tacacs服务器对设备本地console命令授权失败

发布时间:  2016-01-08 浏览次数:  238 下载次数:  0
问题描述

设备本地配置完采用hwtacacs协议对用户进行授权后,用户仍然能通过本地设置的console密码登录设备    

               

告警信息

处理过程

相关配置如下:

hwtacacs server template tencent_scheme
hwtacacs server authentication 172.16.0.196
hwtacacs server authentication 10.12.220.198 secondary
hwtacacs server authorization 172.16.0.196
hwtacacs server authorization 10.12.220.198 secondary
hwtacacs server accounting 172.16.0.196
hwtacacs server accounting 10.12.220.198 secondary
hwtacacs server source-ip 10.130.255.15

aaa
undo local-user policy security-enhance
default-domain admin tencent_domain
local-user tencent password irreversible-cipher $2a$Yz=VJNT6r6$vTF,>"~I\">\E(1GZ.&LtTw59:&.D*[g5n&h!~QS$
local-user tencent service-type ftp terminal telnet ssh
local-user tencent level 15
local-user tencent ftp-directory flash:/
#
authentication-scheme default
#
authentication-scheme tencent_scheme
  authentication-mode hwtacacs local
#
authorization-scheme default
#
authorization-scheme tencent_scheme
  authorization-mode hwtacacs local
  authorization-cmd 15 hwtacacs local
#
accounting-scheme default
#
accounting-scheme tencent_scheme
  accounting-mode hwtacacs
#
domain default
#
domain default_admin
#
domain tencent_domain
  authentication-scheme tencent_scheme
  authorization-scheme tencent_scheme
  accounting-scheme tencent_scheme
  hwtacacs server tencent_scheme
#

1.配置完hwtacacs后,仍然能通过本地console密码登录,说明tacacs服务器命令下发没生效。

2.在设备本地带源地址(Loopback0)ping tacacs服务器,能ping通,说明中间网络没问题。

3.检查整体设备配置,发现如下问题:

user-interface con 0
authentication-mode password
#

可以发现console用户绑定的认证方式是密码认证,不是aaa,所以导致tacacs服务器下发不了命令到本地console用户

根因

console用户绑定的认证方式是密码认证,不是aaa,所以导致tacacs服务器下发不了命令到本地console用户;

修改本地console用户的认证方式,修改如下:

user-interface con 0
authentication-mode aaa
#

解决方案
修改本地console用户的认证方式,修改如下:

user-interface con 0
authentication-mode aaa
#

建议与总结

END