我们正在使用带有 pam_tacplus 的 RedHat/Centos 次要相关问题:如何允许特定系统帐户绕过 tacacs 身份验证,以便服务器到服务器脚本可以通过 SSH 和公钥身份验证运行,而无需存在于 tacacs 中 ...
tacacs+
Arista EOS 和 Cisco IOS 如何加密 tacacs+ 加密密钥?
我们在网络设备上使用 tacacs 作为 AAA,我对我们的设备如何加密设备端密码很感兴趣/好奇。 继Arista EOS 手册,第 139 页,我正在运行: switch(config)#tacacs-server key 0 cv90jr1 指南告诉我相应的加密字符串是020512025B0C1D70。 switch(config)#show running-config | grep tacacs tacacs-server key 7 1306014B5B06167B 看到加密字符串与他们提到的不同,我很好奇。所以我又添加了十次相同的密...
tacacs+
使用 Kerberos keytab 进行 F5 身份验证
我们的网络设备使用 tacplus 进行身份验证和授权。tac 本身使用 kerberos 进行身份验证。对于其中一个项目,我们需要使用脚本自动登录 F5 设备。有人知道脚本是否可以使用 keytab 生成 kerberos 票证,然后使用该票证通过 tac/kdc 进行身份验证吗?如果可能,您能否指出相关文档/链接?谢谢 ...