Sécurité et VPN : Terminal Access Controller Access Control System (TACACS+)

Dépannage CSS et TACACS+

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Le protocole de Terminal Access Controller Access Control System (TACACS+) fournit le contrôle d'accès pour des Routeurs, des serveurs d'accès à distance (NASs), ou d'autres périphériques par un ou plusieurs serveurs de démon. Il chiffre tout le trafic entre le NAS et le démon utilisant des transmissions de TCP pour la livraison fiable.

Ce document fournit l'information de dépannage pour le Commutateur de services de contenu (CSS) et le TACACS+. Vous pouvez configurer le CSS en tant que client d'un serveur TACACS+, fournissant une méthode pour l'authentification des utilisateurs, et autorisation et comptabilité de la configuration et des commandes de non-configuration. Cette caractéristique est disponible dans WebNS 5.03.

Remarque: Référez-vous à configurer le CSS en tant que client d'un pour en savoir plus de serveur TACACS+.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Problème

Quand vous tentez d'ouvrir une session au CSS avec un utilisateur TACACS+, la procédure de connexion ne fonctionne pas.

Commandes de solution et de débogage

Généralement, quand l'authentification TACACS+ ne fonctionne pas avec un CSS, le problème est habituellement une question de configuration sur le CSS ou le serveur TACACS+. La première chose que vous devez vérifier est si vous avez configuré le CSS en tant que client d'un serveur TACACS+.

Quand vous avez vérifié ceci, il y a se connecter supplémentaire ce vous peut l'utiliser sur le CSS afin de déterminer le problème. Terminez-vous ces étapes pour activer se connecter.

Sur le CSS, entrez mettent au point le mode.

CSS# llama
CSS(debug)# mask tac 0x3 
CSS(debug)# exit 
CSS# configure 
CSS(config)# logging subsystem security level debug-7 
CSS(config)# logging subsystem netman level info-6 
CSS(config)# exit 
CSS# logon    

!--- This logs messages to the screen.
 

Afin de désactiver se connecter, émettez ces commandes :

CSS# llama 
CSS(debug)# mask tac 0x0 
CSS(debug)# exit 
CSS# no logon 

Ces messages peuvent apparaître :

SEP 10 08:30:10 5/1 99 SECURITY-7: SECMGR:SecurityAuth:Request from 0x20204b0c 
SEP 10 08:30:10 5/1 100 SECURITY-7: SECMGR:SecurityMgrProc:Try Primary 
SEP 10 08:30:10 5/1 101 SECURITY-7: Security Manager sending error 7 reply to 
ller 20201c00 

Ces messages indiquent que les essais CSS à communiquer avec le serveur TACACS+, mais le serveur TACACS+ rejette le CSS. l'erreur 7 signifie que les TACACS+ introduisent entré dans le CSS n'apparient pas la clé sur le serveur TACACS+.

Une procédure de connexion réussie par un serveur TACACS+ affiche ce message (notez le succès de envoi 0 réponses) :

SEP 10 08:31:46 5/1 107 SECURITY-7: SECMGR:SecurityAuth:Request from 0x20204b0d 
SEP 10 08:31:46 5/1 108 SECURITY-7: SECMGR:SecurityMgrProc:Try Primary 
SEP 10 08:31:47 5/1 109 SECURITY-7: Security Manager sending success 0 reply to 
caller 20201c00 

SEP 10 08:31:47 5/1 110 SECURITY-7: SECMGR:SecurityMgrProc:Try Done, Send 0x2020 
4b0d 

Erreurs communes

L'erreur la plus commune quand vous installez un CSS pour travailler avec un serveur TACACS+ est réellement très simple. Cette commande indique au CSS quelle clé à l'utiliser pour communiquer avec le serveur TACACS+ :

CSS(config)# tacacs-server key system enterkeyhere

Cette clé peut être texte clair ou DES chiffré. La clé des textes clairs est DES chiffré avant que la clé soit placée en configuration en cours. Pour faire un texte clair principal, mettez-le dans les devis. Pour lui faire le DES chiffré, n'utilisez pas les devis. La chose importante est de savoir si la clé TACACS+ est DES chiffré ou si la clé est texte clair. Après que vous émettiez la commande, appariez la clé du CSS à la clé que le serveur TACACS+ utilise.


Informations connexes


Document ID: 27000