Sécurité et VPN : Terminal Access Controller Access Control System (TACACS+)

La gamme de Nexus 7000 commute le problème avec l'authentification d'utilisateur distant par l'intermédiaire du SSH avec un compte TACACS

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document fournit l'étape nécessaire afin de dépanner et confirmer qu'un commutateur de gamme 7000 de Cisco Nexus est affecté par l'ID de bogue Cisco connu CSCud02139 d'erreur de logiciel.

Contribué par Scott Laffer, ingénieur TAC Cisco.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Commutateurs de la gamme Cisco Nexus 7000
  • Versions 5.2(5) à 5.2(7) du système d'exploitation de Cisco Nexus (NX-OS) incluses
  • Versions 6.0(1) à 6.1(3) de Cisco NX-OS incluses

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Problème

Symptômes

Les utilisateurs ne peuvent pas ouvrir une session à distance à un contexte de périphérique virtuel de commutateur de gamme de Nexus 7000 (volts continu) avec l'authentification TACACS.

Supplémentaire, ces messages sont vus dans les logs :

n7k-vdc-1# show log last 200 | grep TACACS
2013 May 13 17:17:31 n7k-vdc-1 TACACS-3-TACACS_ERROR_MESSAGE All servers
failed to respond
2013 May 13 17:17:46 n7k-vdc-1 TACACS-3-TACACS_ERROR_MESSAGE All servers
failed to respond
2013 May 13 17:18:06 n7k-vdc-1 TACACS-3-TACACS_ERROR_MESSAGE All servers
failed to respond
2013 May 13 17:18:12 n7k-vdc-1 TACACS-3-TACACS_ERROR_MESSAGE All servers
failed to respond
2013 May 13 17:18:16 n7k-vdc-1 TACACS-3-TACACS_ERROR_MESSAGE All servers
failed to respond
2013 May 13 17:20:26 n7k-vdc-1 TACACS-3-TACACS_ERROR_MESSAGE All servers
failed to respond
2013 May 13 17:20:39 n7k-vdc-1 TACACS-3-TACACS_ERROR_MESSAGE All servers
failed to respond
2013 May 13 17:21:50 n7k-vdc-1 TACACS-3-TACACS_ERROR_MESSAGE All servers
failed to respond
2013 May 13 17:22:09 n7k-vdc-1 TACACS-3-TACACS_ERROR_MESSAGE All servers
failed to respond
n7k-vdc-1#

Conditions

Ce problème est produit sur les Commutateurs de gamme de Nexus 7000 qui exécutent des versions de Cisco NX-OS entre 5.2(5) et 5.2(7), aussi bien qu'entre 6.0.1 à 6.1(3).

Le volts continu doit utiliser l'authentification TACACS, comme cet exemple :

n7k-vdc-1# show run tacacs+

!Command: show running-config tacacs+
!Time: Mon May 13 17:20:57 2013

version 6.1(2)
feature tacacs+

ip tacacs source-interface mgmt0
tacacs-server timeout 30
tacacs-server host 192.0.2.9 key 7 "keypassword"
aaa group server tacacs+ default
server 192.0.2.9
use-vrf management


n7k-vdc-1# show run aaa

!Command: show running-config aaa
!Time: Mon May 13 17:21:30 2013

version 6.1(2)
aaa authentication login default group default
aaa authorization config-commands default group default
aaa authorization commands default group default
aaa accounting default group default
no aaa user default-role
aaa authentication login error-enable
tacacs-server directed-request

Dépannez

  1. Confirmez l'état de serveur TACACS

    • Confirmez que le commutateur de gamme de Nexus 7000 peut avec succès cingler le serveur TACACS par l'intermédiaire du Virtual Routing and Forwarding correct (VRF).
    • Confirmez que le serveur TACACS authentifie toujours avec succès des utilisateurs sur d'autres périphériques.
  2. Vérifiez les journaux des erreurs de processus d'Authentification, autorisation et comptabilité (AAA)

    Employez cette commande afin de vérifier les journaux des erreurs de processus d'AAA :

    n7k-vdc-1# show system internal aaa event-history errors

    1) Event:E_DEBUG, length:54, at 786852 usecs after Mon May 13 17:22:09 2013
    [102] All Configured methods failed for default:default

