forum.opennet.ru - "Помогите пожалуйста! aaa authen ppp if-needed не работает" (2)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Помогите пожалуйста! aaa authen ppp if-needed не работает"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Помогите пожалуйста! aaa authen ppp if-needed не работает"
Сообщение от Serg on 01-Окт-03, 14:45 (MSK)
Здравствуйте! Почему вдруг циска начала требовать ppp-аутентификацию, если юзер уже благополучно аутентифицирован на соответствующей line? И pap-аутентификация, и login-аутертификация по отдельности работают. Не работает когда в случае login-аутентификации такакс возвращает циске autocmd=ppp (в этот момент show users уже видно имя абонента), после чего циска запускает ppp и дополнительно запрашивает pap-аутентификацию. Кстати на соседних цисках с такой же конфигурацией все работает правильно, ppp-аунтентификация пропускается. Правда ios более старый. Т.е: "aaa authentication ppp default if-needed.... if-needed - не делать проверку, если она уже была произведена при входе на линию" - http://www.bog.pp.ru/work/ios_aaa.html или "if-needed: Does not authenticate if the user has already been authenticated on a tty line." - http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fsecur_r/faaacr/srfathen.htm#45094 Но у меня это не хочет работать. Что можно сделать в такой ситуации? c3660-js-mz.122-11.T6.bin aaa new-model aaa authentication login default group tacacs+ aaa authentication ppp default if-needed group tacacs+ aaa authorization exec default group tacacs+ aaa authorization exec dialup_users group tacacs+ aaa authorization network dialup_users group tacacs+ ! interface Group-Async1 ip unnumbered Loopback0 encapsulation ppp no ip route-cache no ip mroute-cache keepalive 20 async mode interactive peer default ip address pool aksay1 ppp authentication pap callin ppp authorization dialup_users group-range 129 158 ! line 129 158 exec-timeout 0 0 timeout login response 60 flush-at-activation authorization exec dialup_users modem InOut exec-character-bits 8 special-character-bits 8 transport preferred none transport input all escape-character NONE autoselect during-login autoselect ppp telnet transparent В такакс-сервере: user=test2 { login = file /etc/passwd service = ppp protocol = ip { dns-servers = "1.1.1.1 2.2.2.2" } service = exec { autocmd = "ppp" } } Пример: Проверяем, во время login аутернификации используем имя test2. В настройках ppp клиента для рар - test3, который в такаксе отстутствует. deb aaa authen deb aaa author deb ppp authen 17:05:48: AAA/AUTHEN/LOGIN (0000051E): Pick method list 'default' 17:05:56: AAA/AUTHOR (0x51E): Pick method list 'dialup_users' 17:05:56: AAA/AUTHOR/EXEC(0000051E): processing AV cmd= 17:05:56: AAA/AUTHOR/EXEC(0000051E): processing AV autocmd=ppp 17:05:56: AAA/AUTHOR/EXEC(0000051E): Authorization successful 17:05:58: As139 PPP: Treating connection as a dedicated line 17:05:58: As139 PPP: Authorization required 17:05:58: As139 AAA/AUTHOR/LCP: Authorization succeeds trivially 17:05:58: %LINK-3-UPDOWN: Interface Async139, changed state to up 17:05:59: As139 PAP: I AUTH-REQ id 1 len 15 from "test3" 17:05:59: As139 PAP: Authenticating peer test3 17:05:59: AAA/AUTHEN/PPP (0000051E): Pick method list 'default' 17:05:59: As139 PPP: Sent PAP LOGIN Request to AAA 17:05:59: As139 PPP: Received LOGIN Response from AAA = FAIL 17:05:59: As139 PAP: O AUTH-NAK id 1 len 27 msg is "Authentication failure"
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Помогите пожалуйста! aaa authen ppp if-needed не работает, LS, 01:31 , 04-Окт-03, (1)
- Помогите пожалуйста! aaa authen ppp if-needed не работает, LS, 01:36 , 04-Окт-03, (2)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Помогите пожалуйста! aaa authen ppp if-needed не работает"

