思科交换机上的AAA / TACACS +密码始终在第二个密码提示符下失败

每当使用AAA / TACACS +登录网络设备时，如果我在用户名提示后加了密码提示，即使密码正确，第二个密码提示也总是失败。我必须再次等待用户名提示，并且必须紧随其后的第一个密码提示中输入正确的密码。换句话说，每当我看到第二个密码提示时，它将不起作用。

请参阅下面的经过清理的交互和配置。

用户访问验证
用户名：用户名
密码：

密码：（此处总是失败）
％ 拒绝访问

用户访问验证
用户名：用户名
密码：

在第1行（站点名称）上连接到s-site-rack-agg2.example.net。
s-site-rack-agg2＃

使用第二个密码提示来解决此问题可能有什么不同？

我拥有的典型AAA和相关配置为：

aaa新模型
aaa身份验证登录默认组tacacs +本地线路
aaa身份验证登录控制台无
aaa身份验证启用默认组tacacs +启用
aaa授权执行程序默认组tacacs +本地if-authenticated
aaa授权命令1个默认组tacacs +本地if-authenticated
aaa授权命令7个默认组tacacs +本地if-authenticated
aaa授权命令15个默认组tacacs +本地if-authenticated
aaa会计执行官默认启动-停止组tacacs +
aaa accounting命令0缺省启动-停止组tacacs +
aaa accounting命令1个默认的启停组tacacs +
aaa记帐命令7默认的启停组tacacs +
aaa记帐命令15个默认的启停组tacacs +
aaa会计系统默认的起止组tacacs +
！
ip tacacs源接口Loopback0
tacacs服务器主机-prmiaryipremoved-单连接
tacacs服务器主机-secondaryipremoved-单连接
tacacs服务器超时10
塔卡奇服务器定向请求
tacacs-服务器密钥7-已删除-
！
线骗子0
 登录身份验证控制台
行vty 0 4
 位置-已移除-
 执行超时60 0
 密码7-已删除-
 传输输入telnet ssh

当您尝试这样做时，我将在您的TACACS +服务器上进行调试。

我假设您只想使用TACACS身份验证，并且在无法访问服务器时仅回退到本地登录？

尝试使用此：
aaa authentication login default group tacacs+ line
aaa authentication enable default group tacacs+ enable

另请参见此站点：它具有一些很好的示例和说明。

http://my.safaribooksonline.com/book/networking/cisco-ios/0596527225/tacacsplus/i13896_ heada _4_2＃X2ludGVybmFsX0h0bWxWaWV3P3htbGlkPTA1OTY1MjcyMjUlMkZpNTAzYJNN

我的猜测是，由于您在以下位置输入了“ local”关键字：
aaa authentication login default group tacacs+ local line

TACACS +认证返回失败，因此路由器尝试执行本地认证。我想您应该为我们提供经过line vty清理的配置。如果你有
line vty 0 15
login local

然后它将执行用户名/密码身份验证，否则将执行密码

我认为您的配置非常危险，如果您使用“启用/线路”或“本地”作为后备，似乎犹豫不决，正确的答案是本地的，永远不要使用“启用”，尤其是永远不要使用“线路”（线路是两个-方式“加密”而不是单向散列）。

我建议使用此配置：

aaa new-model
! uses tacacs, fallsback to local user if tacacs not working
aaa authentication login default group tacacs+ local
! user gets enabled by tacacs or by enable password
aaa authentication enable default group tacacs+ enable
! console user is authorized as well (gets enabled, if such permission)
aaa authorization console
! configuration commands are authorized as well as exec commands (Good to prevent dangerous commands)
aaa authorization config-commands
! user privilege level is recovered from tacacs or from local account
aaa authorization exec default group tacacs+ local
! level 15 commands are authorized (you really only need this) 
aaa authorization commands 15 default group tacacs+ if-authenticated 
! level 1, 15 commands are logged (you really only need these two)
aaa accounting commands 1 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
!
! fallback user consulted only when tacacs is broken
username sikrit privilege 15 secret <password>

当tacacs不工作时将使用“ sikrit”用户（如果TACACS回答，则不能使用），而VTY下则不需要“行”密码，因为从未咨询过。不需要“启用”密码，因为从未咨询过。如果要启用未启用的备份用户，只需使用“特权1”创建另一个。
但是，如果您出于某种原因想要使用它，我确实添加了对“启用”的支持。

如果您使用的是OOB，并且已经对OOB进行了安全性/身份验证，则可能希望允许OOB用户始终使用本地身份验证，以防万一TACACS损坏了，但IOS误认为它不是，那么您需要添加类似以下内容：

aaa authentication login CONSOLE local
!
line con 0
 login authentication CONSOLE

我不确定这应该归咎于您的本地设备配置，而是您的TACACS服务器本身。TACACS会将用户名/密码提示从TACACS服务器（可能还有外部身份存储）代理到设备，因此，如果您使用的是ACS（例如）并设置为与AD对话以进行用户身份验证，则需要认为用户名/密码提示来自域控制器，而不是设备本身。

我最近遇到了一个完全像这样的问题，该问题已通过ACS的补丁修复-再次，我假设您使用的是ACS，并且已将其从AD中拉出以进行用户身份验证/组验证等。CiscoBug ID为CSCtz03211并且基本上ACS 5.3每次向设备发送一次“用户名/密码”身份验证尝试就向AD发送多次身份验证尝试。这将导致以下行为：如果用户在第一次尝试中用手指指了密码，则会将错误的用户名/密码组合的多个实例发送到AD，并且实际上将用户的帐户锁定，从而导致随后的登录尝试失败即使用户在第二次尝试中正确输入了用户名/密码（该行为也会因您在AD中为用户帐户设置的锁定阈值而有所不同），也会导致设备损坏。

只是要考虑的事情（不了解您的TACACS服务器实现）。