TACACS+ und VRF

09.05.2021



Die Konfiguration der Authentifizierung über TACACS hält eine kleine Fußangel bereit, wenn man auf dem betreffenden Cisco IOS-Device dafür das Management-VRF nutzen möchte.


Ich wunderte mich vor längerer Zeit darüber, dass AAA über TACACS+ nicht funktionieren wollte, obwohl ich meiner Meinung nach alles korrekt konfiguriert hatte, sprich: die AAA-Konfiguration von einem Device übernommen hatte, auf dem sie funktionierte. Die TACACS-Messages kamen auf den authentifizierenden Nodes der Cisco ISE schlichtweg nicht an.


Nach einiger Recherche stellte ich fest, dass das Problem mit ‚besonderen Konfigurations-Anforderungen‘ bei Verwendung eines VRFs für AAA zusammenhing. Konkret: ich wollte dem Cisco-Device die Authentifizierung, Autorisierung und das Accounting über den Management Port laufen lassen, der über ein Management-VRF isoliert war.


Das war meine ‚Standard-Konfiguration‘, die nicht funktionierte:

aaa authentication login CONSOLE group tacacs+ local-case enable

aaa authentication login VTY group tacacs+ local-case

aaa authentication enable default group tacacs+ none

aaa authorization exec default group tacacs+ if-authenticated

aaa accounting exec default start-stop group tacacs+

Des Rätsels Lösung besteht darin, dass man bei der Nutzung eines VRFs nicht die generische Gruppe tacacs+ nutzen darf, sondern eine eigene Gruppe verwenden muss.


Wenn man das weiß, ist es sehr einfach, die Konfiguration anzupassen:

aaa group server tacacs+ mgmtVrf-tac

aaa authentication login CONSOLE group mgmtVrf-tac local-case enable

aaa authentication login VTY group mgmtVrf-tac local-case

aaa authentication enable default group mgmtVrf-tac none

aaa authorization exec default group mgmtVrf-tac if-authenticated

aaa accounting exec default start-stop group mgmtVrf-tac


Falls noch das ‚Bonus-Problem‘ auftritt, dass nach nun erfolgreicher Anmeldung über TACACS+ im EXEC Mode statt direkt im ENABLE Mode zu landen, sollte man die AAA-Konfiguration noch um folgende Zeile ergänzen:

aaa authorization exec default group mgmtVrf-tac if-authenticated