<br><font size=2 face="sans-serif">I have tested it on the localhost where
tacacs+ server is running.....</font>
<br>
<br><font size=2 face="sans-serif">./tacacsplustest -user chetan -pass
123456 -key cooler &nbsp; &nbsp; &nbsp;</font>
<br><font size=2 face="sans-serif">sending Authentication request...</font>
<br><font size=2 face="sans-serif">Bad status in authentication response:
2, ''</font>
<br><font size=2 face="sans-serif">sending Authorization request...</font>
<br><font size=2 face="sans-serif">Received incorrect response type: </font>
<br>
<br><font size=2 face="sans-serif">I am not sure what's wrong with the
Server config or compilation.... btw i am running FC5 on both server and
network client</font>
<br>
<br>
<br><font size=2 face="sans-serif">Thanks and Regards,<br>
Chetan Jain<br>
Network Team - IR,<br>
Monitor Group,<br>
131 Free Press House,<br>
Nariman Point, Mumbai.<br>
India</font>
<br>
<br>
<br>
<table width=100%>
<tr valign=top>
<td width=40%><font size=1 face="sans-serif"><b>Chetan_Jain@monitor.com</b>
</font>
<br><font size=1 face="sans-serif">Sent by: tac_plus-bounces@shrubbery.net</font>
<p><font size=1 face="sans-serif">06/27/2007 01:45 PM</font>
<td width=59%>
<table width=100%>
<tr valign=top>
<td>
<div align=right><font size=1 face="sans-serif">To</font></div>
<td><font size=1 face="sans-serif">tac_plus@shrubbery.net</font>
<tr valign=top>
<td>
<div align=right><font size=1 face="sans-serif">cc</font></div>
<td>
<tr valign=top>
<td>
<div align=right><font size=1 face="sans-serif">Subject</font></div>
<td><font size=1 face="sans-serif">[tac_plus] Re: PAM authentication</font></table>
<br>
<table>
<tr valign=top>
<td>
<td></table>
<br></table>
<br>
<br>
<br><tt><font size=2>Logs on the Tacacs+ Server :<br>
<br>
Jun 27 03:40:43 netmgr tac_plus[22460]: Version F4.0.4.10 Initialized 1<br>
Jun 27 03:50:21 netmgr tac_plus[22462]: session.peerip is 10.115.111.215<br>
Jun 27 03:50:21 netmgr tac_plus[23406]: connect from 10.115.111.215 <br>
[10.115.111.215]<br>
Jun 27 03:50:22 netmgr tac_plus[23406]: pap-login query for 'chetan' ssh
<br>
from 10.115.111.215 rejected<br>
<br>
/var/log/secure on the Network Client :<br>
<br>
Jun 27 13:18:53 cjain-test sshd[27081]: Deprecated pam_stack module called
<br>
from service &quot;sshd&quot;<br>
Jun 27 13:18:53 cjain-test sshd[27081]: pam_sm_authenticate: called <br>
(pam_tacplus v1.2.9)<br>
Jun 27 13:18:53 cjain-test sshd[27081]: pam_sm_authenticate: user [chetan]
<br>
obtained<br>
Jun 27 13:18:53 cjain-test sshd[27081]: tacacs_get_password: called<br>
Jun 27 13:18:53 cjain-test sshd[27081]: tacacs_get_password: obtained <br>
password [H M?INCORRECT]<br>
Jun 27 13:18:53 cjain-test sshd[27081]: pam_sm_authenticate: pass [H <br>
M?INCORRECT] obtained<br>
Jun 27 13:18:53 cjain-test sshd[27081]: pam_sm_authenticate: tty [ssh]
<br>
obtained<br>
Jun 27 13:18:53 cjain-test sshd[27081]: pam_sm_authenticate: trying srv
0<br>
Jun 27 13:18:53 cjain-test sshd[27081]: tac_authen_pap_read: <br>
authentication failed, server reply was 2 (Login incorrect)<br>
Jun 27 13:18:53 cjain-test sshd[27081]: Failed password for invalid user
<br>
chetan from 10.115.100.100 port 3610 ssh2<br>
<br>
I am not sure why its showing some password which was not typed.... I <br>
think its the issue with the pam_tacacs installed on the network client...
