セキュリティと VPN : Terminal Access Controller Access Control System(TACACS+)

VRF TACACS+ ごとの IOS のトラブルシューティング

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

TACACS+ は認証プロトコルとして頻繁に使用されますネットワークデバイスにユーザを認証するために。 さらに多くの管理者は VPN Routing and Forwarding (VRF)を使用してマネジメントトラフィックを分離しています。 デフォルトで、IOS の AAA はパケットを送信するのにデフォルト ルーティング ルーティング・テーブルを使用します。 サーバが VRF にあるときこの資料に TACACS+ を設定し解決する方法を記述されています。

注: 担当者 Jesse Dubois、Cisco TAC エンジニア

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • TACACS+

  • VRF

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

機能情報

基本的に VRF はデバイスのバーチャルルーティング ルーティング・テーブルです。 機能かインターフェイスが VRF を使用している場合 IOS がルーティング決定を作るとき、ルーティング決定はその VRF ルーティング テーブルに対してなされます。 これ以外の場合、機能はグローバル ルーティング テーブルを使用します。 これを念頭において、ここに VRF (太字の関係のある構成)を使用するために TACACS+ をどのように設定するかです:

version 15.2
service config
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname vrfAAA
!
boot-start-marker
boot-end-marker
!
aaa new-model
!
aaa group server tacacs+ management
 server-private 192.0.2.4 key cisco
 server-private 192.0.2.5 key cisco
 ip vrf forwarding blue
 ip tacacs source-interface GigabitEthernet0/0
!
aaa authentication login default group management local
aaa authorization exec default group management if-authenticated 
aaa accounting exec default start-stop group management
!
aaa session-id common
!
no ipv6 cef
!
ip vrf blue
!
no ip domain lookup
ip cef
!
interface GigabitEthernet0/0
 ip vrf forwarding blue
 ip address 203.0.113.2 255.255.255.0
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip route vrf blue 0.0.0.0 0.0.0.0 203.0.113.1
!
line con 0
line aux 0
line vty 0 4
 transport input all

見てわかるように、グローバルに定義された TACACS+ サーバがありません。 VRF にサーバを移行する場合、安全にグローバルに設定された TACACS+ サーバを削除できます。

トラブルシューティング方法

  1. AAA グループ サーバの下で定義、また TACACS+ トラフィックのためのソースインターフェイスを転送する適切な IP VRF を持つために確かめて下さい。

  2. VRF ルーティング テーブルをチェックし、ルートが TACACS+ サーバへあることを確かめて下さい。 上述の例が VRF ルーティング テーブルを表示するのに使用されています:

    vrfAAA#show ip route vrf blue
    
    Routing Table: blue
    Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2
           i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
           ia - IS-IS inter area, * - candidate default, U - per-user static route
           o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
           + - replicated route, % - next hop override
    
    Gateway of last resort is 203.0.113.1 to network 0.0.0.0
    
    S*    0.0.0.0/0 [1/0] via 203.0.113.1
          203.0.0.0/24 is variably subnetted, 2 subnets, 2 masks
    C        203.0.113.0/24 is directly connected, GigabitEthernet0/0
    L        203.0.113.2/32 is directly connected, GigabitEthernet0/0
  3. TACACS+ サーバを ping できますか。 これが VRF 仕様である同様に必要があることを覚えていて下さい:

    vrfAAA#ping vrf blue 192.0.2.4
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 102.0.2.4, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
  4. 接続(端、レガシーで作業新コード オプションを使用して下さい)を確認するテスト aaa コマンドを使用できます:

    vrfAAA#test aaa group management cisco Cisco123 new-code 
    Sending password
    User successfully authenticated
    
    USER ATTRIBUTES
    
    username             "cisco"
    reply-message        "password: "

ルーティングがきちんと整っていたらおよび TACACS+ サーバのヒットを見なかったら、ACL が TCPポート 49 がルータからのサーバに達するか、または切り替えるようにしていることを確かめて下さい。 認証失敗を得たら標準として TACACS+ を、VRF 機能ですパケットのルーティングのためちょうど解決して下さい。

データ分析

外観の上のすべてが訂正する場合問題を解決するために、AAA および tacacs デバッグは有効に することができます。 これらのデバッグから開始して下さい:

  • debug tacacs

  • debug aaa authentication

何かが正しく設定されないデバッグの例はのような限られたにここにありません:

