
But I have two different models of switches have same problem when using backgrounded tac_plus. It seems not a IOS bug.  <br><br><div class="gmail_quote">On Fri, Feb 19, 2010 at 10:00 AM, john heasley <span dir="ltr">&lt;<a href="mailto:heas@shrubbery.net">heas@shrubbery.net</a>&gt;</span> wrote:<br>

<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Fri, Feb 19, 2010 at 07:58:35AM -0600, Hailu Meng:<br>

<div class="im">&gt; The tacacs config in my switch is simple:<br>

&gt; tacacs-server host 10.1.5.1<br>

&gt; tacacs-server key 7 xxxxxxxxx<br>

<br>

</div>thats it?  nothing else?  if thats it, i can&#39;t imagine why its requesting<br>

multiple times.  i suggest that you contact cisco to research bugs in IOS.<br>

<div><div></div><div class="h5"><br>

&gt; The tac_plus.conf in server:<br>

&gt; accounting file = /var/log/tacacs_acct<br>

&gt; key = mykey<br>

&gt;<br>

&gt; user = $enab15$ {<br>

&gt;   login = des &quot;DKxtKRZ/XeEgM&quot;<br>

&gt; }<br>

&gt;<br>

&gt; group = admin {<br>

&gt;   default service = permit<br>

&gt;   service = exec {<br>

&gt;     priv-lvl = 15<br>

&gt;   }<br>

&gt; }<br>

&gt;<br>

&gt; group = limited {<br>

&gt;   default service = deny<br>

&gt;   service = exec {<br>

&gt;         priv-lvl = 1<br>

&gt;   }<br>

&gt;   cmd = show {<br>

&gt;         permit ip<br>

&gt;         permit interface<br>

&gt;   }<br>

&gt; }<br>

&gt;<br>

&gt; user = testuser{<br>

&gt;         member = admin<br>

&gt;         login = PAM<br>

&gt; }<br>

&gt;<br>

&gt; Thanks a lot John. From this configuration, I can&#39;t tell this is requesting<br>

&gt; another authentication.<br>

&gt;<br>

&gt; On Thu, Feb 18, 2010 at 7:18 PM, john heasley &lt;<a href="mailto:heas@shrubbery.net">heas@shrubbery.net</a>&gt; wrote:<br>

&gt;<br>

&gt; &gt; Thu, Feb 18, 2010 at 07:05:57PM -0600, Hailu Meng:<br>

&gt; &gt; &gt; Thanks John. My tacacs+ configuration in switch is simple:<br>

&gt; &gt; &gt;<br>

&gt; &gt; &gt; aaa new-model<br>

&gt; &gt; &gt; aaa authentication login default group tacacs+ line<br>

&gt; &gt; &gt; aaa authentication enable default group tacacs+ enable<br>

&gt; &gt;<br>

&gt; &gt; thats the aaa config, what about tacacs.<br>

&gt; &gt;<br>

&gt; &gt; &gt;<br>

&gt; &gt; &gt;<br>

&gt; &gt; &gt;<br>

&gt; &gt; &gt; On Thu, Feb 18, 2010 at 5:45 PM, john heasley &lt;<a href="mailto:heas@shrubbery.net">heas@shrubbery.net</a>&gt;<br>

&gt; &gt; wrote:<br>

&gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt; Thu, Feb 18, 2010 at 02:02:46PM -0600, Hailu Meng:<br>

&gt; &gt; &gt; &gt; &gt; Thu Feb 18 13:42:22 2010 [27117]: Writing AUTHEN/SUCCEED size=18<br>

&gt; &gt; &gt; &gt; &gt; Thu Feb 18 13:42:22 2010 [27117]: PACKET: key=mykey<br>

&gt; &gt; &gt; &gt; &gt; Thu Feb 18 13:42:22 2010 [27117]: version 192 (0xc0), type 1, seq no<br>

