Cisco Cisco ASR 5700

 

Configures StarOS behavior when a TACACS+ server cannot authenticate a given user name. This command also can 
be used to configure system behavior separately for TACACS+ unknown user login failures for administrative users 
accessing the system via the StarOS console port. 

   Some TACACS+ server implementations will not send a Reply message indicating that the user 

name is invalid. Instead, these types of implementations will accept the username, whether valid or not, and then 
examine the username and password in combination before sending a Reply message indicating a failed TACACS+ 
login. In these cases, specifying on-unknown-user will continue the login process. To avoid this scenario, determine 
the method the configured TACACS+ servers will use to validate user names before deciding whether specifying the 
on-unknown-user command will provide the desired result.  

 

All 

 

Security Administrator, Administrator 

 

Exec > Global Configuration > TACACS+ Configuration 

 

Entering the above command sequence results in the following prompt: 

[local]host_name(config-tacacs)# 

 

on-unknown-user { continue | stop } [ tty console ] 

 

The system will continue with authentication using non-TACACS+ authentication services.  

 

The system forces the failed TACACS+ user to exit. 

 

Release 12 and later systems only: Can be used after the 

 or 

 options to specify the behavior 

of the system for TACACS+ CLI users being authenticated via the StarOS console port. 



 

: The system forces the failed user to exit when authentication fails. 



 

: The system will continue with authentication using non-TACACS+ 

authentication services. 

Use this command to configure StarOS behavior for users who fail TACACS+ user name authentication.