    2) Event:E_DEBUG, length:53, at 786796 usecs after Mon May 13 17:22:09 2013
    [102] protocol TACACS failed with server group default

    3) Event:E_DEBUG, length:54, at 379206 usecs after Mon May 13 17:22:09 2013
    [102] All Configured methods failed for default:default

    4) Event:E_DEBUG, length:53, at 379172 usecs after Mon May 13 17:22:09 2013
    [102] protocol TACACS failed with server group default

    5) Event:E_DEBUG, length:54, at 89083 usecs after Mon May 13 17:21:51 2013
    [102] All Configured methods failed for default:default

    6) Event:E_DEBUG, length:53, at 89051 usecs after Mon May 13 17:21:51 2013
    [102] protocol TACACS failed with server group default


  3. Vérifiez les journaux des erreurs de processus TACACS+

    Employez cette commande afin de vérifier les journaux des erreurs de processus TACACS+ :

    n7k-vdc-1# show system internal tacacs+ event-history errors

    1) Event:E_DEBUG, length:88, at 786728 usecs after Mon May 13 17:22:09 2013
    [100] switch_tac_server: Unreachable servers case .setting error code for
    aaa session 0

    2) Event:E_DEBUG, length:77, at 786726 usecs after Mon May 13 17:22:09 2013
    [100] switch_tac_server: no more server in the server group for
    aaa session 0

    3) Event:E_DEBUG, length:103, at 786680 usecs after Mon May 13 17:22:09 2013
    [100] connect_tac_server: non blocking connect failed, switching server for
    aaa session id(0) rtvalue(3)

    4) Event:E_DEBUG, length:97, at 786677 usecs after Mon May 13 17:22:09 2013
    [100] non_blocking_connect(171): getaddrinfo(DNS cache fail) with retcode:-1
    for server:192.0.2.9

    5) Event:E_DEBUG, length:62, at 786337 usecs after Mon May 13 17:22:09 2013
    [100] tplus_encrypt(655):key is configured for this aaa session.

    6) Event:E_DEBUG, length:95, at 786287 usecs after Mon May 13 17:22:09 2013
    [100] tplus_make_acct_request(1343):Not calling the name-resolution routine
    as rem_addr is empty

    7) Event:E_DEBUG, length:63, at 786285 usecs after Mon May 13 17:22:09 2013
    [100] tplus_make_acct_request(1308):Accounting userdata:console0

    8) Event:E_DEBUG, length:63, at 786266 usecs after Mon May 13 17:22:09 2013
    [100] init_tplus_req_state_machine:Global source-interface mgmt0

    9) Event:E_DEBUG, length:48, at 785842 usecs after Mon May 13 17:22:09 2013
    [100] is_intf_up_with_valid_ip(1129):Port is up.

    10) Event:E_DEBUG, length:57, at 785812 usecs after Mon May 13 17:22:09 2013
    [100] is_intf_up_with_valid_ip(1126):Proper IOD is found.

    11) Event:E_DEBUG, length:52, at 785799 usecs after Mon May 13 17:22:09 2013
    [100] Exiting function: get_if_index_from_global_conf

    12) Event:E_DEBUG, length:66, at 785797 usecs after Mon May 13 17:22:09 2013
    [100] Function get_if_index_from_global_conf: found interface mgmt0

    13) Event:E_DEBUG, length:53, at 785783 usecs after Mon May 13 17:22:09 2013
    [100] Entering function: get_if_index_from_global_conf

    14) Event:E_DEBUG, length:68, at 785781 usecs after Mon May 13 17:22:09 2013
    [100] init_tplus_req_state_machine:Falling to globally configured one

    15) Event:E_DEBUG, length:79, at 785779 usecs after Mon May 13 17:22:09 2013
    [100] init_tplus_req_state_machine:No source-interface configured for this group


