Tacacs+ IKS-6728A

[Alexdmc]

Добрый день!
Обнаружили неприятную особенность в работе протокола аутентификации на коммутаторах Moxa IKS-6728A, прошивка V5.4

При включении протокола аутентификации (Tacacs+, Local) - пропадает возможность подключиться к коммутатору по учетной записи встроенного администратора.
Выключаем Tacacs+,- встроенная учетка также не доступна.

Конфиг:

username admin password xxx privilege 1
!
authentication tacacs+ login server-ip xxx.xxx.xxx.xxx.
authentication tacacs+ login shared-key xxx
authentication tacacs+ login timeout 30
!
authentication radius login auth-type pap
!
authentication login tacacs+ local
 

[Незнайка]

Здравствуйте!

Если после включения (Tacacs+, Local) Tacacs сервер доступен - то войти с локальной учёткой не получится, это нормально.

Поведение при выключении постараемся проверить.

[Alexdmc]

Также экспериментальным путем выяснили, что если откинуть физические линки в сеть на оборудовании с подобной конфигурацией, то локальная учетная запись становится доступной.

[Незнайка]

Я, к сожалению, так и не успел протестировать, но судя по тому, что вы пишите - работает правильно, то есть пока Tacacs сервер доступен (условно говоря - пингуется), локальная авторизация работать не будет. Не важно, есть на Tacacs такая учётка или нет.

[Alexdmc]

Все-таки хочу снова поднять данную тему. И отметить момент, что при недоступности Tacacs, - зайти под локальным администратором не получается.

[Незнайка]

2 hours ago, Alexdmc said:

Все-таки хочу снова поднять данную тему. И отметить момент, что при недоступности Tacacs, - зайти под локальным администратором не получается.

Опишите проблему более подробно: что используется, последовательность действий, версии ПО, конфигурационные файлы.

[Alexdmc]

В 13.03.2019 в 14:45, Незнайка сказал:

Опишите проблему более подробно: что используется, последовательность действий, версии ПО, конфигурационные файлы.

1) Версия ПО: 5.6

2) Конфигурация:

username admin password xxx privilege 1
!
authentication tacacs+ login server-ip xxx.xxx.xxx.xxx.
authentication tacacs+ login shared-key xxx
authentication tacacs+ login timeout 30
!
authentication radius login auth-type pap
!
authentication login tacacs+ local

3) Выключаю сервис Tacacs+ на сервере: доступ по учетной записи Tacacs пропадает. Доступ по локальной учетной записи отсутствует.

Подключаюсь консольным кабелем: доступ по учетной записи Tacacs, локальной учетной записи отсутствует.

Отключаем все активные линки с коммутатора: доступ по локальной учетной записи восстанавливается.

[Незнайка]

7 hours ago, Alexdmc said:

1) Версия ПО: 5.6

2) Конфигурация:

username admin password xxx privilege 1
!
authentication tacacs+ login server-ip xxx.xxx.xxx.xxx.
authentication tacacs+ login shared-key xxx
authentication tacacs+ login timeout 30
!
authentication radius login auth-type pap
!
authentication login tacacs+ local

3) Выключаю сервис Tacacs+ на сервере: доступ по учетной записи Tacacs пропадает. Доступ по локальной учетной записи отсутствует.

Подключаюсь консольным кабелем: доступ по учетной записи Tacacs, локальной учетной записи отсутствует.

Отключаем все активные линки с коммутатора: доступ по локальной учетной записи восстанавливается.

Всё верно. Я может тут не писал, но тестировал. Пока TACACS+ отвечает на пинг - так и будет работать. Недоступность сервиса не является достаточным основанием для перехода на локальную систему аутентификации.