<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Jun 17, 2014 at 2:31 PM, Daniel Schmidt <span dir="ltr"><<a href="mailto:daniel.schmidt@wyo.gov" target="_blank">daniel.schmidt@wyo.gov</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">I've never had a Alcatel Lucent switch to test.  I'm not sure what options it sends; getopt does not correctly parse missing fields.  (hence the -fix_crs_bug option)  When I get time, I need to iterate through sys.argv[1:] and remove any blank options. </div>

</blockquote><div><br></div><div>yes Alcatel lucent does not generate any log, not even DEBUG log when I login to router unlike cisco.</div><div><br></div><div>It starts logging only when I start typing on the router after the login, and / or when I exit or logout of the</div>

<div>router.</div><div><br></div><div>I can collect some debug log for you to parse. What debug level log you need with tac_plus? I usually</div><div>use "-d 8 -d 16", but I can add more levels. I can provide some log tonight when they are not busy.</div>

<div><br></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="gmail_extra"><br><br><div class="gmail_quote"><div><div class="h5">On Mon, Jun 16, 2014 at 1:30 PM, Asif Iqbal <span dir="ltr"><<a href="mailto:vadud3@gmail.com" target="_blank">vadud3@gmail.com</a>></span> wrote:<br>

</div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5">
<div>On Mon, Jun 16, 2014 at 3:02 PM, Aaron Wasserott <<br>
<a href="mailto:aaron.wasserott@viawest.com" target="_blank">aaron.wasserott@viawest.com</a>> wrote:<br>
<br>
> In both do_auth.ini and tac_plus.conf be sure to spell the special<br>
> username as "DEFAULT" - minding the upper-case.<br>
><br>
> Do you have any log entries for that failed attempt in<br>
> /root/do_auth/do_auth.log?<br>
><br>
<br>
</div>2014-06-16 16:54:30,195 [CRITICAL]: Did you forget "default service =<br>
permit" in tac_plus.conf?<br>
<br>
That was if I did not have "default service = permit" in the doauthaccess<br>
group.<br>
<div><br>
<br>
> Does your group doauthaccess have the same settings as the other regular<br>
> group, other than the addition of after auth?<br>
><br>
<br>
</div>Yes<br>
<div><br>
<br>
<br>
><br>
> What device type did you test against? I would test against Cisco IOS to<br>
> start with until you get it working.<br>
><br>
><br>
</div>Alcatel Lucent.<br>
<br>
OK let me try against cisco<br>
<div><br>
<br>
<br>
> You also might want to try toggling off the "-fix_crs_bug" flag and test<br>
> login against IOS just to be safe. I've not used that flag before<br>
> personally.<br>
><br>
><br>
</div>OK<br>
<br>
Thanks<br>
<div><div><br>
<br>
<br>
>  -----Original Message-----<br>
> From: tac_plus [mailto:<a href="mailto:tac_plus-bounces@shrubbery.net" target="_blank">tac_plus-bounces@shrubbery.net</a>] On Behalf Of Asif<br>
> Iqbal<br>
> Sent: Sunday, June 15, 2014 5:09 PM<br>
> To: <a href="mailto:tac_plus@shrubbery.net" target="_blank">tac_plus@shrubbery.net</a><br>
> Subject: [tac_plus] Need help with do_auth config<br>
><br>
> Let me know if there is a separate mailing list for do_auth related<br>
> questions.<br>
><br>
> So I am trying to follow the do_auth.ini syntax and need some help.<br>
><br>
> I have setup the config file like below and failing to authorize.<br>
><br>
> Here is the do_auth.ini file<br>
><br>
> [users]<br>
> default =<br>
>     noprivs<br>
> foo =<br>
>     newgroup<br>
><br>
> [newgroup]<br>
> host_allow =<br>
>     .*<br>
> command_permit =<br>
>     show configuration.*<br>
> device_permit =<br>
>     .*<br>
><br>
> [noprivs]<br>
> host_deny =<br>
>     .*<br>
> device_deny =<br>
>     .*<br>
> command_deny =<br>
>     .*<br>
><br>
> Here is the error message<br>
><br>
> Username: iqbala<br>
> Password:<br>
> % Authorization failed.<br>
> Connection closed by foreign host.<br>
><br>
><br>
> Here is the relevant part in tacacs.conf<br>
><br>
> group = doauthaccess {<br>
>     after authorization "/usr/bin/python /root/do_auth/do_auth.pyc -i<br>
> $address -fix_crs_bug -u $user -d $name -l /root/do_auth/do_auth.log -f<br>
> /root/do_auth/do_auth.ini"<br>
> }<br>
><br>
> user = foo {<br>
>         login = PAM<br>
>         member = doauthaccess<br>
> }<br>
><br>
> If I change the member to another group which is regular group and not<br>
> using after authorization, user ``foo'' can login fine.<br>
><br>
> I must not do doing something right.<br>
><br>
> Please advise.<br>
><br>
><br>
><br>
><br>
> --<br>
> Asif Iqbal<br>
> PGP Key: 0xE62693C5 KeyServer: <a href="http://pgp.mit.edu" target="_blank">pgp.mit.edu</a><br>
> A: Because it messes up the order in which people normally read text.<br>
> Q: Why is top-posting such a bad thing?<br>
> -------------- next part --------------<br>
> An HTML attachment was scrubbed...<br>
> URL: <<br>
> <a href="http://www.shrubbery.net/pipermail/tac_plus/attachments/20140615/69fb3916/attachment.html" target="_blank">http://www.shrubbery.net/pipermail/tac_plus/attachments/20140615/69fb3916/attachment.html</a><br>
> ><br>
> _______________________________________________<br>
> tac_plus mailing list<br>
> <a href="mailto:tac_plus@shrubbery.net" target="_blank">tac_plus@shrubbery.net</a><br>
> <a href="http://www.shrubbery.net/mailman/listinfo/tac_plus" target="_blank">http://www.shrubbery.net/mailman/listinfo/tac_plus</a><br>
><br>
<br>
<br>
<br>
--<br>
Asif Iqbal<br>
PGP Key: 0xE62693C5 KeyServer: <a href="http://pgp.mit.edu" target="_blank">pgp.mit.edu</a><br>
A: Because it messes up the order in which people normally read text.<br>
Q: Why is top-posting such a bad thing?<br>
-------------- next part --------------<br>
An HTML attachment was scrubbed...<br>
</div></div></div></div>URL: <<a href="http://www.shrubbery.net/pipermail/tac_plus/attachments/20140616/ba90c9e1/attachment.html" target="_blank">http://www.shrubbery.net/pipermail/tac_plus/attachments/20140616/ba90c9e1/attachment.html</a>><div class="">

<br>

<div><div>_______________________________________________<br>
tac_plus mailing list<br>
<a href="mailto:tac_plus@shrubbery.net" target="_blank">tac_plus@shrubbery.net</a><br>
<a href="http://www.shrubbery.net/mailman/listinfo/tac_plus" target="_blank">http://www.shrubbery.net/mailman/listinfo/tac_plus</a><br>
</div></div></div></blockquote></div><br></div>

<pre>E-Mail to and from me, in connection with the transaction 
of public business, is subject to the Wyoming Public Records 
Act and may be disclosed to third parties.

</pre></blockquote></div><br><br clear="all"><div><br></div>-- <br>Asif Iqbal<br>PGP Key: 0xE62693C5 KeyServer: <a href="http://pgp.mit.edu">pgp.mit.edu</a><br>A: Because it messes up the order in which people normally read text.<br>

Q: Why is top-posting such a bad thing?<br><br>
</div></div>