Tomsk Sysadmins Forum
Оборудование => Cisco => Topic started by: boombastic on April 17, 2007, 10:12:46
-
Hi everybody.
Кто-нить имеет сабж?
У самой Cisco есть ACS, но у меня тока виндовый дистрибутив .
Поискал по инету реализации TACACS под линукс, есть tac+ia последний релиз которого датирован 2000-м годом.
А посвежее что-нибудь бывает?
Хотелось бы увязать как зоопарк other vendor комутаторов так и часть cisco devices
-
Hi everybody.
Кто-нить имеет сабж?
У самой Cisco есть ACS, но у меня тока виндовый дистрибутив .
а виндовый-то чем плох, тем что виндовый?
разве на железных бандлах от циски не виндовый стоит?
-
да просто все сервера на линуксе, а ставить выделенную машину под один сервис пока карма не позволяет.
Проще на одном из существующих развернуть.
-
Поискал по инету реализации TACACS под линукс
Хотелось бы увязать как зоопарк other vendor комутаторов так и часть cisco devices
тогда почему именно tacacs, ведь это propietary протокол. у кого кроме циски он есть? логичнее тогда смотреть на radius, а их под линукс есть. некоторое время тому назад я специально поднимал тему radius vs. tacacs (http://groups.google.ru/group/fido7.ru.cisco/browse_thread/thread/f13bebbfd2ae58dc/aed240fcde6051fe?lnk=st&q=group%3Afido7.ru.cisco&hl=ru). или к радиусу карма тоже не лежит?
-
Hi everybody.
Кто-нить имеет сабж?
У самой Cisco есть ACS, но у меня тока виндовый дистрибутив .
Изыди.
Поискал по инету реализации TACACS под линукс, есть tac+ia последний релиз которого датирован 2000-м годом.
А посвежее что-нибудь бывает?
Хотелось бы увязать как зоопарк other vendor комутаторов так и часть cisco devices
Этта, тебе вообще от этого демона какая функциональность нужна?
тогда почему именно tacacs, ведь это propietary протокол. у кого кроме циски он есть?
Ну, можжевельник, например
логичнее тогда смотреть на radius, а их под линукс есть. некоторое время тому назад я специально поднимал тему radius vs. tacacs (http://groups.google.ru/group/fido7.ru.cisco/browse_thread/thread/f13bebbfd2ae58dc/aed240fcde6051fe?lnk=st&q=group%3Afido7.ru.cisco&hl=ru). или к радиусу карма тоже не лежит?
radius умеет *command* accounting?
P.S. Just my $0.02
[snip]
Поискал по инету реализации TACACS под линукс, есть tac+ia последний релиз которого датирован 2000-м годом.
А посвежее что-нибудь бывает?
[snip]
Lol Grant жил, жив и будет жить (но только в Калифорнии)
http://www.shrubbery.net/tac_plus/ (http://www.shrubbery.net/tac_plus/)
-
Изыди.
вы просто не умеете их готовить (с)
Ну, можжевельник, например
все равно это скорее исключение, чем правило.
radius умеет *command* accounting?
P.S. Just my $0.02
только ради это и держу такакс, для всего остального радиус
-
вы просто не умеете их готовить (с)
все равно это скорее исключение, чем правило.
только ради это и держу такакс, для всего остального радиус
Вот именно, все упирается в аксиому: customers -- radius, tacacs+ -- infra mgmt.
-
вдобавок к cisco,juniper поддержкой tacacs обладает edge-core,arris.
Короче то что мне нужно.
из функционала прям щас требуется единая база пользовательских записей на всех железяках (switch,router, cmts) в дальнейшем - ограничение прав до конкретных команд.
Lol Grant жил, жив и будет жить (но только в Калифорнии)
http://www.shrubbery.net/tac_plus/ (http://www.shrubbery.net/tac_plus/)
Это не тоже самое что : http://www.bdsltd.co.uk/network/cisco/tacacs.htm (http://www.bdsltd.co.uk/network/cisco/tacacs.htm)
мне там понравилась опция
default authentication = file /etc/shadow
вместо хранения user password в cleartext
-
вдобавок к cisco,juniper поддержкой tacacs обладает edge-core,arris.
Короче то что мне нужно.
Сильно не обольщайся, реализации у этих вендоров могут существенно отличаться от оригинала, как у нас в свое время было с 3com Total Control 1000.
из функционала прям щас требуется единая база пользовательских записей на всех железяках (switch,router, cmts) в дальнейшем - ограничение прав до конкретных команд.
tacacs -- то, что доктор прописал...
Это не тоже самое что : http://www.bdsltd.co.uk/network/cisco/tacacs.htm (http://www.bdsltd.co.uk/network/cisco/tacacs.htm)
мне там понравилась опция
default authentication = file /etc/shadow
вместо хранения user password в cleartext
Если мне не изменяет склероз, то даже tac_ia умел это делать...
P.S. Ты где такой некрофильский сайт нашел?
-
google, найдётся всё
-
Thu Apr 19 12:18:53 2007 [26956]: tac_passwd_lookup: open /etc/shadow 0
Thu Apr 19 12:18:53 2007 [26956]: tac_passwd_lookup: close /etc/shadow 0
Thu Apr 19 12:18:53 2007 [26956]: verify jopa2 $1$imhoSIa.$IQj0fYHCqdx4/w1gwKyA1/
Thu Apr 19 12:18:53 2007 [26956]: jopa2 encrypts to $1$imhoSIa.$IQj0fYHCqdx4/w1gwKyA1/
Thu Apr 19 12:18:53 2007 [26956]: Password is correct
Thu Apr 19 12:18:53 2007 [26956]: Password has expired :13735:
Thu Apr 19 12:18:53 2007 [26956]: login query for 'boom3' tty10 from 213.210.81.17 rejected
Thu Apr 19 12:18:53 2007 [26956]: login failure: boom3 213.210.81.17 (213.210.81.17) tty10
кто-нить объяснит что меня не пустило?
