AF
ну хотяя
Size: a a a
2021 January 22
AF
когда создаешь AAA Server Group
AF
добавляешь уже конечные сервера там указываешь порты
AF
ты их успешно смог добавить ?
AF
Мне кажется надо проверить как ASA определяет что сервер AAA стал мертвым ... порт не доступен это считается мертвым ? или ICMP не прошел ...
Скорей всего по порту а точнее ответ не получает ... хотя бы какой-то ...
Скорей всего по порту а точнее ответ не получает ... хотя бы какой-то ...
AF
в таком случае должен будет использовать следующий в резервной группе
MG
Мне кажется надо проверить как ASA определяет что сервер AAA стал мертвым ... порт не доступен это считается мертвым ? или ICMP не прошел ...
Скорей всего по порту а точнее ответ не получает ... хотя бы какой-то ...
Скорей всего по порту а точнее ответ не получает ... хотя бы какой-то ...
Там есть критерии. Таймаут самый очевидный.
MG
добавляешь уже конечные сервера там указываешь порты
Вопрос этом пункте. Как добавить в группу серверы с одним адресом.
AF
а в момент добавления он ругается что этот адрес уже существует в этой группе ?
MG
а в момент добавления он ругается что этот адрес уже существует в этой группе ?
Нет, конечно. В момент добавления он входит в саб-режим конфигурирования этого хоста.
NK
Продолжая тему DNS: на днях очередной уязвимости выдали (или перевыдали, тут как посмотреть) громкое имя, потому что могут. Если совсем коротенько, то надо обновить dnsmasq, который у вас есть, и всё станет хорошо.
Все детали про новую/старую уязвимость по ссылке.
https://www.jsof-tech.com/disclosures/dnspooq/
Все детали про новую/старую уязвимость по ссылке.
https://www.jsof-tech.com/disclosures/dnspooq/
AF
Нет, конечно. В момент добавления он входит в саб-режим конфигурирования этого хоста.
ругается =(
MG
Ну я то кли пользуюсь ) асдм на всякий случай тоже есть. конечно.
MG
Ну короч, у меня из идей - только разные домены на них вешать. Типа - nps-primary.domain.net и nps-secondary.domain.net
AF
Ну тогда не знаю есть ли какие-то варианты решения твоей проблемы ... как варианты на обдумывания:
1. Возможно использовать разные hostname ... что бы DNS уже отвечал на один хост
1. Возможно использовать разные hostname ... что бы DNS уже отвечал на один хост
AF
=))
AF
2. Еще посмотри в сторону IP SLA возможно ты сможешь собрать какое-то действие для своего кейса
MG
2. Еще посмотри в сторону IP SLA возможно ты сможешь собрать какое-то действие для своего кейса
Не оч понял, если честно
MG
Трекать порт основного NPS-а и удалять NPS в случае его потери? Эта задача не для ASA.
I
Цель - Anyconnect юзеры должны аутентифицироваться по основному радиусу на одном наборе портов, а в случае отказа - использовать резервный, на других портах.
Но... отказа чего? Демона?
А если весь сервер откажет?
Ну ок как насчет два ip повесить на радиус сервер?
А если весь сервер откажет?
Ну ок как насчет два ip повесить на радиус сервер?