رمضان كريم على كل اعضاء المنتدى..
مافيش اى اخبار
مشكورييييييييين
نــبـــوى
السلام عليكم
عملت ACS سرفر فيرجن 4 على ويندوز سرفر 2008 وظبط الروترز والسوتشز علشان authenticate من السرفر
ومشى الحال وكله تمام فى التلنت شغال والكونصول بس المشكله انى ال http مش بيفتح بيقولى اليوزر نام والباص بحط اللى فى الـ ACS مش شغال بحط اللى على الروتر اللوكال بردو مش شغال... بيجيبلى نفس رساله بيطلب احط اليوزر نيم والباص تانى وكمان نفس الكلام لما لحاول استخدم Cisco network assistant بيدينى ادخل اليوزر والباص تانى.
مع العلم انى مفعل shell (exec). option فى الـ ACS server
وكمان على الروتر والسوتشات:
ip http server
ip http authentication aaa login-authentication Ahmed
ارجو المسااااااعدة
نــــبــــوى
رمضان كريم على كل اعضاء المنتدى..
مافيش اى اخبار
مشكورييييييييين
نــبـــوى
وعليكم السلام ورحمة الله وبركاته أخي نبوي.
رمضان كريم علينا وعليك وعلى جميع الأعضاء.
ها أنا ذا قد جئت لمساعدتك وإن شاء الله أن أقدر على ذلك.
أريد منك بعض الإجابات أخي نبوي قبل أن نبدأ:
- ما هو إصدار الـ ACS Server الذي تستخدمه بالضبط؟ 4.2.1 أو 4.2.0؟
- ما هو الـ configuration للـ list التي اسمها Ahmed والتي وضعتها بعد جملة الـ http auth؟ إذا كان يمكنك وضع الـ show running-config للـسويتش سيكون ذلك مفيداً.
- ما البروتوكول الذي تستخدمه (Radius أو TACACS)؟
- قمت بتجربة سريعة حالياً وأظنّ أنّه عند محاولتك الدخول الى السويتش من الـ GUI وعندما يقوم بطلب الـ Password مرّة أخرى فإنّ الـ authentication يظهر في الـ ACS في الـ Passed athentication. أي أنّ الـ ACS يعطي إشارة إلى الـ switch لقبول الـ credentials ولكن يبدو أنّ المشكلة من السويتش. تأكّد في تجربتك هل يظهر الـ username الذي تحاول الدخول فيه في الـ failed attempts أو الـ Passed authentication؟
أرجو أن نحلّ المسألة سريعاً
أخي الكريم. قمت ببعض التحريّات وا لتجارب فوجدتُ أنّه حتى يعمل عندك الـ Login من الـ GUI بشكل جيّد يجب أن تضيف الأمر التّالي إلى الـ configuration:
aaa authorization exec default group {tacacs+| Radius} local
قم بإضافة الأمر وإن شاء الله تكون أمورك تمام
إذا لم يعمل الأمر أجب عن الأسئلة السابقة وأيضاً ما هو موديل السويتش الذي تستخدمه؟
مع فائق احترامي.
مشكور ياجميل وكل سنه وانت طيب
الاصدار 4.2.0 Build 124
البرتكول Tacacs
اما فى الـ failed attepts لما بكتب اليوزر والباص مش بيدينى حاجه فى الوج لما بجرب واكتب الباص غلط بيدينى فى اللوج invaled pass
فى الـ Passed authentication مفيش اى جحاجه بتظهر الصفحه بيضه
المهم انا ضفت الكوماند ونفس الكلام برضو بيطلب اليوزر والباصورد
ودة الكونفج بس شايل منه الحجات اللى ملهاش لازمه
Building configuration...
Current configuration : 4349 bytes
!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname SW1
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$JaBVL$DvQfGM9saMIejWp9cor.a0/
!
username abc privilege 15 secret 5 $s1$qlqk$1aJD0oXsCZjax0/Z74MTA/
aaa new-model
!
!
aaa authentication login Ahmed group tacacs+ local
aaa authorization exec default group tacacs+ local
!
!
!
aaa session-id common
system mtu routing 1500
ip subnet-zero
!
!
!
crypto pki trustpoint TP-self-signed-2792061440
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2792061440
revocation-check none
rsakeypair TP-self-signed-2792061440
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
!
interface FastEthernet0/1
switchport mode access
switchport port-security
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
macro description cisco-desktop
spanning-tree portfast
spanning-tree bpduguard enable
!
interface FastEthernet0/2
!
interface FastEthernet0/3
interface GigabitEthernet0/2
!
interface Vlan1
ip address 10.3.10.254 255.255.255.0
no ip route-cache
!
ip http server
ip http authentication aaa login-authentication AFS
ip http secure-server
tacacs-server host 10.2.2.71 key cisco
tacacs-server directed-request
!
control-plane
!
!
line con 0
login authentication Ahmed
line vty 0 4
login authentication Ahmed
line vty 5 15
login authentication Ahmed
!
end
عمال اجرب كل حاجه ممكنه بس اعتقد فى حاجه مش فاهمها
مفيش اى اخبار....