  4. Demandes d'authentification du debug TACACS+

    • Activez l'élimination des imperfections pour des demandes d'authentification TACACS+.
    • Sorties de débogage d'AAA ces logs :

      n7k-vdc-1# debug tacacs+ aaa-request
      n7k-vdc-1# show logging logfile last 5
      2013 May 13 18:20:26.077572 tacacs: tplus_encrypt(655):key is configured
      for this aaa session.
      2013 May 13 18:20:26.077918 tacacs: non_blocking_connect(171): getaddrinfo
      DNS cache fail) with retcode:-1 for server:192.0.2.9
      2013 May 13 18:20:26.077938 tacacs: connect_tac_server: non blocking connect
      failed, switching server for aaa session id(0) rtvalue(3)
      2013 May 13 18:20:26.077978 tacacs: switch_tac_server: no more server in the
      server group for aaa session 0
      2013 May 13 18:20:26.077993 tacacs: switch_tac_server: Unreachable servers
      case .setting error code for aaa session 0


  5. Effectuez une capture de paquet sur le serveur TACACS

    Une capture de paquet sur le serveur TACACS prouve que paquet n'arrive pas du volts continu.

  6. Exécutez une saisie d'Ethanalyzer sur le commutateur de gamme de Nexus 7000

    Une capture d'Ethanalyzer n'affiche à cela aucun de sortie de paquets vers le serveur TACACS.

  7. Vérifiez les processus actifs sur le volts continu

    La commande de tri CPU de show proc affiche 33 exemples (32 défunts) du processus exécuté TACACSD.
    n7k-vdc-1# show proc cpu sort | include tacacs
    1538 16 16 1014 0.0% tacacsd
    1855 16 10 1625 0.0% tacacsd
    2163 16 10 1678 0.0% tacacsd
    2339 15 23 676 0.0% tacacsd
    3820 15 10 1595 0.0% tacacsd
    3934 16 13 1272 0.0% tacacsd
    4416 25 8 3211 0.0% tacacsd
    4470 16 23 734 0.0% tacacsd
    5577 26 12 2191 0.0% tacacsd
    6592 969767 14589069 66 0.0% tacacs
    6934 16 13 1297 0.0% tacacsd
    8878 16 13 1252 0.0% tacacsd
    8979 16 12 1345 0.0% tacacsd
    10153 26 11 2453 0.0% tacacsd
    10202 15 8 1888 0.0% tacacsd
    10331 26 11 2368 0.0% tacacsd
    10482 16 14 1190 0.0% tacacsd
    14148 15 11 1433 0.0% tacacsd
    14385 14 10 1496 0.0% tacacsd
    14402 15 9 1775 0.0% tacacsd
    20678 16 9 1785 0.0% tacacsd
    20836 16 13 1246 0.0% tacacsd
    21257 15 13 1212 0.0% tacacsd
    21617 15 9 1749 0.0% tacacsd
    22159 15 12 1328 0.0% tacacsd
    23776 15 12 1320 0.0% tacacsd
    24017 25 9 2788 0.0% tacacsd
    29496 15 8 1990 0.0% tacacsd
    29972 15 11 1368 0.0% tacacsd
    30111 25 9 2847 0.0% tacacsd
    30204 15 9 1721 0.0% tacacsd
    30409 16 13 1254 0.0% tacacsd
    32410 15 8 1876 0.0% tacacsd


Solution

Le volts continu rencontre l'ID de bogue Cisco connu CSCud02139 d'erreur de logiciel.

Le processus TACACSD engendre les processus fils qui sont bloqué. Ceci atteint un maximum de 32 processus, et il ne peut pas engendrer plus afin de passer l'authentification.

Confirmation

  1. Confirmez qu'il y a 33 exemples de TACACSD. Vous pouvez utiliser le tri CPU de show proc de commande | grep - c « tacacsd » afin de compter les exemples.
  2. Exécutez une saisie d'ethanalyzer, et la confirmez que la demande ne part pas de la gamme de Nexus 7000 commutent.
  3. Appariez les messages de log précédents.

Contournements

Il y a trois possibilités. Retirez toute les configuration TACACS, et retirez et readd la caractéristique et la configuration. Une autre option est d'exécuter un basculement de superviseur. Ou vous pouvez recharger le volts continu.

Versions résolues

  • Versions 5.2(9) et ultérieures NX-OS dans la série 5.2
  • Versions 6.1(3) et ultérieures NX-OS dans la série 6.1

Informations connexes



Document ID: 116335