Segurança e VPN : Terminal Access Controller Access Control System (TACACS+)

Problema do 7000 Series Switch do nexo com autenticação de usuário remoto através do SSH com uma conta TACACS

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento fornece as etapas exigidas a fim pesquisar defeitos e confirmar que um 7000 Series Switch do nexo de Cisco está afetado pela identificação de bug Cisco CSCud02139 do defeito do software conhecido.

Contribuído por Scott Laffer, engenheiro de TAC da Cisco.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Switches Cisco Nexus série 7000
  • Versões 5.2(5) à 5.2(7) do sistema operacional do nexo de Cisco (NX-OS) inclusivas
  • Versões 6.0(1) à 6.1(3) do Cisco NX-OS inclusivas

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Problema

Sintomas

Os usuários são incapazes de entrar remotamente a um contexto do dispositivo virtual do 7000 Series Switch do nexo (VDC) com autenticação TACACS.

Adicionalmente, estas mensagens são consideradas nos logs:

n7k-vdc-1# show log last 200 | grep TACACS
2013 May 13 17:17:31 n7k-vdc-1 TACACS-3-TACACS_ERROR_MESSAGE All servers
failed to respond
2013 May 13 17:17:46 n7k-vdc-1 TACACS-3-TACACS_ERROR_MESSAGE All servers
failed to respond
2013 May 13 17:18:06 n7k-vdc-1 TACACS-3-TACACS_ERROR_MESSAGE All servers
failed to respond
2013 May 13 17:18:12 n7k-vdc-1 TACACS-3-TACACS_ERROR_MESSAGE All servers
failed to respond
2013 May 13 17:18:16 n7k-vdc-1 TACACS-3-TACACS_ERROR_MESSAGE All servers
failed to respond
2013 May 13 17:20:26 n7k-vdc-1 TACACS-3-TACACS_ERROR_MESSAGE All servers
failed to respond
2013 May 13 17:20:39 n7k-vdc-1 TACACS-3-TACACS_ERROR_MESSAGE All servers
failed to respond
2013 May 13 17:21:50 n7k-vdc-1 TACACS-3-TACACS_ERROR_MESSAGE All servers
failed to respond
2013 May 13 17:22:09 n7k-vdc-1 TACACS-3-TACACS_ERROR_MESSAGE All servers
failed to respond
n7k-vdc-1#

Condições

Este problema é encontrado nos 7000 Series Switch do nexo que executam versões do Cisco NX-OS entre 5.2(5) e 5.2(7), assim como entre 6.0.1 a 6.1(3).

O VDC deve usar a autenticação TACACS, como este exemplo:

n7k-vdc-1# show run tacacs+

!Command: show running-config tacacs+
!Time: Mon May 13 17:20:57 2013

version 6.1(2)
feature tacacs+

ip tacacs source-interface mgmt0
tacacs-server timeout 30
tacacs-server host 192.0.2.9 key 7 "keypassword"
aaa group server tacacs+ default
server 192.0.2.9
use-vrf management


n7k-vdc-1# show run aaa

!Command: show running-config aaa
!Time: Mon May 13 17:21:30 2013

version 6.1(2)
aaa authentication login default group default
aaa authorization config-commands default group default
aaa authorization commands default group default
aaa accounting default group default
no aaa user default-role
aaa authentication login error-enable
tacacs-server directed-request

Troubleshooting

  1. Confirme o estado do servidor de TACACS

    • Confirme que o 7000 Series Switch do nexo pode com sucesso sibilar o servidor de TACACS através do roteamento virtual e da transmissão corretos (VRF).
    • Confirme que o servidor de TACACS ainda autentica com sucesso usuários em outros dispositivos.
  2. Verifique os logs de erro de processo do Authentication, Authorization, and Accounting (AAA)

    Use este comando a fim verificar os logs de erro de processo AAA:

    n7k-vdc-1# show system internal aaa event-history errors

    1) Event:E_DEBUG, length:54, at 786852 usecs after Mon May 13 17:22:09 2013
    [102] All Configured methods failed for default:default