1- لازم user يكون عنده privilege 15 في ACS أو في الراوتر
2- في أومر ناقصة وغلط عندك في الاعدادات
مثلا
ip http authentication aaa login-authentication AFS
AFS مش موجودة في authentication and authorization lists
3- شوف المثال دا من موقع سيسكو
https://www.cisco.com/en/US/tech/tk5...9bdc5.shtml#t4
CCIE Security #25719, CCNA Voice
سورى يامان هى مكتوبه على الروتر Ahmed مش AFS مش عارف جت منيين دى
طيب خلينى اشوف المثال كده وهرجعلكو
مشكورييييين
ربنا يجعله فى ميزان حسناتكم
نـــبــــوى
السلام عليكم ورحمة الله وبركاته.
أعتذر عن التأخر في الرد أخي نبوي وذلك لمشاكل في الانترنت عندي في البيت. وكان من الصعب بمكان أن أدخل وأجيبك من مكان العمل في اليومين الماضيين.
هذا الـ configuration يعمل عندي بشكل جيّد (فقط سأضع النقاط المهمة)
aaa authentication login default group tacacs+ local
aaa authentication enable default none
aaa authorization exec default group tacacs+ local
ip http server
ip http authentication aaa
هذا كل ما هو موجودّ
وكما أسلف أخي minimax فإنّ المستخدم يجب أن يكون لديه privilege 15. وذلك تستطيع القيام به من الـ ACS تحت الـ Group أو الـ User باختيار Privilege level ووضع القيمة لها 15.
تحت الـ vty لا يوجد أي configuration.
الـ config السابق يعمل معي بشكل جيّد وأستطيع الدخول إلى الـ GUI.
كل التقدير أخي الكريم وعذراً على التأخير مرّة أخرى
!
aaa authentication login Ahmed group tacacs+ local
aaa authorization exec Ahmed group tacacs+ local
!
!
ip http server
ip http authentication aaa
ip http secure-server
tacacs-server host 10.2.2.71 key cisco
tacacs-server directed-request
!
control-plane
!
!
line con 0
login authentication Ahmed
line vty 0 4
login authentication Ahmed
line vty 5 15
login authentication Ahmed
!
end
يامان ربنا يكرمك انت والله عملت الواجب وزياده وكمان انا عارف انى زهقتكو بس انا عمال اجرب كل حاجه ممكنه وبرده مش راضى يدخل من ال HTTP
دى اخر كونف حطيتها عل حسب توجهات المهندس andalus اعتقد الكونج كده تمام على السويش لأنى بدخل Telnet and concol تمام مفيش مشاكل بس الـ HTPP نفس الكلام بيطلب اليوزر والباص تانى...
طيب ممكن ازاى اضيف يوزر علشان يشتغل على الـ HTTP فى الـ ACS مع انى ضايف user وشغال تمام على الكونصول وال تلنت....
رمضان كريم وكل عام وانت بخير
نـــبــــوى
الحمد لله اشتغغغغغغغغغغغغغغغغغغغل اخيرااااااا
الموضوع كله كان من الـ ACS server زى ما قال المهندس Andalus و minimax لازم الـ Privilege يكون 15 ومن هنا انا حطيطها 15
On ACS
Bring users/groups in at level 15
1. Go to user or group setup in ACS
2. Drop down to "TACACS+ Settings"
3. Place a check in "Shell (Exec)"
4. Place a check in "Privilege level" and enter "15" in the adjacent field
مشكوريييييين للمره المليون
بارك الله للكم وربنا يجعله فى ميزان حسناتكم
والله انا سعيد جدددددا بالمنتدى ده وبكل اللى بيشارك فيه
مشكوريييييييييييييييين
نـــبــــوى
مبارك أخي نبوي. سعيد جدّاً أنّه يعمل الآن
كل الشّكر للأخ minimax أيضاً على مجهوده.
وأعتذر أخي العزيز عن تأخري في الردّ أحياناً فالربط بالانترنت عندي محدود نوعاً ما في الوقت الحالي.
كل التقدير.
السلام عليكم رمضان كريم..
سؤال اخر فى الـ ACS بعد ما نجحت ان افتح السويتش والروتر من الـHTTP والفضل يرجع لله ثم أعضاء المنتدى.
لما بكتب الايبى على البروزر وبكتب اليوزر نيم والباص بيقعد يحمل كتير مش دى المشكله .. المشكله انو بيسألنى على اليوزر والباص كتير جدددددددددا بيعمل لووود لشويه حجات وبسأل يعمل لود ويسأل ...
بليز انا عايز اكتب اليوزر والباص مره واحده... ودى الكونفج:
aaa new-model
aaa authentication login default group tacacs+ local
aaa authentication login AFS group tacacs+ local
aaa authorization exec default group tacacs+ if-authenticated
aaa authorization exec AFS group tacacs+ local
ip http server
ip http authentication aaa
!
tacacs-server host 10.2.2.71 key cisco
tacacs-server directed-request
radius-server source-ports 1645-1646
!
control-plane
!
!
line con 0
login authentication AFS
line vty 0 4
login authentication AFS
line vty 5 15
login authentication AFS
مشكوريييييييييين
نـــبـــوى
المفضلات