USG5150防火墙配置tacacs后导致console、telnet、web都登陆失败

发布时间:  2016-06-13 浏览次数:  142 下载次数:  0
问题描述

1、USG5150部署telnet方式的tacacs验证登陆,部署tacacs登陆方式前,通过本地认证的console、telnet、web都正常登陆;部署tacacs登陆方式后,通过本地认证的console、telnet、web登陆设备失败,通过tacacs验证方式登陆提示:unauthorized access or use may lead to prosecution

告警信息
unauthorized access or use may lead to prosecution
处理过程

1、配置数据如下:

#
hwtacacs-server template ACS
hwtacacs-server authentication 192.168.73.14
hwtacacs-server authorization 192.168.73.14
hwtacacs-server accounting 192.168.73.14
hwtacacs-server shared-key icbccs@100010
#
aaa           
authentication-scheme 1
  authentication-mode hwtacacs local
authorization-scheme 1
  authorization-mode hwtacacs local
  authorization-cmd 15 hwtacacs local
accounting-scheme 1
  accounting-mode hwtacacs
recording-scheme 1
  recording-mode hwtacacs ACS
#
cmd recording-scheme 1
#
domain default
  authentication-scheme 1
  authorization-scheme 1
  accounting-scheme 1
  hwtacacs-server ACS
#
user-interface vty 0 4
authentication-mode aaa
#

通过上述配置数据可以得出结论:A、tacacs认证域使用了默认认证域,一旦tacacs认证不成功,同时也会导致所有本地认证登陆方式的console、telnet、web登陆失败。B、通过tacacs登陆失败提示unauthorized access or use may lead to prosecution可以初步判断是计费失败导致无法登陆。

根因

1、tacacs服务器计费失败,导致tacacs登陆失败。

2、tacacs认证配置漏添加:accounting start-fail online (如果开始计费失败,不作任何特殊处理,当作计费成功处理)。

3、tacacs认证未经过验证就直接配置在默认域下,导致所有本地验证登陆方式都失败。

解决方案

1、配置完tacacs认证数据未保存配置数据:重启设备恢复数据配置:在原有tacacs配置上添加命令accounting start-fail online ,tacacs验证正常登陆。
建议与总结
1、配置tacacs认证时候不建议配置在默认域下,如果必须配置在默认域下;应先使用新建域测试成功后再配置在默认域下。

END