    2) Event:E_DEBUG, length:53, at 786796 usecs after Mon May 13 17:22:09 2013
    [102] protocol TACACS failed with server group default

    3) Event:E_DEBUG, length:54, at 379206 usecs after Mon May 13 17:22:09 2013
    [102] All Configured methods failed for default:default

    4) Event:E_DEBUG, length:53, at 379172 usecs after Mon May 13 17:22:09 2013
    [102] protocol TACACS failed with server group default

    5) Event:E_DEBUG, length:54, at 89083 usecs after Mon May 13 17:21:51 2013
    [102] All Configured methods failed for default:default

    6) Event:E_DEBUG, length:53, at 89051 usecs after Mon May 13 17:21:51 2013
    [102] protocol TACACS failed with server group default


  3. Verifique os logs de erro de processo TACACS+

    Use este comando a fim verificar os logs de erro de processo TACACS+:

    n7k-vdc-1# show system internal tacacs+ event-history errors

    1) Event:E_DEBUG, length:88, at 786728 usecs after Mon May 13 17:22:09 2013
    [100] switch_tac_server: Unreachable servers case .setting error code for
    aaa session 0

    2) Event:E_DEBUG, length:77, at 786726 usecs after Mon May 13 17:22:09 2013
    [100] switch_tac_server: no more server in the server group for
    aaa session 0

    3) Event:E_DEBUG, length:103, at 786680 usecs after Mon May 13 17:22:09 2013
    [100] connect_tac_server: non blocking connect failed, switching server for
    aaa session id(0) rtvalue(3)

    4) Event:E_DEBUG, length:97, at 786677 usecs after Mon May 13 17:22:09 2013
    [100] non_blocking_connect(171): getaddrinfo(DNS cache fail) with retcode:-1
    for server:192.0.2.9

    5) Event:E_DEBUG, length:62, at 786337 usecs after Mon May 13 17:22:09 2013
    [100] tplus_encrypt(655):key is configured for this aaa session.

    6) Event:E_DEBUG, length:95, at 786287 usecs after Mon May 13 17:22:09 2013
    [100] tplus_make_acct_request(1343):Not calling the name-resolution routine
    as rem_addr is empty

    7) Event:E_DEBUG, length:63, at 786285 usecs after Mon May 13 17:22:09 2013
    [100] tplus_make_acct_request(1308):Accounting userdata:console0

    8) Event:E_DEBUG, length:63, at 786266 usecs after Mon May 13 17:22:09 2013
    [100] init_tplus_req_state_machine:Global source-interface mgmt0

    9) Event:E_DEBUG, length:48, at 785842 usecs after Mon May 13 17:22:09 2013
    [100] is_intf_up_with_valid_ip(1129):Port is up.

    10) Event:E_DEBUG, length:57, at 785812 usecs after Mon May 13 17:22:09 2013
    [100] is_intf_up_with_valid_ip(1126):Proper IOD is found.

    11) Event:E_DEBUG, length:52, at 785799 usecs after Mon May 13 17:22:09 2013
    [100] Exiting function: get_if_index_from_global_conf

    12) Event:E_DEBUG, length:66, at 785797 usecs after Mon May 13 17:22:09 2013
    [100] Function get_if_index_from_global_conf: found interface mgmt0

    13) Event:E_DEBUG, length:53, at 785783 usecs after Mon May 13 17:22:09 2013
    [100] Entering function: get_if_index_from_global_conf

    14) Event:E_DEBUG, length:68, at 785781 usecs after Mon May 13 17:22:09 2013
    [100] init_tplus_req_state_machine:Falling to globally configured one

    15) Event:E_DEBUG, length:79, at 785779 usecs after Mon May 13 17:22:09 2013
    [100] init_tplus_req_state_machine:No source-interface configured for this group


