AAA 授权超时

网络工程 思科-ios 啊啊啊 塔卡克斯 授权
2021-07-17 06:33:33
  1. 登录到启用了 TACACS 授权的 Cisco IOS 设备
  2. 执行导致设备无法访问 TACACS 服务器的命令
  3. 输入需要 TACACS 授权的命令

默认情况下,在设备返回“命令授权失败”之前的超时时间约为 30 秒。

我试过这个命令来修复...

tacacs-server timeout <seconds>

但是,这仅影响身份验证部分,而不影响授权。

出于授权目的,您如何调整超时以与 TACACS 服务器通信?

编辑:相关配置粘贴在下面。

请注意,如果 TACACS 服务器出现故障,我对用户收到“命令授权失败”消息感到满意。我只是不希望他们在每个命令之间等待 30 秒才能让服务器超时。

我担心的是,如果有人将 75 条线路粘贴到路由器中,而第 3 条线路中断了与 TACACS 服务器的连接,则剩余的 72 条线路将在缓冲区中。据我了解,即使您关闭与路由器的 SSH 会话,它仍会处理缓冲区中的命令。

因此,如果路由器以每分钟 2 次的速率拒绝命令(命令授权失败),并且您在 5 分钟后修复问题,会发生什么情况?62 行突然粘贴并立即应用,您只是对您的更改进行了部分部署!你如何向管理层解释?

理想情况下,我想为 TACACS 服务器的授权设置 3 秒超时。至少到那时,发生上述灾难场景的可能性会大大降低。

配置:

tacacs-server host xx.xx.xx.27
tacacs-server host xx.xx.xx.28
tacacs-server key xxxxx
!
aaa new-model
!
aaa group server tacacs+ ACS1 
 server xx.xx.xx.27
 server xx.xx.xx.28
!
aaa authentication login default group ACS1 line local          
!
aaa authorization config-commands
aaa authorization exec default group ACS1 local 
aaa authorization commands 15 default group ACS1 local
!
aaa accounting commands 0 default start-stop group ACS1 
aaa accounting commands 15 default start-stop group ACS1
aaa accounting connection default start-stop group ACS1
!
aaa authentication login console-authc none                 
!
1个回答

有一个选项可以覆盖 tacacs 服务器的默认超时,具体取决于您的软件版本:

tacacs-server host host-name [port integer] [timeout integer]

timeout (可选)指定超时值。这将仅覆盖使用 tacacs-server timeout 命令为此服务器设置的全局超时值。

在较新的版本上,tacacs-server 被截断:

tacacs server [group name]
address ipv4 [tacacs server address]
key [password]
timeout [timeout integer]

timeout - 等待此 TACACS 服务器回复的时间(覆盖默认值)

编辑: 我可以确认,我们现在已将 TACACS 配置更改为以下内容,它对所有 900 台设备(包括超时选项)都具有吸引力。所有交换机和路由器都运行最新的安全港 IOS。

TACACS 在 Cisco ISE 冗余平台上运行。

第 2/3 层交换机和路由器,也带有 VRF(不包括 Nexus):

aaa group server tacacs+ TACACS_PLUS
server-private XX.XX.X.XXX timeout 2 key <password>
server-private XX.XX.X.XXX timeout 2 key <password>
Optional: ip vrf forwarding <vrf name>

aaa authorization config-commands

aaa authentication login default group TACACS_PLUS local
aaa authentication enable default group TACACS_PLUS enable
aaa authorization exec default group TACACS_PLUS local 

aaa authorization commands 0 default group TACACS_PLUS if-authenticated 
aaa authorization commands 1 default group TACACS_PLUS if-authenticated 
aaa authorization commands 15 default group TACACS_PLUS if-authenticated 

aaa accounting commands 0 default start-stop group TACACS_PLUS
aaa accounting commands 1 default start-stop group TACACS_PLUS
aaa accounting commands 15 default start-stop group TACACS_PLUS

Nexus 5K、6K、7K(已测试):

feature tacacs+

tacacs-server host XX.XX.X.XXX key <password> timeout 2
tacacs-server host XX.XX.X.XXX key <password> timeout 2

aaa group server tacacs+ TACACS_PLUS
  server XX.XX.X.XXX
  server XX.XX.X.XXX
  source-interface <ex. vlan/loopback>
  !Optional: use-vrf <vrf name>

aaa authentication login default group TACACS_PLUS
aaa authorization config-commands default group TACACS_PLUS
aaa authorization commands default group TACACS_PLUS
aaa accounting default group TACACS_PLUS
其它你可能感兴趣的问题
上一篇Cisco OSPF 类型 5 /32 路由在数据库中,但不在路由表中 下一篇Sticky mac 在 Cisco 3750v2 上学习 PC mac 作为 vlan 语音