Сообщение от LS on 04-Окт-03, 01:31  (MSK)

>Здравствуйте!
>
>Почему вдруг циска начала требовать ppp-аутентификацию, если юзер уже благополучно аутентифицирован на
>соответствующей line?
>И pap-аутентификация, и login-аутертификация по отдельности работают. Не работает когда в случае
>login-аутентификации такакс возвращает циске autocmd=ppp (в этот момент show users уже
>видно имя абонента), после чего циска запускает ppp и дополнительно запрашивает
>pap-аутентификацию. Кстати на соседних цисках с такой же конфигурацией все работает
>правильно, ppp-аунтентификация пропускается. Правда ios более старый.
>Т.е:
>"aaa authentication ppp default if-needed....  if-needed - не делать проверку, если
>она уже была произведена при входе на линию" - http://www.bog.pp.ru/work/ios_aaa.html
>или "if-needed: Does not authenticate if the user has already been authenticated
>on a tty line." - http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fsecur_r/faaacr/srfathen.htm#45094
>Но у меня это не хочет работать. Что можно сделать в такой
>ситуации?
>c3660-js-mz.122-11.T6.bin
>
>
>aaa new-model
>aaa authentication login default group tacacs+
>aaa authentication ppp default if-needed group tacacs+
>aaa authorization exec default group tacacs+
>aaa authorization exec dialup_users group tacacs+
>aaa authorization network dialup_users group tacacs+
>!
>interface Group-Async1
> ip unnumbered Loopback0
> encapsulation ppp
> no ip route-cache
> no ip mroute-cache
> keepalive 20
> async mode interactive
> peer default ip address pool aksay1
> ppp authentication pap callin
> ppp authorization dialup_users
> group-range 129 158
>!
>line 129 158
> exec-timeout 0 0
> timeout login response 60
> flush-at-activation
> authorization exec dialup_users
> modem InOut
> exec-character-bits 8
> special-character-bits 8
> transport preferred none
> transport input all
> escape-character NONE
> autoselect during-login
> autoselect ppp
> telnet transparent
>
>В такакс-сервере:
>
>user=test2 {
>        login = file /etc/passwd
>
>        service = ppp protocol
>= ip {
>
>dns-servers = "1.1.1.1 2.2.2.2"
>        }
>        service = exec {
>
>
>autocmd = "ppp"
>        }
>}
>
>Пример:
>
>Проверяем, во время login аутернификации используем имя test2. В настройках ppp клиента
>для рар - test3, который в такаксе отстутствует.
>
>deb aaa authen
>deb aaa author
>deb ppp authen
>
>17:05:48: AAA/AUTHEN/LOGIN (0000051E): Pick method list 'default'
>17:05:56: AAA/AUTHOR (0x51E): Pick method list 'dialup_users'
>17:05:56: AAA/AUTHOR/EXEC(0000051E): processing AV cmd=
>17:05:56: AAA/AUTHOR/EXEC(0000051E): processing AV autocmd=ppp
>17:05:56: AAA/AUTHOR/EXEC(0000051E): Authorization successful
>17:05:58: As139 PPP: Treating connection as a dedicated line
>17:05:58: As139 PPP: Authorization required
>17:05:58: As139 AAA/AUTHOR/LCP: Authorization succeeds trivially
>17:05:58: %LINK-3-UPDOWN: Interface Async139, changed state to up
>17:05:59: As139 PAP: I AUTH-REQ id 1 len 15 from "test3"
>17:05:59: As139 PAP: Authenticating peer test3
>17:05:59: AAA/AUTHEN/PPP (0000051E): Pick method list 'default'
>17:05:59: As139 PPP: Sent PAP LOGIN Request to AAA
>17:05:59: As139 PPP: Received LOGIN Response from AAA = FAIL
>17:05:59: As139 PAP: O AUTH-NAK id 1 len 27 msg is "Authentication
>failure"
см. authorization network и ищи dialup_users по своему конфигу - делай выводы

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Помогите пожалуйста! aaa authen ppp if-needed не работает"

Сообщение от LS on 04-Окт-03, 01:36  (MSK)

