
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 14 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

@font-face

        {font-family:Consolas;

        panose-1:2 11 6 9 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman","serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

pre

        {mso-style-priority:99;

        mso-style-link:"HTML Preformatted Char";

        margin:0in;

        margin-bottom:.0001pt;

        font-size:10.0pt;

        font-family:"Courier New";}

p.MsoAcetate, li.MsoAcetate, div.MsoAcetate

        {mso-style-priority:99;

        mso-style-link:"Balloon Text Char";

        margin:0in;

        margin-bottom:.0001pt;

        font-size:8.0pt;

        font-family:"Tahoma","sans-serif";}

span.HTMLPreformattedChar

        {mso-style-name:"HTML Preformatted Char";

        mso-style-priority:99;

        mso-style-link:"HTML Preformatted";

        font-family:Consolas;}

span.BalloonTextChar

        {mso-style-name:"Balloon Text Char";

        mso-style-priority:99;

        mso-style-link:"Balloon Text";

        font-family:"Tahoma","sans-serif";}

span.EmailStyle21

        {mso-style-type:personal-reply;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;

        font-family:"Calibri","sans-serif";}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">That did the trick, thanks!<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Here is do_auth.log output now (still running the debug version of do_auth.pyc):<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">service=shell<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">cmd*<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">priv-lvl=15<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Thing:priv-lvl<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Thing:15<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">not len(the_command) > 0<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Returning:priv-lvl=15<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">2014-03-17 21:04:05: User 'testuser' granted access to device '10.99.1.11' in group 'test-group' from '10.33.144.28'<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Exiting status 0<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Daniel Schmidt [<a href="mailto:daniel.schmidt@wyo.gov">mailto:daniel.schmidt@wyo.gov</a>]

<br>

<b>Sent:</b> Monday, March 17, 2014 2:45 PM<br>

<b>To:</b> Aaron Wasserott<br>

<b>Cc:</b> <a href="mailto:tac_plus@shrubbery.net">tac_plus@shrubbery.net</a><br>

<b>Subject:</b> Re: [tac_plus] do_auth and aaa authorization not working with Foundry ServerIronXL load-balancers<o:p></o:p></span></p>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<div>

<p class="MsoNormal">-D switch is only for command line testing - mainly to test that your do_auth.ini is setup right.  Never use it in tac_plus.conf.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">I wonder if the brocades don't like the return value?  Kind of like Dell procurves.  You could throw a:<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Courier New";color:black">exit_val = <br>

    0 </span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">In the do_auth.ini and see if it makes it happier.  I can't think of a reason it wouldn't return the tac_pairs - it's supposed to.  This *looks* right though:<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:7.5pt;font-family:"Courier New"">service=shell<br>

cmd*<br>

priv-lvl=15<br>

Thing:priv-lvl<br>

Thing:15<br>

<br>

not len(the_command) > 0<br>

Returning:priv-lvl=15<br>

2014-03-14 17:27:36: User 'testuser' granted access to device '10.99.1.11' in group 'test-group' from '10.33.144.34'<br>

Exiting status 2</span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">I can't remember what "thing" was - I think i was debugging to make sure we split correctly.  Comment that part back out in the future.  (Jathan rightly gave me a bad time for my variable names)  <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Let me know what you find.  I'm always happy to look into something that isn't a patch request. <o:p></o:p></p>

</div>

</div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><o:p> </o:p></p>

<div>

<p class="MsoNormal">On Fri, Mar 14, 2014 at 5:45 PM, Aaron Wasserott <<a href="mailto:aaron.wasserott@viawest.com" target="_blank">aaron.wasserott@viawest.com</a>> wrote:<o:p></o:p></p>

<p class="MsoNormal">I enabled debugging and recompiled do_auth.py. However I found two lines that generate an error. I couldn't figure out how to fix them so I left them commented out. There were 14 other DEBUG lines I uncommented that compiled successfully.<br>

