Hi cả nhà.

Em là thành viên mới của diễn đàn. Trước tiên xin gửi lời chào cả nhà và chúc cả nhà mạnh khỏe.:103:

Em xin hỏi mọi người một chút. Thông thường khi triển khai xác thực trên router, có thể xác thực bằng local (Database ngay trên router, hoặc dùng RADIUS, TACACS), vậy có cách nào kết hợp cả 2 phương pháp này ko ? Trong trường hợp TACACS server có lỗi, thì còn cách dự phòng để vào router nưa chứ?

Chào bạn,

Câu lệnh bên dưới phù hợp cho nhu cầu của bạn:

Router(config)#aaa authentication login default group tacacs+ group radius local

Nếu server để chứng thực bằng cho user bằng tacacs lỗi -> chứng thực bằng radius server (Nếu lỗi tiếp tục)->sẽ chứng thực bằng username + password trong local.
Nếu server chứng thực cho user bằng tacacs vẫn chạy nhưng bạn gõ sai thông tin username + password thì truy cập sẽ bị cấm.

Hi bạn.

Trong mô hình của mình, R1 có địa chỉ là 10.33.100.10 TACACS server có địa chỉ là 10.33.10.250, trên server mình đã tạo 2 group và có 2 user thuộc 2 group này (Guest và balcony lần lượt thuộc nhóm Guest và Admin). Với cấu hình hiện tại

enable password abc
!
aaa new-model
aaa authentication login default group tacacs+
aaa authorization exec default group tacacs+
aaa session-id common
ip subnet-zero

tacacs-server host 10.33.100.250
tacacs-server directed-request
tacacs-server key keychiase
line con 0
line aux 0
line vty 0 4

Thì mình có thể telnet vào R1 bằng 1 trong 2 user nói trên. Sau khi thêm câu lệnh của bạn vào, vẫn có thể xác thực được bằng tacacs server, tuy nhiên nếu cho server này die, thì ko thể xác thực được bằng uername local được.

User Access Verification

Username: abc
Password:
% Authorization failed.
Nó cứ toàn báo như trên.

hi bạn !
- Thứ i : bạn nên tạo 1 user local trên Router bằng cmd (username abc pass ...).
- Thứ ii : bạn muốn Server tacacs die, thì chứng thực sẽ dùng username local
Router(config)#aaa authentication login default group tacacs+ local

Chúc bạn thành công !

Chào bạn,


% Authorization failed.

Bạn đã qua bước chứng thức (authentication).
Còn lỗi báo authorization là do bạn chưa cấu hình quyền cho phần user local.

Muốn hết báo lỗi bạn thử bỏ câu lệnh aaa authorization exec default group tacacs+ là hết báo lỗi ngay.

Hi các bạn.

Rát cảm ơn mọi người đã hỗ trợ, mình đã làm được như mong muốn. Xin hỏi mọi người một câu nữa. Nếu như trong mô hình của mình, nếu có thêm R2 cùng đặt dải IP 10.33.100.x khi thực hiện telnet đến R1, thì quá trình từ R2 đến R1 là hoàn toàn unsecure, mình đã dùng Wireshark để bắt gói tin và hoàn toàn có thể bắt được username/password này (username/password để xác thực trên TACACS). Mình đã nghĩ đến giải pháp là trên TACACS cấu hình chỉ cho phép R1 nhận phiên từ những IP được chỉ định, nhưng có giải pháp nào cho vấn đề này ko ạ ?

Chào bạn,

Muốn người khác không bắt gói được thì bạn cấu hình line vty cho máy client của bạn cấu hình từ xa bằng ssh.
Muốn xác định lớp mạng nào được connect vào cấu hình từ xa thì dùng access-class

ip access-list standard SSH
permit 192.168.1.0 0.0.0.255

line vty 0 4
access-class SSH in
transport input ssh

Hi, cảm ơn bạn đã hỗ trợ. Cho mình hỏi, khi triển khai AAA, thường cấu hình thêm Syslog server, vậy thông thường sử dụng phần mềm gì tại server ? Minh có search trên mạng thấy có KIWI, có soft nào free ko ạ ?

Thanks.

Chào mọi người!
Cho em hỏi 1 chút lạc đề! Em có 1 router được cấu hình gồm 1 user admin privi 15 và 1 user client privi 7. Khi dùng bình thường thì client sẽ sử dụng, xin hỏi admin khi truy cập router và muốn log lại nhưng câu lệnh mà user client đã cấu hình thì có thể dùng cách nào ?
Thanks !