home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #18 / NN_1992_18.iso / spool / comp / dcom / sys / cisco / 1148 < prev    next >
Encoding:
Internet Message Format  |  1992-08-21  |  2.1 KB
  1. Path: sparky!uunet!zaphod.mps.ohio-state.edu!ub!csn!boulder!recnews
  2. From: billw@regal.cisco.com (WilliamChops Westfield)
  3. Newsgroups: comp.dcom.sys.cisco
  4. Subject: Re: Tacacs-server authneticate slip
  5. Message-ID: <CMM.0.90.2.714277353.billw@regal.cisco.com>
  6. Date: 20 Aug 92 02:22:33 GMT
  7. Sender: news@colorado.edu
  8. Lines: 34
  9. In-Reply-To: Your message of Wed, 12 Aug 92 12:35:32 CDT
  10.  
  11.  
  12.     I'm trying to find some mechanism to allow and control SLIP access to
  13.     our terminal server on the same lines that I allow unauthenticated
  14.     (but address-filtered) telnet access.  The manual suggests that
  15.     "tacacs-server authenticate slip" would be the way to do this.
  16.  
  17.     I can't get it to work at all.  On some of our lines (which require
  18.     tacacs authentication to log into) the terminal server will send a
  19.     "SLIPON" message to the tacacs server.  Watching this with our
  20.     Sniffer, I can see that it sends the tacacs message with just a
  21.     userid.  On our other lines, which do not require tacacs logins, no
  22.     message gets sent at all.  In no case does the terminal server ever
  23.     prompt for a userid and password to enable SLIP.
  24.  
  25. The terminal server is behaving as expected.
  26.  
  27. First of all, "tacacs-server authenticate <anything>" only works on
  28. lines that a user has already logged in on.  This is because:
  29.  
  30. "tacacs authenticate <anything>" never asks the user for any additional
  31. data.  It sends a tacacs request with the userid and name (which it
  32. already knows), and the other information (like, this user is turning
  33. on SLIP.)  The tacacs server is supposed to be able to tell from this
  34. information whether that user is allowed to execute that operation.
  35. (The tacacs server that cisco provides always accepts SLIPON requests.)
  36.  
  37. If you want SLIP access to be authenticated on all lines, you might
  38. try setting "slip address dynamic" on the lines, which causes the address
  39. that the user wants to be authenticated with a separate password (more
  40. similar to a tacacs login.)  This results in up to three tacacs requests:
  41. one to log in, one to assign a SLIP address, and one to turn slip on.
  42.  
  43. Bill Westfield
  44. cisco Systems.
  45.