web-dev-qa-db-ja.com

TACACS + -Ciscoルーター-ローカルデータベースへのフェイルオーバーが正常に動作していません

TACACS +を使用していますが、TACACS +サーバーが利用できない場合にローカルでフェイルオーバーするように設定しようとしています。

私の目標は、最初にTACACSサーバーをチェックし、接続できない場合はフェイルオーバーすることです。

以下の設定行でこれを実現できると理解しています。「local」という単語は、「grouptacacs +」コマンドの後に表示されます。

aaa authentication login vtymethod group tacacs + local

テスト:サーバーでTACACSサービスを無効にして、ローカルユーザーで認証を試みたところ、ユーザーがグループに属していないことが通知されました(TACACSによって拒否されたようです)。

代わりに、次のコマンドラインを使用して、上記の最終目標を達成できます。

aaa authentication login vtymethod local group tacacs +

ユーザーが最初にローカルで最初に利用可能かどうかを最初にチェックするように...最後に置くとフェイルオーバーが可能になり、TACACSを最初にチェックしたいというのは常に私の理解でした...

ここでどこが間違っているのかについてのヒントはありますか?

1
Lance

私は実際にすでにさまざまなCiscoスイッチとルーターでこれを行っています。 IOS configsからの関連するコード行は次のとおりです。

aaa new-model
aaa authentication login default group tacacs+ local
tacacs-server Host **redacted**
tacacs-server directed-request
tacacs-server **redacted**

ご覧のとおり、はい、「tacacs +」の後に「local」を付けます。

フェイルオーバーにかかる時間については、認証ソースがローカルに変更される前に、TACACSソースを認証しようとすると、ルーターが少なくとも15秒間(タイムアウトの場合は5秒間、サーバーへの接続を3回試行する)到達できない必要があります。 https://supportforums.Cisco.com/discussion/11350726/two-acs-server-failover

0
user5870571

最後のlocalキーワードはフェイルオーバーに適しています。

問題は、フェイルオーバーが瞬時ではなく、発生するまでに最大30秒かかることです。

明らかに、テスト中、TACACSサーバーが利用できないことに気付くのに十分な時間待機していませんでした(メカニズムはtacacsをチェックするためにもっと考えていたでしょうが、失敗し、フェイルオーバーします)

1
Lance

aaa new-model

aaa authentication login {method} group {server} {fallback}

はい、ローカルデータベースを使用するには、フォールバックを「ローカル」にする必要があります。おそらく、tac plusdevガイドがあなたの質問に答えるかもしれません。

ユーザーとグループの構成TACACS +

各ユーザーはグループに属することができます(ただし、1つのグループのみ)。各グループは、順番に他の1つのグループに属することができ、以下同様に無限になります。ユーザーとグループは次のように宣言されます。ここでは、2人のユーザー「fred」と「lily」、および2つのグループ「admin」と「staff」を宣言します。

フレッドはグループ「admin」のメンバーであり、グループ「admin」はグループ「staff」のメンバーです。リリーはどのグループのメンバーでもありません。

user = lily {#user lilyはどのグループのメンバーでもありません#そしてまだ何も設定されていません}

user = fred {#fredはグループadminのメンバーですmember = admin}

group = admin {#groupadminはgroupstaff member = staffのメンバーです}

group = staff {#グループstaffはどのグループのメンバーでもありません}再帰とグループ一般に、デーモンが値を検索するとき。パスワードの場合、最初にユーザーが自分のパスワードを持っているかどうかを確認します。そうでない場合は、彼女がグループに属しているかどうか、属している場合は、グループにパスワードが定義されているかどうかを確認します。そうでない場合、このプロセスは、値が見つかるか、グループがなくなるまで、グループの階層を介して続行されます(グループは別のグループのメンバーになることができます)。この再帰的プロセスは、有効期限のルックアップ、pap、arap、chapの「シークレット」、および認証パラメーター(後述)に対して発生します。

したがって、一般的な構成手法は、ユーザーをグループに配置し、グループ宣言でできるだけ多くのグループ全体の特性を指定することです。次に、個々のユーザー宣言を使用して、必要に応じて、選択したユーザーのグループ設定を上書きできます。

http://www.stben.net/tacacs/users_guide.html

0
haile