Autenticación Tacacs VRF

7

Acabamos de recibir un nuevo Supervisor7 con os 3.4.1. Estoy tratando de configurar la autenticación con tacacs, y no puedo entender cómo hacerlo funcionar. Esta configuración funciona en nuestros otros conmutadores, pero no funciona en este 4500.

aaa new-model
username cisco privilege 15 secret 5 $1$qLGb$VQ7BdaJEpzGFqPeC979Uh1
tacacs-server host 10.4.25.8 key ourKeyIsSecret
aaa authentication login default group tacacs+ local
line vty 0 15
 login authen default

Solo podemos iniciar sesión con la contraseña alternativa. El conmutador ni siquiera está tratando de contactar a tacacs.

¿Alguien puede ayudar?

Nachos
fuente
1
¿Eres capaz de hacer ping al servidor tacacs +? show tacacsdebería revelar algo de información, así como debug tacacs events.
generalnetworkerror
#ping vrf mgmtVrf 10.4.25.8 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.4.25.8, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
Nachos

Respuestas:

8

Esta configuración funciona en nuestros otros conmutadores, pero no funciona en este 4500.

Está utilizando el puerto Sup7 FastEthernet incorporado, así que este es su problema:

aaa authentication login default group tacacs+ local
                                 ^^^^^^^^^^^^^

El puerto Sup7 OOB está en un VRF ; por lo tanto, debe configurar Tacacs + en un VRF

aaa new-model
!
no tacacs-server host 10.4.25.8
!
aaa group server tacacs+ TacacsVrf
  server-private 10.4.25.8 key 7 ourKeyIsSecret
  ip vrf forwarding mgmtVrf
  ip tacacs source FastEthernet1
!
aaa authentication login default group TacacsVrf local
Mike Pennington
fuente
1

Esta es una parte de la configuración que estoy usando en 4506 con 12.2

username failsafe secret [local password]
aaa new-model
!
!
aaa authentication attempts login 3
aaa authentication fail-message ^Your fail message here.^
aaa authentication login default group tacacs+ local
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ if-authenticated 
aaa accounting exec default start-stop group tacacs+
! 
!
!
aaa session-id common
tacacs-server host [IP address]
tacacs-server timeout 10
no tacacs-server directed-request
tacacs-server key [key]

Nada en VTY para iniciar sesión. Espero eso ayude.

de moda
fuente