<br>

### Line 339:<br>

<br>

  File "do_auth-debug.py", line 339<br>

    log_file.write('Hello World!' + '\n')<br>

                                        ^<br>

IndentationError: unindent does not match any outer indentation level<br>

<br>

### Line 375:<br>

<br>

  File "do_auth-debug.py", line 375<br>

    return_pairs = av_pairs[2:]<br>

                              ^<br>

IndentationError: unindent does not match any outer indentation level<br>

<br>

<br>

<br>

Here is the log output from do_auth.log. Both of them are with 'aaa authorization exec' enabled on the ServerIron:<br>

<br>

### do_auth.log with -D switch off<br>

<br>

service=shell<br>

cmd*<br>

priv-lvl=15<br>

Thing:priv-lvl<br>

Thing:15<br>

<br>

not len(the_command) > 0<br>

Returning:priv-lvl=15<br>

2014-03-14 17:27:36: User 'testuser' granted access to device '10.99.1.11' in group 'test-group' from '10.33.144.34'<br>

Exiting status 2<br>

<br>

### do_auth.log with -D switch on<br>

<br>

service=shell<br>

cmd=show<br>

cmd-arg=users<br>

cmd-arg=wide<br>

cmd-arg=<cr><br>

show users wide<br>

2014-03-14 17:39:59: User 'testuser' allowed command 'show users wide' to device '10.99.1.11' in 'test-group'->'command_permit'<o:p></o:p></p>

<div>

<div>

<p class="MsoNormal"><br>

<br>

<br>

-----Original Message-----<br>

From: heasley [mailto:<a href="mailto:heas@shrubbery.net">heas@shrubbery.net</a>]<br>

Sent: Friday, March 14, 2014 4:39 PM<br>

To: Aaron Wasserott<br>

Cc: <a href="mailto:tac_plus@shrubbery.net">tac_plus@shrubbery.net</a><br>

Subject: Re: [tac_plus] do_auth and aaa authorization not working with Foundry ServerIronXL load-balancers<br>

<br>

Fri, Mar 14, 2014 at 04:17:00PM +0000, Aaron Wasserott:<br>

> I have many ancient Foundry  ServerIronXL load-balancers. They work fine with basic TACACS AAA but when I implement do_auth I cannot login. I noticed some interesting behavior, that if I either turn off authorization or enable do_auth debugging it will work.<br>

><br>

> Below are tacacs debug outputs for the 3 scenarios with do_auth. 1) with authorization and it fails. 2)  without authorization and it passes. 3) with authorization and with debugging and it passes. Doing a compare, between scenario 1 and 3 it appears the

 root issue is that without debugging, do_auth will send AUTHOR/PASS_REPL and with debugging it will send AUTHOR/PASS_ADD. If you paste the entire debug output (with header) below into a text editor, this in on line 115. Shortly after that on line 138 there

 are other differences, and w/o debugging it either sends or receives (I can't tell) data not sent/received with debugging. Also notice that w/o debugging it never receives the username. Then w/o debugging it gets a null packet when it expects a continue, pointing

 to the ServerIron not liking something sent to it.<br>

><br>

> I am hoping to find a way to modify how do_auth communicates with the ServerIron's that leaves debugging off, and authorization on.<br>

<br>

i believe something is missing; the do-auth script is exiting with value 2 but not writing the AVPs or the AVPs are empty.  There are many debugging messages in the script that are commented out.  you should uncomment them and try the script; there are only

 two places where it exits with code 2.<br>

it may be that it should be exiting with code 1.<br>

_______________________________________________<br>

tac_plus mailing list<br>

<a href="mailto:tac_plus@shrubbery.net">tac_plus@shrubbery.net</a><br>

<a href="http://www.shrubbery.net/mailman/listinfo/tac_plus" target="_blank">http://www.shrubbery.net/mailman/listinfo/tac_plus</a><o:p></o:p></p>

</div>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<pre><o:p> </o:p></pre>

<pre>E-Mail to and from me, in connection with the transaction <o:p></o:p></pre>

<pre>of public business, is subject to the Wyoming Public Records <o:p></o:p></pre>

<pre>Act and may be disclosed to third parties.<o:p></o:p></pre>

<pre><o:p> </o:p></pre>

</div>

</body>

</html>