Author Topic: TACACS linux server (Read 10255 times)

boombastic · « **on:** April 17, 2007, 10:12:46 »

Hi everybody.
Кто-нить имеет сабж?
У самой Cisco есть ACS, но у меня тока виндовый дистрибутив .
Поискал по инету реализации TACACS под линукс, есть tac+ia последний релиз которого датирован 2000-м годом.
А посвежее что-нибудь бывает?
Хотелось бы увязать как зоопарк other vendor комутаторов так и часть cisco devices

visual · « **Reply #1 on:** April 17, 2007, 11:14:41 »

Quote from: boombastic

Hi everybody.
Кто-нить имеет сабж?
У самой Cisco есть ACS, но у меня тока виндовый дистрибутив .

а виндовый-то чем плох, тем что виндовый?
разве на железных бандлах от циски не виндовый стоит?

boombastic · « **Reply #2 on:** April 17, 2007, 13:44:50 »

да просто все сервера на линуксе, а ставить выделенную машину под один сервис пока карма не позволяет.
Проще на одном из существующих развернуть.

visual · « **Reply #3 on:** April 17, 2007, 14:26:00 »

Quote from: boombastic

Поискал по инету реализации TACACS под линукс
Хотелось бы увязать как зоопарк other vendor комутаторов так и часть cisco devices

тогда почему именно tacacs, ведь это propietary протокол. у кого кроме циски он есть? логичнее тогда смотреть на radius, а их под линукс есть. некоторое время тому назад я специально поднимал тему radius vs. tacacs. или к радиусу карма тоже не лежит?

uri · « **Reply #4 on:** April 17, 2007, 14:38:37 »

Quote from: boombastic

Hi everybody.
Кто-нить имеет сабж?
У самой Cisco есть ACS, но у меня тока виндовый дистрибутив .

Изыди.

Quote

Поискал по инету реализации TACACS под линукс, есть tac+ia последний релиз которого датирован 2000-м годом.
А посвежее что-нибудь бывает?
Хотелось бы увязать как зоопарк other vendor комутаторов так и часть cisco devices

Этта, тебе вообще от этого демона какая функциональность нужна?

Quote from: visual

тогда почему именно tacacs, ведь это propietary протокол. у кого кроме циски он есть?

Ну, можжевельник, например

Quote

логичнее тогда смотреть на radius, а их под линукс есть. некоторое время тому назад я специально поднимал тему radius vs. tacacs. или к радиусу карма тоже не лежит?

radius умеет *command* accounting?

P.S. Just my $0.02

[snip]

Quote from: boombastic

Поискал по инету реализации TACACS под линукс, есть tac+ia последний релиз которого датирован 2000-м годом.
А посвежее что-нибудь бывает?

[snip]

Lol Grant жил, жив и будет жить (но только в Калифорнии)

http://www.shrubbery.net/tac_plus/

visual · « **Reply #5 on:** April 17, 2007, 14:44:39 »

Quote from: uri

Изыди.

вы просто не умеете их готовить (с)

Quote from: uri

Ну, можжевельник, например

все равно это скорее исключение, чем правило.

Quote from: uri

radius умеет *command* accounting?
P.S. Just my $0.02

только ради это и держу такакс, для всего остального радиус

uri · « **Reply #6 on:** April 17, 2007, 15:31:08 »

Quote from: visual

вы просто не умеете их готовить (с)
все равно это скорее исключение, чем правило.
только ради это и держу такакс, для всего остального радиус

Вот именно, все упирается в аксиому: customers -- radius, tacacs+ -- infra mgmt.

boombastic · « **Reply #7 on:** April 17, 2007, 15:55:51 »

вдобавок к cisco,juniper поддержкой tacacs обладает edge-core,arris.
Короче то что мне нужно.

из функционала прям щас требуется единая база пользовательских записей на всех железяках (switch,router, cmts) в дальнейшем - ограничение прав до конкретных команд.

