Cisco Nexus 7K & 9K Local Authentication and Tacacs

Ada satu hal yang membuat saya bingung ketika AAA diaktifkan di Nexus 5K:

  • N5K bisa authenticate menggunakan user lokal dan sekaligus user tacacs (external).
  • N5K command authentication defaultnya bisa diset tacacs juga local

aaa authentication login default group tacacs local

Hal ini berbeda dengan 7K dan 9K, dimana ketika aaa diaktifkan maka akan hanya berlaku salah satu saja. Nah, juga di kedua nexus ini, tidak ada command “local” setelah group tacacs. Dimana menurut dokumentasinya, jika tacacs masih available maka autentikasi akan ke tacacs, namun jika tidak available akan menuju local. User local akan hidup by default jika tacacsnya tidak available. Berikut command aaa di N7K/9K.

aaa authentication login default group tacacs

Cisco TAC pun menjawab pertanyaan saya bahwa behaviornya jika tacacs aktif maka local tidak bisa digunakan. Tidak bisa aktif dua-duanya. TAC dari tim Nexus bilang bahwa kesimpulan ini ia dapatkan setelah diskusi dengan tim AAA/Security.  Namun ketika saya konfrontasi dengan menunjukan ‘keanehan’ tersebut, kenapa di N5K bisa hidup dua-duanya? Hmm, TAC blom menjawab. Meraka bingung atau mereka gak mau tau ya 🙂

Nah, bagaimana dengan Cisco IOS dan XR?

 

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s