<br>
Can somebody suggest me what could be the issue......<br>
<br>
<br>
Thanks and Regards,<br>
Chetan Jain<br>
Network Team - IR,<br>
Monitor Group,<br>
131 Free Press House,<br>
Nariman Point, Mumbai.<br>
India<br>
<br>
<br>
<br>
john heasley &lt;heas@shrubbery.net&gt; <br>
06/26/2007 10:42 PM<br>
<br>
To<br>
Chetan_Jain@Monitor.com<br>
cc<br>
tac_plus@shrubbery.net<br>
Subject<br>
Re: [tac_plus] &nbsp;PAM authentication<br>
<br>
<br>
<br>
<br>
<br>
<br>
Tue, Jun 26, 2007 at 09:28:16PM +0530, Chetan_Jain@Monitor.com:<br>
&gt; Hi,<br>
&gt; <br>
&gt; I am trying to authenticate sshd service on a linux system through
<br>
&gt; tacacs+.... <br>
&gt; <br>
&gt; Tacacs+ server IP : 10.1.100.114<br>
&gt; Network Client : 10.115.111.215<br>
&gt; <br>
&gt; I am starting tacacs+ using tac_plus -d 8 -C <br>
&gt; /opt/WiKID/private/tacacs.conf<br>
&gt; <br>
&gt; # This file is dynamically written by the WiKID server<br>
&gt; # manual changes to this file will be overwritten almost immediately<br>
&gt; <br>
&gt; key = &quot;cooler&quot;<br>
&gt; accounting file = /opt/WiKID/log/tacacs.accounting.log<br>
&gt; <br>
&gt; user = chetan { <br>
&gt; &nbsp; &nbsp; &nbsp; &nbsp; default service = permit<br>
&gt; &nbsp; &nbsp; &nbsp; &nbsp; chap = cleartext &quot;605992&quot;<br>
&gt; &nbsp; &nbsp; &nbsp; &nbsp; pap = cleartext &quot;605992&quot;<br>
&gt; &nbsp; &nbsp; &nbsp; &nbsp; arap = cleartext &quot;605992&quot;<br>
&gt; &nbsp; &nbsp; &nbsp; &nbsp; login = des chRQBOhi.agrM<br>
&gt; }<br>
&gt; <br>
&gt; On the Network Client side.... <br>
&gt; <br>
&gt; /etc/pam.d/tacacs :<br>
&gt; <br>
&gt; #%PAM-1.0<br>
&gt; auth &nbsp; &nbsp;sufficient &nbsp; /lib/security/pam_tacplus.so &nbsp;
&nbsp; &nbsp; debug \ <br>
&gt; server=10.1.100.114 &nbsp; &nbsp; secret=cooler encrypt<br>
&gt; account &nbsp; &nbsp;sufficient &nbsp; /lib/security/pam_tacplus.so
&nbsp; &nbsp;debug \<br>
&gt; server=10.1.100.114 &nbsp; &nbsp; secret=cooler encrypt service=shell
protocol=ssh<br>
&gt; session &nbsp; &nbsp;sufficient &nbsp; /lib/security/pam_tacplus.so
&nbsp; &nbsp;debug \<br>
&gt; server=10.1.100.114 &nbsp; &nbsp; secret=cooler encrypt service=shell
protocol=ssh<br>
&gt; <br>
&gt; /etc/pam.d/sshd :<br>
&gt; <br>
&gt; #%PAM-1.0<br>
&gt; auth &nbsp; &nbsp; &nbsp; sufficient &nbsp; pam_stack.so service=tacacs<br>
&gt; #auth &nbsp; &nbsp; &nbsp; required &nbsp; &nbsp; pam_stack.so service=system-auth<br>
&gt; auth &nbsp; &nbsp; &nbsp; required &nbsp; &nbsp; pam_nologin.so<br>
&gt; account &nbsp; &nbsp;sufficient &nbsp; pam_stack.so service=tacacs<br>
&gt; account &nbsp; &nbsp;required &nbsp; &nbsp; pam_stack.so service=system-auth<br>
&gt; password &nbsp; required &nbsp; &nbsp; pam_stack.so service=system-auth<br>
&gt; session &nbsp; &nbsp;sufficient &nbsp; pam_stack.so service=tacacs<br>
&gt; session &nbsp; &nbsp;required &nbsp; &nbsp; pam_stack.so service=system-auth<br>
&gt; session &nbsp; &nbsp;required &nbsp; &nbsp; pam_limits.so<br>
&gt; session &nbsp; &nbsp;optional &nbsp; &nbsp; pam_console.so<br>
&gt; <br>
&gt; <br>
&gt; Tacacs+ is not authenticating the credentials.... <br>
&gt; <br>
&gt; /var/log/messages on Tacacs+ Server shows :<br>
&gt; <br>
&gt; Jun 26 11:48:15 netmgr tac_plus[28248]: Version F4.0.4.10 Initialized
1<br>
&gt; Jun 26 11:48:30 netmgr tac_plus[28258]: connect from 10.115.111.215
<br>
&gt; [10.115.111.215]<br>
&gt; Jun 26 11:48:30 netmgr tac_plus[28258]: pap-login query for 'chetan'
ssh <br>
<br>
&gt; from 10.115.111.215 rejected<br>
&gt; <br>
&gt; <br>
&gt; Can you help me what could be the issue......<br>
<br>
start with enabling authentication debugging on the tacacs daemon. &nbsp;it
<br>
should<br>
tell you why the login failed.<br>
<br>
<br>
<br>
<br>
<br>
-----------------------------------<br>
This message contains information that may be confidential and proprietary.
Unless you are the intended recipient (or authorized to receive this message
for the intended recipient), you may not use, copy, disseminate or disclose
to anyone the message or any information contained in the message. If you
have received the message in error, please advise the sender by reply e-mail,
and delete the message immediately. Thank you very much.<br>
-------------- next part --------------<br>
An HTML attachment was scrubbed...<br>
URL: http://www.shrubbery.net/pipermail/tac_plus/attachments/20070627/63bb0535/attachment.html
<br>
_______________________________________________<br>
tac_plus mailing list<br>
tac_plus@shrubbery.net<br>
http://www.shrubbery.net/mailman/listinfo.cgi/tac_plus<br>
</font></tt>
<br>
<br>
<br>
<br>
<span style="font-family:serif; font-size:8pt; color:#000080">-----------------------------------</span><br>
<span style="font-family:serif; font-size:8pt; color:#000080">This message contains information that may be confidential and proprietary. Unless you are the intended recipient (or authorized to receive this message for the intended recipient), you may not use, copy, disseminate or disclose to anyone the message or any information contained in the message. If you have received the message in error, please advise the sender by reply e-mail, and delete the message immediately. Thank you very much.</span>