/etc/tacacs.conf
key = "kickme"
default authentication = file /etc/shadow
accounting file = /var/log/tac_acc.log
user = boom2 {
login = cleartext "boom2"
}
boom3 заведён в /etc/passwd как обычный юзер.
-
Thu Apr 19 12:18:53 2007 [26956]: Password has expired :13735:
Может быть эта строка?
PS оказывается в shadow полно полей про истечение пассворда. А я думал только пароль, а остальное лишняя фигня : ))
-
да, я тоже сначала подумал про это, но фишка в том что сначала ваще не было ограничения до сроку жизни аккаунта и он писал:
Password has expired ::
я подумал что это ему не нравится и сделал expired на конец этого года
-
да, я тоже сначала подумал про это, но фишка в том что сначала ваще не было ограничения до сроку жизни аккаунта и он писал:
Password has expired ::
я подумал что это ему не нравится и сделал expired на конец этого года
Ты попробуй вообще пока не использовать expire.
-
так и делаю.
всё вроде нормально работает, но реджектит запросы:
Thu Apr 19 15:06:20 2007 [29433]: connect from 213.210.81.17 [213.210.81.17]
Thu Apr 19 15:06:20 2007 [29433]: tac_passwd_lookup: open /etc/shadow 0
Thu Apr 19 15:06:20 2007 [29433]: tac_passwd_lookup: close /etc/shadow 0
Thu Apr 19 15:06:20 2007 [29433]: verify SUPADUPAENCRYPTEDPASSWD $1$imhoSIa.$IQj0fYHCqdx4/w1gwKyA1/
Thu Apr 19 15:06:20 2007 [29433]: SUPADUPAENCRYPTEDPASSWD encrypts to $1$imhoSIa.$IQj0fYHCqdx4/w1gwKyA1/
Thu Apr 19 15:06:20 2007 [29433]: Password is correct
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Thu Apr 19 15:06:20 2007 [29433]: Password has expired ::
Thu Apr 19 15:06:20 2007 [29433]: login query for 'boom3' tty10 from 213.210.81.17 rejected
^^^^^^^^^^^^^^^^
f**k
Thu Apr 19 15:06:20 2007 [29433]: login failure: boom3 213.210.81.17 (213.210.81.17) tty10
-
так и делаю.
всё вроде нормально работает, но реджектит запросы:
Thu Apr 19 15:06:20 2007 [29433]: connect from 213.210.81.17 [213.210.81.17]
Thu Apr 19 15:06:20 2007 [29433]: tac_passwd_lookup: open /etc/shadow 0
Thu Apr 19 15:06:20 2007 [29433]: tac_passwd_lookup: close /etc/shadow 0
Thu Apr 19 15:06:20 2007 [29433]: verify SUPADUPAENCRYPTEDPASSWD $1$imhoSIa.$IQj0fYHCqdx4/w1gwKyA1/
Thu Apr 19 15:06:20 2007 [29433]: SUPADUPAENCRYPTEDPASSWD encrypts to $1$imhoSIa.$IQj0fYHCqdx4/w1gwKyA1/
Thu Apr 19 15:06:20 2007 [29433]: Password is correct
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Thu Apr 19 15:06:20 2007 [29433]: Password has expired ::
Thu Apr 19 15:06:20 2007 [29433]: login query for 'boom3' tty10 from 213.210.81.17 rejected
^^^^^^^^^^^^^^^^
f**k
Thu Apr 19 15:06:20 2007 [29433]: login failure: boom3 213.210.81.17 (213.210.81.17) tty10
Хмм, IP address permitted?
-
нет никаких ограничений на IP
-
Хмм, IP address permitted?
Где?
так и делаю.
всё вроде нормально работает, но реджектит запросы:
Thu Apr 19 15:06:20 2007 [29433]: connect from 213.210.81.17 [213.210.81.17]
Thu Apr 19 15:06:20 2007 [29433]: tac_passwd_lookup: open /etc/shadow 0
Thu Apr 19 15:06:20 2007 [29433]: tac_passwd_lookup: close /etc/shadow 0
Thu Apr 19 15:06:20 2007 [29433]: verify SUPADUPAENCRYPTEDPASSWD $1$imhoSIa.$IQj0fYHCqdx4/w1gwKyA1/
Thu Apr 19 15:06:20 2007 [29433]: SUPADUPAENCRYPTEDPASSWD encrypts to $1$imhoSIa.$IQj0fYHCqdx4/w1gwKyA1/
Thu Apr 19 15:06:20 2007 [29433]: Password is correct
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Thu Apr 19 15:06:20 2007 [29433]: Password has expired ::
Thu Apr 19 15:06:20 2007 [29433]: login query for 'boom3' tty10 from 213.210.81.17 rejected
^^^^^^^^^^^^^^^^
f**k
Thu Apr 19 15:06:20 2007 [29433]: login failure: boom3 213.210.81.17 (213.210.81.17) tty10
Ты все-таки tac_plus поставил?
-
да,решил посмотреть на творение Lol Grant-a
-
Нашел вначале на опеннете, а затем здесь - http://www.bog.pp.ru/work/tacacs.html (http://www.bog.pp.ru/work/tacacs.html) tac+ от cisco под unix.