TACACS + - Cisco Router - Failover para o banco de dados local não está funcionando como deveria

Na verdade, eu já estou fazendo isso com uma variedade de switches e roteadores da Cisco. Aqui estão as linhas de código relevantes das configurações do IOS.

aaa new-model
aaa authentication login default group tacacs+ local
tacacs-server host **redacted**
tacacs-server directed-request
tacacs-server **redacted**

Como você pode ver, sim, você segue "tacacs +" com "local".

Quanto tempo leva o failover, quando você tenta autenticar a fonte TACACS deve estar inacessível pelo roteador por pelo menos 15 segundos (5 segundos para tempo limite e 3 tentativas de contatar o servidor) antes que a fonte de autenticação mude para local . link

A palavra-chave local no final está correta para o failover.

O problema é que o failover não é instantâneo e leva até 30 segundos para ocorrer.

Claramente, durante o teste, eu não estava esperando o tempo suficiente para perceber que o servidor TACACS não estava disponível (embora eu achasse que o mecanismo fosse mais como check tacacs, falha, falha)

aaa novo modelo

login de autenticação aaa {método} grupo {server} {fallback}

Sim, o substituto deve ser 'local' para usar o banco de dados local. Provavelmente, o guia tac plus dev pode responder sua pergunta.

CONFIGURANDO USUÁRIOS E GRUPOS TACACS +

Cada usuário pode pertencer a um grupo (mas apenas um grupo). Cada grupo pode, por sua vez, pertencer a outro grupo e assim ad infinitum. Usuários e grupos são declarados da seguinte maneira. Aqui nós declaramos dois usuários "fred" e "lily", e dois grupos, "admin" e "staff".

Fred é um membro do grupo "admin" e o grupo "admin" é, por sua vez, um membro do grupo "staff". Lily não é membro de nenhum grupo.

user = lily {     # user lily não é membro de nenhum grupo     # e não tem mais nada configurado ainda }

user = fred {     # fred é um membro do grupo admin     member = admin }

group = admin {     # group admin é um membro da equipe do grupo     membro = equipe }

grupo = equipe {     # equipe do grupo não é membro de nenhum grupo } RECURSÃO E GRUPOS Em geral, quando o daemon procura valores, por ex. senhas, ele procurará primeiro para ver se o usuário tem sua própria senha. Caso contrário, verificar se ela pertence a um grupo e, em caso afirmativo, se o grupo tem uma senha definida. Caso contrário, esse processo continua pela hierarquia de grupos (um grupo pode ser um membro de outro grupo) até que um valor seja encontrado ou não haja mais grupos. Este processo recursivo ocorre para pesquisas de datas de validade, para pap, arap e chap "segredos" e também para parâmetros de autorização (ver adiante).

Uma técnica típica de configuração é, portanto, colocar os usuários em grupos e especificar quantas características do grupo forem possíveis na declaração de grupo. Em seguida, declarações de usuário individuais podem ser usadas para substituir as configurações do grupo para usuários selecionados, conforme necessário.

link

Pelo que me lembro, local e LOCAL para Cisco são duas coisas diferentes.

local se referirá a um grupo de objetos chamado como tal.

LOCAL refere-se ao banco de dados do usuário real armazenado localmente no dispositivo Cisco.

Portanto, seu comando deve ser lido da seguinte forma:

aaa authentication login vtymethod group tacacs+ LOCAL

Desculpe, parece que isso é verdade apenas em dispositivos ASA ...