Quote

Lol Grant жил, жив и будет жить (но только в Калифорнии)
http://www.shrubbery.net/tac_plus/

Это не тоже самое что : http://www.bdsltd.co.uk/network/cisco/tacacs.htm
мне там понравилась опция
default authentication = file /etc/shadow

вместо хранения user password в cleartext

uri · « **Reply #8 on:** April 17, 2007, 16:19:24 »

Quote from: boombastic

вдобавок к cisco,juniper поддержкой tacacs обладает edge-core,arris.
Короче то что мне нужно.

Сильно не обольщайся, реализации у этих вендоров могут существенно отличаться от оригинала, как у нас в свое время было с 3com Total Control 1000.

Quote

из функционала прям щас требуется единая база пользовательских записей на всех железяках (switch,router, cmts) в дальнейшем - ограничение прав до конкретных команд.

tacacs -- то, что доктор прописал...

Quote from: boombastic

Это не тоже самое что : http://www.bdsltd.co.uk/network/cisco/tacacs.htm
мне там понравилась опция
default authentication = file /etc/shadow

вместо хранения user password в cleartext

Если мне не изменяет склероз, то даже tac_ia умел это делать...

P.S. Ты где такой некрофильский сайт нашел?

boombastic · « **Reply #9 on:** April 17, 2007, 16:47:48 »

google, найдётся всё

boombastic · « **Reply #10 on:** April 19, 2007, 12:30:59 »

Thu Apr 19 12:18:53 2007 [26956]: tac_passwd_lookup: open /etc/shadow 0
Thu Apr 19 12:18:53 2007 [26956]: tac_passwd_lookup: close /etc/shadow 0
Thu Apr 19 12:18:53 2007 [26956]: verify jopa2 $1$imhoSIa.$IQj0fYHCqdx4/w1gwKyA1/
Thu Apr 19 12:18:53 2007 [26956]: jopa2 encrypts to $1$imhoSIa.$IQj0fYHCqdx4/w1gwKyA1/
Thu Apr 19 12:18:53 2007 [26956]: Password is correct
Thu Apr 19 12:18:53 2007 [26956]: Password has expired :13735:
Thu Apr 19 12:18:53 2007 [26956]: login query for 'boom3' tty10 from 213.210.81.17 rejected
Thu Apr 19 12:18:53 2007 [26956]: login failure: boom3 213.210.81.17 (213.210.81.17) tty10

кто-нить объяснит что меня не пустило?

/etc/tacacs.conf
key = "kickme"
default authentication = file /etc/shadow
accounting file = /var/log/tac_acc.log

user = boom2 {
login = cleartext "boom2"
}

boom3 заведён в /etc/passwd как обычный юзер.

deepwalker · « **Reply #11 on:** April 19, 2007, 13:33:13 »

Quote from: boombastic

Thu Apr 19 12:18:53 2007 [26956]: Password has expired :13735:

Может быть эта строка?

PS оказывается в shadow полно полей про истечение пассворда. А я думал только пароль, а остальное лишняя фигня : ))

boombastic · « **Reply #12 on:** April 19, 2007, 13:55:11 »

да, я тоже сначала подумал про это, но фишка в том что сначала ваще не было ограничения до сроку жизни аккаунта и он писал:
Password has expired ::
я подумал что это ему не нравится и сделал expired на конец этого года

uri · « **Reply #13 on:** April 19, 2007, 15:05:12 »

Quote from: boombastic

да, я тоже сначала подумал про это, но фишка в том что сначала ваще не было ограничения до сроку жизни аккаунта и он писал:
Password has expired ::
я подумал что это ему не нравится и сделал expired на конец этого года

Ты попробуй вообще пока не использовать expire.

boombastic · « **Reply #14 on:** April 19, 2007, 15:14:41 »

