セキュリティと VPN : 認証プロトコル

CSS と TACACS+ のトラブルシューティング

2003 年 7 月 28 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2004 年 5 月 3 日) | フィードバック

目次

概要
はじめに
     表記法
     前提条件
     使用するコンポーネント
問題
解決方法と debug コマンド
     一般的な誤り
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

Terminal Access Controller Access Control System(TACACS+)プロトコルでは、1 つまたは複数のデーモン サーバを使用して、ルータや Network Access Server(NAS; ネットワーク アクセス サーバ)などのデバイスに対するアクセス制御を行います。 信頼性の高い配送を行うために、NAS とデーモン間のトラフィックは、TCP による通信を使用してすべて暗号化されます。

この文書では、Content Services Switch(CSS; コンテント サービス スイッチ)と TACACS+ のトラブルシューティングに関する情報について説明します。 CSS を TACACS+ サーバのクライアントとして設定し、ユーザの認証方法や、設定コマンドおよび非設定コマンドの権限付与やアカウンティングを指定することができます。 この機能は、WebNS 5.03 で使用できます。

注: 詳細については、「CSS を TACACS+ サーバのクライアントとして設定」を参照してください。

はじめに

表記法

文書表記の詳細については、「シスコ テクニカル ティップスの表記法」を参照してください。

前提条件

この文書に関する特別な前提条件はありません。

使用するコンポーネント

この文書は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

この文書の情報は、特定のラボ環境にある装置に基づいて作成されています。 この文書内で使用されているデバイスはすべて、クリアーな状態(デフォルト)から設定作業を始めています。 実稼動中のネットワークで作業をしている場合、実際にコマンドを使用する前に、その潜在的な影響について理解しておく必要があります。

問題

TACACS+ ユーザで CSS にログインしようとしても、ログインできません。

解決方法と debug コマンド

TACACS+ 認証が CSS で動作しない場合は、通常は CSS または TACACS+ サーバのいずれかに設定上の問題があります。 最初にチェックする必要があるのは、ユーザが CSS を TACACS+ サーバのクライアントとして設定しているかどうかです。

これをチェックしたら、問題を特定するために CSS で使用されているロギングを調べます。 ロギングをオンにするには、次の手順に従ってください。

  1. CSS でデバッグ モードに入ります。

    CSS# llama
    CSS(debug)# mask tac 0x3 
    CSS(debug)# exit 
    CSS# configure 
    CSS(config)# logging subsystem security level debug-7 
    CSS(config)# logging subsystem netman level info-6 
    CSS(config)# exit 
    CSS# logon    
    
    !-- これが画面に表示されるログ メッセージになります。
     

ロギングをディセーブルにするには、次のコマンドを発行します。

    CSS# llama 
    CSS(debug)# mask tac 0x0 
    CSS(debug)# exit 
    CSS# no logon 

次のメッセージが表示されます。

    SEP 10 08:30:10 5/1 99 SECURITY-7: SECMGR:SecurityAuth:Request from 0x20204b0c 
    SEP 10 08:30:10 5/1 100 SECURITY-7: SECMGR:SecurityMgrProc:Try Primary 
    SEP 10 08:30:10 5/1 101 SECURITY-7: Security Manager sending error 7 reply to 
    ller 20201c00 

この場合、CSS から TACACS+ サーバへの通信が試みられているものの、TACACS+ サーバが CSS を拒否していることを意味しています。 error 7 は、CSS で入力された TACACS+ キーが TACACS+ サーバ上のキーに一致しないことを意味しています。

TACACS+ サーバ経由のログインが成功すると、次のメッセージが表示されます(success 0 の応答が返されることに注意してください)。

    SEP 10 08:31:46 5/1 107 SECURITY-7: SECMGR:SecurityAuth:Request from 0x20204b0d 
    SEP 10 08:31:46 5/1 108 SECURITY-7: SECMGR:SecurityMgrProc:Try Primary 
    SEP 10 08:31:47 5/1 109 SECURITY-7: Security Manager sending success 0 reply to 
    caller 20201c00 
    
    SEP 10 08:31:47 5/1 110 SECURITY-7: SECMGR:SecurityMgrProc:Try Done, Send 0x2020 
    4b0d 
    

一般的な誤り

CSS と TACACS+ サーバが一緒に動作するように設定する場合の最も一般的な誤りは、非常に単純なものです。 TACACS+ サーバと通信するために使用するキーを CSS に対して指定するには、次のコマンドを使用します。

    CSS(config)# tacacs-server key system enterkeyhere
    
    

このキーには、クリア テキストまたは DES 暗号化のいずれかを使用できます。 クリア テキストのキーは、実行中の設定に適用される前に DES 暗号化されます。 キーをクリア テキストにするには、引用符で囲みます。 キーを DES 暗号化するには、引用符を使用しません。 重要なことは、TACACS+ キーが DES 暗号化されているか、クリア テキストであるかを知ることです。 このコマンドを発行した後、CSS のキーを TACACS+ サーバが使用しているキーに合わせます。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 27000