Siempre que inicie sesión en un dispositivo de red con AAA / TACACS +, si hago un dedo gordo en la solicitud de contraseña después de la solicitud de nombre de usuario, la segunda solicitud de contraseña siempre falla incluso cuando la contraseña es correcta. Tengo que esperar la solicitud de nombre de usuario nuevamente, y debo obtener la contraseña correcta en la primera solicitud de contraseña inmediatamente después de eso. En otras palabras, cada vez que veo la segunda solicitud de contraseña, no funcionará.
Vea la interacción desinfectada y la configuración a continuación.
Verificación de acceso de usuario Nombre de usuario: nombre de usuario Contraseña: Contraseña: (siempre falla aquí) % Acceso denegado Verificación de acceso de usuario Nombre de usuario: nombre de usuario Contraseña: Conectado a s-site-rack-agg2.example.net en la línea 1 (nombre del sitio). s-site-rack-agg2 #
¿Qué podría ser diferente con esa segunda solicitud de contraseña para dar cuenta de este comportamiento?
La configuración típica AAA y relacionada que tengo es:
aaa nuevo modelo aaa autenticación inicio de sesión grupo predeterminado tacacs + línea local aaa autenticación inicio de sesión CONSOLA ninguno autenticación aaa habilitar grupo predeterminado tacacs + habilitar aaa autorización exec grupo predeterminado tacacs + local si está autenticado comandos de autorización aaa 1 grupo predeterminado tacacs + local si está autenticado comandos de autorización de aaa 7 tacacs de grupo predeterminados + local si está autenticado los comandos de autorización aaa 15 tacacs grupales predeterminados + locales si están autenticados aaa ejecutivo de contabilidad grupo de inicio-parada predeterminado tacacs + comandos de contabilidad aaa 0 tacacs de grupo de inicio-parada predeterminados + aaa comandos de contabilidad 1 tacacs de grupo de inicio-parada predeterminados + comandos de contabilidad aaa 7 tacacs de grupo de inicio-parada predeterminados + comandos de contabilidad aaa 15 tacacs grupales de inicio-parada predeterminados + aaa sistema de contabilidad predeterminado grupo de inicio-parada tacacs + ! ip tacacs fuente-interfaz Loopback0 tacacs-server host -prmiaryipremoved- conexión única tacacs-server host -secondaryipremoved- conexión única tacacs-server timeout 10 solicitud dirigida por el servidor tacacs tacacs-server key 7 -removed- ! línea con 0 autenticación de inicio de sesión CONSOLA línea vty 0 4 ubicación -removed- exec-timeout 60 0 contraseña 7 -removed- entrada de transporte telnet ssh
line
contraseña. Las contraseñas correctas obtuvieron una respuesta de TACACS de inmediato. Movido a los nuevos servidores ACS resolvió el problema, la misma configuración, por lo que parece que fue un problema ACS.