Tacacs to Cisco and Juniper

Сама эта идея очень хоровая , когда у вас удаленных устройств более 10  уже становиться сложно их админить , в частности речь идет о ААА  , что б облегчить и автоматизировать процесс аутентификации пользователей и предназначен tacacs .

При работе связки Tacacs and Juniper есть одна особенность  для того что б пользователь аутертифицировался — этот пользователь (верней его UID с таким же именем должен быть в системе , без пароля и т.д  , главное что б был UID) , иначе вы получите след. ошибку :

 

Apr  3 11:44:46  jswd1 login[24444]: LOGIN_PAM_USER_UNKNOWN: Attempt to authenticate unknown user adminr
Apr  3 11:44:46  jswd1 login[24444]: User 'remote' authenticated successfully but no local login-id configured.
Apr  3 11:44:46  jswd1 login[24444]: LOGIN_FAILED: Login failed for user adminr from host 10.99.4.30

Сама же конфигурация на Juniper достаточно проста

set system root-authentication encrypted-password "INSERT PASSWORD HASH"

set system login class Admin permissions all set system login user admin uid 2000 class Admin authentication encrypted-password "INSERT PASSWORD HASH "

set system authentication-order [ tacplus password ] set system tacplus-server XX.XX.XX.XX secret "SECRET"

set system accounting events login

set system accounting events change-log

set system accounting events interactive-commands set system accounting destination tacplus server XX.XX.XX.XX secret "SECRET"

 

Есть один момент , что б пользователь смог зайти необходимо завести имя пользователя и завести его в какую нить группу

set system login user adminXX uid 2000 class Admin

 

Теперь пользователь adminXX сможет зайти , аутентифицируясь на сервере Tacacs