安全与 VPN : Terminal Access Controller Access Control System (TACACS+)

排除CSS和TACACS+故障

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2014 年 10 月 1 日) | 反馈


目录


简介

终端访问控制器访问控制系统(TACACS+)协议为路由器、网络接入服务器(NAS),或者其它设备提供访问控制到一个或更多守护程序服务器。使用可靠传输的, TCP通信它加密NAS和守护程序之间的所有流量。

本文为内容服务交换机(CSS)和TACACS+提供故障排除信息。您能配置CSS作为TACACS+服务器的客户端,提供方法为用户的验证和授权和认为配置和配置命令。此功能是可用的在WebNS 5.03。

注意: 参考配置CSS作为一个TACACS+服务器的客户端欲知更多信息。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

问题

当您尝试登陆到与TACACS+用户时的CSS,登录不工作。

解决方案和调试指令

通常,当TACACS+认证不与CSS一起使用时,问题通常是在CSS或TACACS+服务器的配置问题。您需要检查的第一件事是您是否配置CSS作为TACACS+服务器的客户端。

当您检查此时,有您在CSS能使用为了确定问题的另外的记录日志。完成这些步骤启用登录。

在CSS,请输入调试模式。

CSS# llama
CSS(debug)# mask tac 0x3 
CSS(debug)# exit 
CSS# configure 
CSS(config)# logging subsystem security level debug-7 
CSS(config)# logging subsystem netman level info-6 
CSS(config)# exit 
CSS# logon    

!--- This logs messages to the screen.
 

为了禁用记录日志,请发出这些命令:

CSS# llama 
CSS(debug)# mask tac 0x0 
CSS(debug)# exit 
CSS# no logon 

这些消息能出现:

SEP 10 08:30:10 5/1 99 SECURITY-7: SECMGR:SecurityAuth:Request from 0x20204b0c 
SEP 10 08:30:10 5/1 100 SECURITY-7: SECMGR:SecurityMgrProc:Try Primary 
SEP 10 08:30:10 5/1 101 SECURITY-7: Security Manager sending error 7 reply to 
ller 20201c00 

这些消息表明CSS设法与TACACS+服务器联络,但是TACACS+服务器拒绝CSS。错误7意味着在CSS输入的TACACS+密钥不匹配在TACACS+服务器的密钥。

一成功登录通过TACACS+服务器表示此消息(请注释发送的成功0回复) :

SEP 10 08:31:46 5/1 107 SECURITY-7: SECMGR:SecurityAuth:Request from 0x20204b0d 
SEP 10 08:31:46 5/1 108 SECURITY-7: SECMGR:SecurityMgrProc:Try Primary 
SEP 10 08:31:47 5/1 109 SECURITY-7: Security Manager sending success 0 reply to 
caller 20201c00 

SEP 10 08:31:47 5/1 110 SECURITY-7: SECMGR:SecurityMgrProc:Try Done, Send 0x2020 
4b0d 

常见错误

多数常见错误,当您设置CSS与TACACS+服务器一起使用时实际上非常简单。此命令告诉CSS使用的什么密钥用TACACS+服务器通信:

CSS(config)# tacacs-server key system enterkeyhere

此密钥可以是加密的明文或DES。在密钥在运行的配置前,安置明文密钥是加密的DES。要做关键明文,请放置它在报价单。要做它加密的DES,请勿使用报价单。重要事情是知道TACACS+密钥是否是加密的DES或密钥是否是明文。在您发出命令后,请匹配CSS的密钥对TACACS+服务器使用的密钥。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 27000