セキュリティと VPN : Terminal Access Controller Access Control System(TACACS+)

CSS と TACACS+ のトラブルシューティング

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2003 年 7 月 28 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

Terminal Access Controller Access Control System(TACACS+)プロトコルでは、1 つまたは複数のデーモン サーバを使用して、ルータや Network Access Server(NAS; ネットワーク アクセス サーバ)などのデバイスに対するアクセス制御を行います。 信頼性の高い配送を行うために、NAS とデーモン間のトラフィックは、TCP による通信を使用してすべて暗号化されます。

この文書では、Content Services Switch(CSS; コンテント サービス スイッチ)と TACACS+ のトラブルシューティングに関する情報について説明します。 CSS を TACACS+ サーバのクライアントとして設定し、ユーザの認証方法や、設定コマンドおよび非設定コマンドの権限付与やアカウンティングを指定することができます。 この機能は、WebNS 5.03 で使用できます。

注: 詳細については TACACS+ サーバのクライアントでの CSS の設定を参照して下さい。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

問題

TACACS+ ユーザとの CSS にログインに試みるとき、ログオンははたらきません。

解決方法と debug コマンド

通常 TACACS+ 認証が CSS を使用しないとき、問題は通常 CSS または TACACS+ サーバの設定 に関する 問題です。 チェックする必要がある最初の事柄は TACACS+ サーバのクライアントで CSS を設定したかどうかです。

これをチェックしたら、問題を判別するために CSS で使用できる追加ロギングがあります。 記録を回すためにこれらのステップを完了して下さい。

CSS でデバッグ モードに入ります。

CSS# llama
CSS(debug)# mask tac 0x3 
CSS(debug)# exit 
CSS# configure 
CSS(config)# logging subsystem security level debug-7 
CSS(config)# logging subsystem netman level info-6 
CSS(config)# exit 
CSS# logon    

!--- This logs messages to the screen.
 

ロギングをディセーブルにするために、これらのコマンドを発行して下さい:

CSS# llama 
CSS(debug)# mask tac 0x0 
CSS(debug)# exit 
CSS# no logon 

これらのメッセージが現れることができます:

SEP 10 08:30:10 5/1 99 SECURITY-7: SECMGR:SecurityAuth:Request from 0x20204b0c 
SEP 10 08:30:10 5/1 100 SECURITY-7: SECMGR:SecurityMgrProc:Try Primary 
SEP 10 08:30:10 5/1 101 SECURITY-7: Security Manager sending error 7 reply to 
ller 20201c00 

これらのメッセージは CSS が TACACS+ サーバと通信することを試みるが TACACS+ サーバは CSS を拒否しますことを示します。 Error 7 は CSS で入る TACACS+ 鍵が TACACS+ サーバのキーを一致することを意味します。

TACACS+ サーバによる正常なログインはこのメッセージを表示します(送信成功 0 応答に注意して下さい):

SEP 10 08:31:46 5/1 107 SECURITY-7: SECMGR:SecurityAuth:Request from 0x20204b0d 
SEP 10 08:31:46 5/1 108 SECURITY-7: SECMGR:SecurityMgrProc:Try Primary 
SEP 10 08:31:47 5/1 109 SECURITY-7: Security Manager sending success 0 reply to 
caller 20201c00 

SEP 10 08:31:47 5/1 110 SECURITY-7: SECMGR:SecurityMgrProc:Try Done, Send 0x2020 
4b0d 

一般的な誤り

TACACS+ サーバを使用するために CSS を設定するときもっとも一般的な誤りは実際に非常に簡単です。 このコマンドは TACACS+ サーバかと通信するのに使用するべきどんなキーを CSS に述べています:

CSS(config)# tacacs-server key system enterkeyhere

このキーには、クリア テキストまたは DES 暗号化のいずれかを使用できます。 クリアテキスト キーはキーが実行コンフィギュレーションに置かれる前に暗号化される DES です。 キーをクリア テキストにするには、引用符で囲みます。 キーを DES 暗号化するには、引用符を使用しません。 重要な事柄はです TACACS+ 鍵が暗号化される DES であるかどうかまたは知ることキーがクリアテキストなら。 コマンドを発行した後、TACACS+ サーバが使用するキーに CSS のキーを一致させました。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 27000