Настройка AAA accounting на S5720-LI для работы с TACACS+ сервером (CentOS 7)

353 0 4 0

Столкнулись с проблемой при настройке на S5720-52P-PWR-LI-AC функции accounting с внешним сервером TACACS+ работающим на CentOS 7.  Из функций ААА корректно работают authorization и authentication но с функцией accounting возникли проблемы.

 

Был снят пакетный дамп, где видно что коммутатор и сервер TACACS+ нормально обмениваются billing-сообщениями.  Однако на TACACS+ не приходит информация о действиях пользователей на коммутаторе.

 

Таким образом, billing-сообщения отправляются коммутатором, но в них ничего нет.

 

Значит нужно проверить настройки коммутатора.

 

Текущие настройки:

 

hwtacacs-server template tacacs

 hwtacacs-server authentication 172.X.X.235

 hwtacacs-server authorization 172.X.X.235

 hwtacacs-server accounting 172.X.X.235

 undo hwtacacs-server user-name domain-included

#

aaa

authentication-scheme tacacs

authorization-scheme tacacs

accounting-scheme tacacs

 

domain XXX

  authentication-scheme tacacs

  accounting-scheme tacacs

  authorization-scheme tacacs

  hwtacacs-server tacacs

 

 

Собранная диагностика:

 

<5720>display hwtacacs-server template  tacacs

  ---------------------------------------------------------------------------

  HWTACACS-server template name   : tacacs

  Primary-authentication-server   : 172.X.X.235:49:-

  Primary-authorization-server    : 172.X.X.235:49:-

  Primary-accounting-server       : 172.X.X.235:49:-

  Secondary-authentication-server : 0.0.0.0:0:-

  Secondary-authorization-server  : 0.0.0.0:0:-

  Secondary-accounting-server     : 0.0.0.0:0:-

  Current-authentication-server   : 172.X.X.235:49:-

  Current-authorization-server    : 172.X.X.235:49:-

  Current-accounting-server       : 172.X.X.235:49:-

  Source-IP-address               : 0.0.0.0

  Shared-key                      : ****************

  Quiet-interval(min)             : 5

  Response-timeout-Interval(sec)  : 5

  Domain-included                 : No

  Traffic-unit                    : B

 

<5720>display hwtacacs-server accounting-stop-packet all

Info: The accounting stop packet does not exist.

 

Проблема в неполных настройках.

http://support.huawei.com/hedex/pages/EDOC1000135317AEG0221R/09/EDOC1000135317AEG0221R/09/resources/dc/dc_cfg_aaa_1032.html?ft=0&fe=10&hib=12.4.12.3.9.5&id=dc_cfg_aaa_1032&text=(Optional)%20Configuring%20a%20Recording%20Scheme&docid=EDOC1000135317

 

На коммутаторе необходимо добавить Recording Scheme.

 

[5720-aaa] recording-scheme scheme0

[5720-aaa-recording-scheme0] recording-mode hwtacacs hw1

[5720-aaa-recording-scheme0] quit

[5720-aaa] cmd recording-scheme scheme0

  • x

Ответ

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход
Быстрый ответ Вверх