最近遇到一個客戶aaa沒有正確的配置,導致自己被關在設備外面的case;由於是生產環境的多交換機堆疊單元,重啓忽略配置也是不允許的,且必須遠程操作解決,無疑提升瞭解決問題的難度。
多次嘗試後發現通過cisco acs上的一些設置可以繞過授權進入設備,分享上來和大家一起研究下,這種場景類似於juniper srx防火牆的本地映射機制,但思科應該沒有文檔說明過類似情況。
設備配置如下
aaa authentication login noauth local none
aaa authorization console
aaa authorization exec default group radius
line con 0
login authentication noauth
line aux 0
logging synchronous
line vty 0 4
login authentication noauth
end
以上配置認證使用本地數據庫,授權使用radius server,且授權沒有配置逃生通道(坑爹)
telnet無法登錄,結果提示reject:輸入本地用戶和密碼提示拒絕
輸入錯誤的用戶提示授權失敗:Authorization Failed
輸入正確的用戶(local)錯誤的密碼顯示認證失敗: Authentication Failed
首先在acs中添加認證server 選中標籤Network Configuration添加server
我們先添加個server 點擊add entry 標籤
注意ip地址必須是本地網卡的地址,然後必須和交換機上配置的radius server地址一致,key可以隨意填寫
其次我們添加交換機作爲radius client
Shared Secret必須添加和交換機上實際配置匹配的密鑰
然後在user setup中選擇添加用戶
注意添加的用戶名必須和你交換機本地添加的一樣,密碼處須填寫cisco然後submit
至此思科ACS設置已經完成了
使用telnet登錄測試結果如下
username:
password:
R3>enable
Password
R3#
注意此處登錄的用戶名密碼爲本地Enable,密碼也爲本地設置的enable 密碼;至此能夠正常進入本地系統