так и делаю.
всё вроде нормально работает, но реджектит запросы:
Thu Apr 19 15:06:20 2007 [29433]: connect from 213.210.81.17 [213.210.81.17]
Thu Apr 19 15:06:20 2007 [29433]: tac_passwd_lookup: open /etc/shadow 0
Thu Apr 19 15:06:20 2007 [29433]: tac_passwd_lookup: close /etc/shadow 0
Thu Apr 19 15:06:20 2007 [29433]: verify SUPADUPAENCRYPTEDPASSWD $1$imhoSIa.$IQj0fYHCqdx4/w1gwKyA1/
Thu Apr 19 15:06:20 2007 [29433]: SUPADUPAENCRYPTEDPASSWD encrypts to $1$imhoSIa.$IQj0fYHCqdx4/w1gwKyA1/
Thu Apr 19 15:06:20 2007 [29433]: Password is correct
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Thu Apr 19 15:06:20 2007 [29433]: Password has expired ::
Thu Apr 19 15:06:20 2007 [29433]: login query for 'boom3' tty10 from 213.210.81.17 rejected
^^^^^^^^^^^^^^^^
f**k
Thu Apr 19 15:06:20 2007 [29433]: login failure: boom3 213.210.81.17 (213.210.81.17) tty10

Andrew · « **Reply #15 on:** April 20, 2007, 00:28:50 »

Quote from: boombastic

так и делаю.
всё вроде нормально работает, но реджектит запросы:
Thu Apr 19 15:06:20 2007 [29433]: connect from 213.210.81.17 [213.210.81.17]
Thu Apr 19 15:06:20 2007 [29433]: tac_passwd_lookup: open /etc/shadow 0
Thu Apr 19 15:06:20 2007 [29433]: tac_passwd_lookup: close /etc/shadow 0
Thu Apr 19 15:06:20 2007 [29433]: verify SUPADUPAENCRYPTEDPASSWD $1$imhoSIa.$IQj0fYHCqdx4/w1gwKyA1/
Thu Apr 19 15:06:20 2007 [29433]: SUPADUPAENCRYPTEDPASSWD encrypts to $1$imhoSIa.$IQj0fYHCqdx4/w1gwKyA1/
Thu Apr 19 15:06:20 2007 [29433]: Password is correct
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Thu Apr 19 15:06:20 2007 [29433]: Password has expired ::
Thu Apr 19 15:06:20 2007 [29433]: login query for 'boom3' tty10 from 213.210.81.17 rejected
^^^^^^^^^^^^^^^^
f**k
Thu Apr 19 15:06:20 2007 [29433]: login failure: boom3 213.210.81.17 (213.210.81.17) tty10

Хмм, IP address permitted?

boombastic · « **Reply #16 on:** April 20, 2007, 09:30:48 »

нет никаких ограничений на IP

uri · « **Reply #17 on:** April 21, 2007, 16:04:17 »

Quote from: Andrew

Хмм, IP address permitted?

Где?

Quote from: boombastic

так и делаю.
всё вроде нормально работает, но реджектит запросы:
Thu Apr 19 15:06:20 2007 [29433]: connect from 213.210.81.17 [213.210.81.17]
Thu Apr 19 15:06:20 2007 [29433]: tac_passwd_lookup: open /etc/shadow 0
Thu Apr 19 15:06:20 2007 [29433]: tac_passwd_lookup: close /etc/shadow 0
Thu Apr 19 15:06:20 2007 [29433]: verify SUPADUPAENCRYPTEDPASSWD $1$imhoSIa.$IQj0fYHCqdx4/w1gwKyA1/
Thu Apr 19 15:06:20 2007 [29433]: SUPADUPAENCRYPTEDPASSWD encrypts to $1$imhoSIa.$IQj0fYHCqdx4/w1gwKyA1/
Thu Apr 19 15:06:20 2007 [29433]: Password is correct
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Thu Apr 19 15:06:20 2007 [29433]: Password has expired ::
Thu Apr 19 15:06:20 2007 [29433]: login query for 'boom3' tty10 from 213.210.81.17 rejected
^^^^^^^^^^^^^^^^
f**k
Thu Apr 19 15:06:20 2007 [29433]: login failure: boom3 213.210.81.17 (213.210.81.17) tty10

Ты все-таки tac_plus поставил?

boombastic · « **Reply #18 on:** April 21, 2007, 17:56:31 »

да,решил посмотреть на творение Lol Grant-a

deepwalker · « **Reply #19 on:** May 09, 2007, 22:22:22 »

Нашел вначале на опеннете, а затем здесь - http://www.bog.pp.ru/work/tacacs.html tac+ от cisco под unix.

News:

Author Topic: TACACS linux server (Read 10255 times)