аутентификация - это только первая буква в AAA

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Помогите пожалуйста! aaa authen ppp if-needed не работает"
Сообщение от LS on 04-Окт-03, 01:31 (MSK)
>Здравствуйте! > >Почему вдруг циска начала требовать ppp-аутентификацию, если юзер уже благополучно аутентифицирован на >соответствующей line? >И pap-аутентификация, и login-аутертификация по отдельности работают. Не работает когда в случае >login-аутентификации такакс возвращает циске autocmd=ppp (в этот момент show users уже >видно имя абонента), после чего циска запускает ppp и дополнительно запрашивает >pap-аутентификацию. Кстати на соседних цисках с такой же конфигурацией все работает >правильно, ppp-аунтентификация пропускается. Правда ios более старый. >Т.е: >"aaa authentication ppp default if-needed.... if-needed - не делать проверку, если >она уже была произведена при входе на линию" - http://www.bog.pp.ru/work/ios_aaa.html >или "if-needed: Does not authenticate if the user has already been authenticated >on a tty line." - http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fsecur_r/faaacr/srfathen.htm#45094 >Но у меня это не хочет работать. Что можно сделать в такой >ситуации? >c3660-js-mz.122-11.T6.bin > > >aaa new-model >aaa authentication login default group tacacs+ >aaa authentication ppp default if-needed group tacacs+ >aaa authorization exec default group tacacs+ >aaa authorization exec dialup_users group tacacs+ >aaa authorization network dialup_users group tacacs+ >! >interface Group-Async1 > ip unnumbered Loopback0 > encapsulation ppp > no ip route-cache > no ip mroute-cache > keepalive 20 > async mode interactive > peer default ip address pool aksay1 > ppp authentication pap callin > ppp authorization dialup_users > group-range 129 158 >! >line 129 158 > exec-timeout 0 0 > timeout login response 60 > flush-at-activation > authorization exec dialup_users > modem InOut > exec-character-bits 8 > special-character-bits 8 > transport preferred none > transport input all > escape-character NONE > autoselect during-login > autoselect ppp > telnet transparent > >В такакс-сервере: > >user=test2 { > login = file /etc/passwd > > service = ppp protocol >= ip { > >dns-servers = "1.1.1.1 2.2.2.2" > } > service = exec { > > >autocmd = "ppp" > } >} > >Пример: > >Проверяем, во время login аутернификации используем имя test2. В настройках ppp клиента >для рар - test3, который в такаксе отстутствует. > >deb aaa authen >deb aaa author >deb ppp authen > >17:05:48: AAA/AUTHEN/LOGIN (0000051E): Pick method list 'default' >17:05:56: AAA/AUTHOR (0x51E): Pick method list 'dialup_users' >17:05:56: AAA/AUTHOR/EXEC(0000051E): processing AV cmd= >17:05:56: AAA/AUTHOR/EXEC(0000051E): processing AV autocmd=ppp >17:05:56: AAA/AUTHOR/EXEC(0000051E): Authorization successful >17:05:58: As139 PPP: Treating connection as a dedicated line >17:05:58: As139 PPP: Authorization required >17:05:58: As139 AAA/AUTHOR/LCP: Authorization succeeds trivially >17:05:58: %LINK-3-UPDOWN: Interface Async139, changed state to up >17:05:59: As139 PAP: I AUTH-REQ id 1 len 15 from "test3" >17:05:59: As139 PAP: Authenticating peer test3 >17:05:59: AAA/AUTHEN/PPP (0000051E): Pick method list 'default' >17:05:59: As139 PPP: Sent PAP LOGIN Request to AAA >17:05:59: As139 PPP: Received LOGIN Response from AAA = FAIL >17:05:59: As139 PAP: O AUTH-NAK id 1 len 27 msg is "Authentication >failure" см. authorization network и ищи dialup_users по своему конфигу - делай выводы
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Помогите пожалуйста! aaa authen ppp if-needed не работает"
	Сообщение от LS on 04-Окт-03, 01:36 (MSK)
	аутентификация - это только первая буква в AAA
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх