Autenticação VRF do Tacacs

7

Acabamos de receber um novo Supervisor7 com o OS 3.4.1. Estou tentando configurar a autenticação com tacacs e não consigo entender como fazê-lo funcionar. Essa configuração funciona em nossos outros comutadores, mas não funciona neste 4500.

aaa new-model
username cisco privilege 15 secret 5 $1$qLGb$VQ7BdaJEpzGFqPeC979Uh1
tacacs-server host 10.4.25.8 key ourKeyIsSecret
aaa authentication login default group tacacs+ local
line vty 0 15
 login authen default

Só podemos fazer login com a senha de fallback. O switch nem está tentando entrar em contato com o tacacs.

Alguém pode ajudar?

nachos
fonte
11
Você é capaz de executar ping no servidor tacacs +? show tacacsdeve revelar algumas informações, bem como debug tacacs events.
generalnetworkerror
#ping vrf mgmtVrf 10.4.25.8 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.4.25.8, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
Nachos

Respostas:

8

Essa configuração funciona em nossos outros comutadores, mas não funciona neste 4500.

Você está usando a porta Sup7 FastEthernet integrada, então esse é o seu problema:

aaa authentication login default group tacacs+ local
                                 ^^^^^^^^^^^^^

A porta Sup7 OOB está em um VRF ; portanto, você precisa configurar o Tacacs + em um VRF

aaa new-model
!
no tacacs-server host 10.4.25.8
!
aaa group server tacacs+ TacacsVrf
  server-private 10.4.25.8 key 7 ourKeyIsSecret
  ip vrf forwarding mgmtVrf
  ip tacacs source FastEthernet1
!
aaa authentication login default group TacacsVrf local
Mike Pennington
fonte
1

Esta é uma parte da configuração que estou usando no 4506 executando 12.2

username failsafe secret [local password]
aaa new-model
!
!
aaa authentication attempts login 3
aaa authentication fail-message ^Your fail message here.^
aaa authentication login default group tacacs+ local
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ if-authenticated 
aaa accounting exec default start-stop group tacacs+
! 
!
!
aaa session-id common
tacacs-server host [IP address]
tacacs-server timeout 10
no tacacs-server directed-request
tacacs-server key [key]

Nada no VTY para login. Espero que ajude.

na moda
fonte