[Lesson Learned] IOS and ISE TACACS Privilege
Langkah troubleshooting terkait TACACS+ di Cisco ISE dan Cisco IOS
Problem:
- Switch dan router tetap memerlukan enable password setelah berhasil login dengan AD account. Walaupun pada TACACS Profile sudah dibuat profile admin dengan default privilege = 15 dan max privilege = 15.
- Pada command set sudah dibuat permit all command untuk admin.
- Pada Device admin policy set sudah dibuat rule PermitAll dan shell profile menggunakan profile admin.
- Pada TACACS Livelog, kolom shell profile juga kosong.
Problem Verification:
- Semua config di ISE dan switch sudah lengkap sesuai dokumentasi Cisco tentang TACACS+ pada ISE dan Catalyst IOS
- Bisa login ke dalam switch menggunakan account AD level admin
- Setelah login tetap harus masukkan password untuk masuk ke mode privilege
Additional Information
Problem reproducible, mengikuti acuan dokumentasi di Cisco untuk ISE dan Catalyst
Troubleshooting Process
- Hubungi Cisco TAC, dan set troubleshooting session
- Mengecek config di switch
- Mengecek config AAA dan TACACS server, ada command di section aaa authentication dan aaa authorization yang kurang
- Mengecek method list untuk authentication dan authorization, privilege level di line vty belum diconfig
- Setelah menambahkan privilege level 15, bisa masuk ke switch dan langsung ke privilege mode
Detailed Solution
- Mengecek config AAA dan TACACS server, ada command yang kurang:
12aaa authentication enable default enableaaa authorization exec ip-ise if-authenticated. - Mengecek method list untuk authentication dan authorization, privilege level di line vty belum diconfig. Ada line vty 0 4 dan line vty 5 15. Dibawah line vty 0 4 perlu ditambahkan privilege level 15.
12line vty 0 4privilege level 15