staros への tacacs+ でのログインについて、 local context と 他の context からのログインでは tacacs+ 認証失敗時の動作について挙動が違う部分がありましたので、まとめました。
確認バージョン: staros 21.23.10
1. on-unkown-user stop の設定において、local context 以外のネットワークからログインした場合は、tacacs+ 認証に失敗した場合でもlocal 設定の認証には移行せずログインが拒否されます。
configure
context local
tacacs mode
server priority 1 ip-address XXX.XXX.XXX.XXX password XXXXXXX
on-unknown-user stop
accounting start-stop
#exit
aaa tacacs+
|
on-unknown-user stop |
on-unknown-user continue |
local context からログイン |
local 認証を実施 |
local 認証を実施 |
他の context からログイン |
local 認証を実施しない |
local 認証を実施 |
2. ADMIN GUIDEに以下のような記載があります。
VPC-DI System Administration Guide, Release 21.23
Configuring TACACS+ for System Administrative Users
Configuring TACACS+ for Non-local VPN Authentication
A stop keyword option is available for the TACACS+ Configuration mode on-unknown-user command.
(snip)
Without this option the login sequence will attempt to authenticate in another context via an alternative login method.
on-unkown-user stop が設定されていない場合は、他のログイン方法に移行する、言い換えると on-unknown-user stop が設定されている場合は、他のログイン方法に移行しないことが考えられます。