<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Jun 16, 2014 at 3:02 PM, Aaron Wasserott <span dir="ltr"><<a href="mailto:aaron.wasserott@viawest.com" target="_blank">aaron.wasserott@viawest.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">In both do_auth.ini and tac_plus.conf be sure to spell the special username as "DEFAULT" - minding the upper-case.<br>


<br>
Do you have any log entries for that failed attempt in /root/do_auth/do_auth.log?<br></blockquote><div><br></div><div><div>2014-06-16 16:54:30,195 [CRITICAL]: Did you forget "default service = permit" in tac_plus.conf?</div>

</div><div><br></div><div>That was if I did not have "default service = permit" in the doauthaccess group. </div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">


<br>
Does your group doauthaccess have the same settings as the other regular group, other than the addition of after auth?<br></blockquote><div><br></div><div>Yes</div><div><br></div><div> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">


<br>
What device type did you test against? I would test against Cisco IOS to start with until you get it working.<br>
<br></blockquote><div><br></div><div>Alcatel Lucent. </div><div><br></div><div>OK let me try against cisco</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">


You also might want to try toggling off the "-fix_crs_bug" flag and test login against IOS just to be safe. I've not used that flag before personally.<br>
<div><div class="h5"><br></div></div></blockquote><div><br></div><div>OK</div><div><br></div><div>Thanks</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">

<div><div class="h5">
-----Original Message-----<br>
From: tac_plus [mailto:<a href="mailto:tac_plus-bounces@shrubbery.net">tac_plus-bounces@shrubbery.net</a>] On Behalf Of Asif Iqbal<br>
Sent: Sunday, June 15, 2014 5:09 PM<br>
To: <a href="mailto:tac_plus@shrubbery.net">tac_plus@shrubbery.net</a><br>
Subject: [tac_plus] Need help with do_auth config<br>
<br>
Let me know if there is a separate mailing list for do_auth related questions.<br>
<br>
So I am trying to follow the do_auth.ini syntax and need some help.<br>
<br>
I have setup the config file like below and failing to authorize.<br>
<br>
Here is the do_auth.ini file<br>
<br>
[users]<br>
default =<br>
    noprivs<br>
foo =<br>
    newgroup<br>
<br>
[newgroup]<br>
host_allow =<br>
    .*<br>
command_permit =<br>
    show configuration.*<br>
device_permit =<br>
    .*<br>
<br>
[noprivs]<br>
host_deny =<br>
    .*<br>
device_deny =<br>
    .*<br>
command_deny =<br>
    .*<br>
<br>
Here is the error message<br>
<br>
Username: iqbala<br>
Password:<br>
% Authorization failed.<br>
Connection closed by foreign host.<br>
<br>
<br>
Here is the relevant part in tacacs.conf<br>
<br>
group = doauthaccess {<br>
    after authorization "/usr/bin/python /root/do_auth/do_auth.pyc -i $address -fix_crs_bug -u $user -d $name -l /root/do_auth/do_auth.log -f /root/do_auth/do_auth.ini"<br>
}<br>
<br>
user = foo {<br>
        login = PAM<br>
        member = doauthaccess<br>
}<br>
<br>
If I change the member to another group which is regular group and not using after authorization, user ``foo'' can login fine.<br>
<br>
I must not do doing something right.<br>
<br>
Please advise.<br>
<br>
<br>
<br>
<br>
--<br>
Asif Iqbal<br>
PGP Key: 0xE62693C5 KeyServer: <a href="http://pgp.mit.edu" target="_blank">pgp.mit.edu</a><br>
A: Because it messes up the order in which people normally read text.<br>
Q: Why is top-posting such a bad thing?<br>
</div></div>-------------- next part --------------<br>
An HTML attachment was scrubbed...<br>
URL: <<a href="http://www.shrubbery.net/pipermail/tac_plus/attachments/20140615/69fb3916/attachment.html" target="_blank">http://www.shrubbery.net/pipermail/tac_plus/attachments/20140615/69fb3916/attachment.html</a>><br>


_______________________________________________<br>
tac_plus mailing list<br>
<a href="mailto:tac_plus@shrubbery.net">tac_plus@shrubbery.net</a><br>
<a href="http://www.shrubbery.net/mailman/listinfo/tac_plus" target="_blank">http://www.shrubbery.net/mailman/listinfo/tac_plus</a><br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br>Asif Iqbal<br>PGP Key: 0xE62693C5 KeyServer: <a href="http://pgp.mit.edu">pgp.mit.edu</a><br>A: Because it messes up the order in which people normally read text.<br>

Q: Why is top-posting such a bad thing?<br><br>
</div></div>