  • 抜けている TACACS+ ソースインターフェイス

  • ソースインターフェイスまたは AAA グループ サーバの下の抜けた ip vrf forwarding コマンド

  • VRF ルーティング テーブルの TACACS+ サーバへのルート無し

Jul 30 20:23:16.399: TPLUS: Queuing AAA Authentication request 0 for processing
Jul 30 20:23:16.399: TPLUS: processing authentication start request id 0
Jul 30 20:23:16.399: TPLUS: Authentication start packet created for 0(cisco)
Jul 30 20:23:16.399: TPLUS: Using server 192.0.2.4
Jul 30 20:23:16.399: TPLUS(00000000)/0: Connect Error No route to host
Jul 30 20:23:16.399: TPLUS: Choosing next server 192.0.2.5
Jul 30 20:23:16.399: TPLUS(00000000)/0: Connect Error No route to host

接続の成功はここにあります:

Jul 30 20:54:29.091: AAA/AUTHEN/LOGIN (00000000): Pick method list 'default' 
Jul 30 20:54:29.091: TPLUS: Queuing AAA Authentication request 0 for processing
Jul 30 20:54:29.091: TPLUS: processing authentication start request id 0
Jul 30 20:54:29.091: TPLUS: Authentication start packet created for 0(cisco)
Jul 30 20:54:29.091: TPLUS: Using server 192.0.2.4
Jul 30 20:54:29.091: TPLUS(00000000)/0/NB_WAIT/2B2DC1AC: Started 5 sec timeout
Jul 30 20:54:29.095: TPLUS(00000000)/0/NB_WAIT: socket event 2
Jul 30 20:54:29.095: TPLUS(00000000)/0/NB_WAIT: wrote entire 25 bytes request
Jul 30 20:54:29.095: TPLUS(00000000)/0/READ: socket event 1
Jul 30 20:54:29.095: TPLUS(00000000)/0/READ: Would block while reading
Jul 30 20:54:29.099: TPLUS(00000000)/0/READ: socket event 1
Jul 30 20:54:29.099: TPLUS(00000000)/0/READ: read entire 12 header bytes (expect 16 bytes data)
Jul 30 20:54:29.099: TPLUS(00000000)/0/READ: socket event 1
Jul 30 20:54:29.099: TPLUS(00000000)/0/READ: read entire 28 bytes response
Jul 30 20:54:29.099: TPLUS(00000000)/0/2B2DC1AC: Processing the reply packet
Jul 30 20:54:29.099: TPLUS: Received authen response status GET_PASSWORD (8)
Jul 30 20:54:29.099: TPLUS: Queuing AAA Authentication request 0 for processing
Jul 30 20:54:29.099: TPLUS: processing authentication continue request id 0
Jul 30 20:54:29.099: TPLUS: Authentication continue packet generated for 0
Jul 30 20:54:29.099: TPLUS(00000000)/0/WRITE/2B2DC1AC: Started 5 sec timeout
Jul 30 20:54:29.099: TPLUS(00000000)/0/WRITE: wrote entire 25 bytes request
Jul 30 20:54:29.103: TPLUS(00000000)/0/READ: socket event 1
Jul 30 20:54:29.103: TPLUS(00000000)/0/READ: read entire 12 header bytes (expect 6 bytes data)
Jul 30 20:54:29.103: TPLUS(00000000)/0/READ: socket event 1
Jul 30 20:54:29.103: TPLUS(00000000)/0/READ: read entire 18 bytes response
Jul 30 20:54:29.103: TPLUS(00000000)/0/2B2DC1AC: Processing the reply packet
Jul 30 20:54:29.103: TPLUS: Received authen response status PASS (2)

一般的な問題

最も 一般的 な 問題は設定です。 admin は何倍も AAA グループ サーバに置きますが、サーバグループを指すために AAA 行をアップデートしません。 の代り:

aaa authentication login default group management local
aaa authorization exec default group management if-authenticated 
aaa accounting exec default start-stop group management

admin はに置いてしまいます:

aaa authentication login default grout tacacs+ local
aaa authorization exec default group tacacs+ if-authenticated 
aaa accounting exec default start-stop group tacacs+

正しいサーバ グループで設定を更新するだけです。

第 2 よくある問題はサーバグループの下で転送する IP VRF を追加することを試みるときユーザ受け取りますこのエラーをです:

% Unknown command or computer name, or unable to find computer address

これはコマンドが見つからなかったことを意味します。 これが発生したら IOSバージョン サポート毎 VRF TACACS+ を確かめて下さい。 いくつかのよくある最小バージョンはここにあります:

  • 12.3(7)T

  • 12.2(33)SRA1

  • 12.2(33)SXI

  • 12.2(33)SXH4

  • 12.2(54)SG

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 113667