&gt; &gt; 6,<br>

&gt; &gt; &gt; &gt; &gt; flags 0x1<br>

&gt; &gt; &gt; &gt; &gt; Thu Feb 18 13:42:22 2010 [27117]: session_id 3918696952 (0xe99291f8),<br>

&gt; &gt; &gt; &gt; Data<br>

&gt; &gt; &gt; &gt; &gt; length 6 (0x6)<br>

&gt; &gt; &gt; &gt; &gt; Thu Feb 18 13:42:22 2010 [27117]: End header<br>

&gt; &gt; &gt; &gt; &gt; Thu Feb 18 13:42:22 2010 [27117]: type=AUTHEN status=1<br>

&gt; &gt; (AUTHEN/SUCCEED)<br>

&gt; &gt; &gt; &gt; &gt; flags=0x0<br>

&gt; &gt; &gt; &gt; &gt; Thu Feb 18 13:42:22 2010 [27117]: msg_len=0, data_len=0<br>

&gt; &gt; &gt; &gt; &gt; Thu Feb 18 13:42:22 2010 [27117]: msg:<br>

&gt; &gt; &gt; &gt; &gt; Thu Feb 18 13:42:22 2010 [27117]: data:<br>

&gt; &gt; &gt; &gt; &gt; Thu Feb 18 13:42:22 2010 [27117]: End packet<br>

&gt; &gt; &gt; &gt; &gt; Thu Feb 18 13:42:22 2010 [27117]: <a href="http://10.1.2.1" target="_blank">10.1.2.1</a>: disconnect<br>

&gt; &gt; &gt; &gt; &gt; *&lt;------ This above is the same as successful one, from here, I got<br>

&gt; &gt; &gt; &gt; another<br>

&gt; &gt; &gt; &gt; &gt; &quot;Password&quot; Prompt asking for password*. *Even I input my correct<br>

&gt; &gt; password<br>

&gt; &gt; &gt; &gt; &gt; for the 2nd time, it just doesn&#39;t allow me in*.* I also tried wrong<br>

&gt; &gt; &gt; &gt; password<br>

&gt; &gt; &gt; &gt; &gt; for the first time password input on purpose, I did get rejected<br>

&gt; &gt; message<br>

&gt; &gt; &gt; &gt; &gt; like &quot;login query for &#39;testuser&#39; tty1 from 10.1.2.1 rejected&quot;*<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt; &gt; Thu Feb 18 13:42:28 2010 [27116]: session request from 10.1.2.1<br>

&gt; &gt; sock=2<br>

&gt; &gt; &gt; &gt; &gt; Thu Feb 18 13:42:28 2010 [27135]: connect from 10.1.2.1 [10.1.2.1]<br>

&gt; &gt; &gt; &gt; &gt; Thu Feb 18 13:42:28 2010 [27135]: Waiting for packet<br>

&gt; &gt; &gt; &gt; &gt; Thu Feb 18 13:42:28 2010 [27135]: Read AUTHEN/START size=35<br>

&gt; &gt; &gt; &gt; &gt; Thu Feb 18 13:42:28 2010 [27135]: validation request from 10.1.2.1<br>

&gt; &gt; &gt; &gt; &gt; Thu Feb 18 13:42:28 2010 [27135]: PACKET: key=mykey<br>

&gt; &gt; &gt; &gt; &gt; Thu Feb 18 13:42:28 2010 [27135]: version 192 (0xc0), type 1, seq no<br>

&gt; &gt; 1,<br>

&gt; &gt; &gt; &gt; &gt; flags 0x1<br>

&gt; &gt; &gt; &gt; &gt; Thu Feb 18 13:42:28 2010 [27135]: session_id 3154815253 (0xbc0aa915),<br>

&gt; &gt; &gt; &gt; Data<br>

&gt; &gt; &gt; &gt; &gt; length 23 (0x17)<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt; its starting a new auth connection.<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt; &gt; &gt; whats the tacacs conf on the device?<br>

&gt; &gt; &gt; &gt;<br>

&gt; &gt;<br>

</div></div></blockquote></div><br>