  4. Debugar pedidos da autenticação TACACS+

    • Gire sobre debugar para pedidos da autenticação TACACS+.
    • Resultados do debug AAA estes logs:

      n7k-vdc-1# debug tacacs+ aaa-request
      n7k-vdc-1# show logging logfile last 5
      2013 May 13 18:20:26.077572 tacacs: tplus_encrypt(655):key is configured
      for this aaa session.
      2013 May 13 18:20:26.077918 tacacs: non_blocking_connect(171): getaddrinfo
      DNS cache fail) with retcode:-1 for server:192.0.2.9
      2013 May 13 18:20:26.077938 tacacs: connect_tac_server: non blocking connect
      failed, switching server for aaa session id(0) rtvalue(3)
      2013 May 13 18:20:26.077978 tacacs: switch_tac_server: no more server in the
      server group for aaa session 0
      2013 May 13 18:20:26.077993 tacacs: switch_tac_server: Unreachable servers
      case .setting error code for aaa session 0


  5. Execute uma captura de pacote de informação no servidor de TACACS

    Uma captura de pacote de informação no servidor de TACACS mostra que nenhum pacote chega do VDC.

  6. Execute uma captação de Ethanalyzer no 7000 Series Switch do nexo

    Uma captação de Ethanalyzer não mostra a isso nenhuma saída dos pacotes para o servidor de TACACS.

  7. Verifique os processos running no VDC

    As mostras do comando do tipo processador central do proc da mostra 33 exemplos (32 defuntos) de ser executado do processo TACACSD.
    n7k-vdc-1# show proc cpu sort | include tacacs
    1538 16 16 1014 0.0% tacacsd
    1855 16 10 1625 0.0% tacacsd
    2163 16 10 1678 0.0% tacacsd
    2339 15 23 676 0.0% tacacsd
    3820 15 10 1595 0.0% tacacsd
    3934 16 13 1272 0.0% tacacsd
    4416 25 8 3211 0.0% tacacsd
    4470 16 23 734 0.0% tacacsd
    5577 26 12 2191 0.0% tacacsd
    6592 969767 14589069 66 0.0% tacacs
    6934 16 13 1297 0.0% tacacsd
    8878 16 13 1252 0.0% tacacsd
    8979 16 12 1345 0.0% tacacsd
    10153 26 11 2453 0.0% tacacsd
    10202 15 8 1888 0.0% tacacsd
    10331 26 11 2368 0.0% tacacsd
    10482 16 14 1190 0.0% tacacsd
    14148 15 11 1433 0.0% tacacsd
    14385 14 10 1496 0.0% tacacsd
    14402 15 9 1775 0.0% tacacsd
    20678 16 9 1785 0.0% tacacsd
    20836 16 13 1246 0.0% tacacsd
    21257 15 13 1212 0.0% tacacsd
    21617 15 9 1749 0.0% tacacsd
    22159 15 12 1328 0.0% tacacsd
    23776 15 12 1320 0.0% tacacsd
    24017 25 9 2788 0.0% tacacsd
    29496 15 8 1990 0.0% tacacsd
    29972 15 11 1368 0.0% tacacsd
    30111 25 9 2847 0.0% tacacsd
    30204 15 9 1721 0.0% tacacsd
    30409 16 13 1254 0.0% tacacsd
    32410 15 8 1876 0.0% tacacsd


Solução

O VDC encontra a identificação de bug Cisco CSCud02139 do defeito do software conhecido.

O processo TACACSD desova os processos filho que obtêm colados. Isto alcança um máximo de 32 processos, e é incapaz de desovar mais a fim passar a autenticação.

Confirmação

  1. Confirme que há 33 exemplos de TACACSD. Você pode usar o tipo do comando show proc cpu | grep - c “tacacsd” a fim contar os exemplos.
  2. Execute uma captação do ethanalyzer, e confirme que o pedido não sae do 7000 Series Switch do nexo.
  3. Combine os mensagens de registro precedentes.

Soluções

Há três possibilidades. Remova toda a configuração de TACACS, e remova e readd a característica e a configuração. Uma outra opção é executar um switchover do supervisor. Ou você pode recarregar o VDC.

Versões resolved

  • Versões 5.2(9) e mais recente NX-OS no trem 5.2
  • Versões 6.1(3) e mais recente NX-OS no trem 6.1

Informações Relacionadas


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 116335