Безопасность и VPN : Terminal Access Controller Access Control System (TACACS+)

Устранение неполадок CSS и TACACS+

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Протокол системы управления доступом контроллера доступа терминала (TACACS+) обеспечивает управление доступом для маршрутизаторов, серверов сетевого доступа (NAS) или других устройств через один или несколько серверов управляющей программы. Это шифрует весь трафик между NAS и демоном, использующим TCP - взаимодействия для надежной доставки.

Данный документ содержит сведения по устранению неполадок коммутатора службы контента (CSS) и TACACS+. Можно настроить CSS в качестве клиента сервера TACACS+, указав метод аутентификации пользователей и авторизации с учетом команд конфигурации и без конфигурации. Эта функция доступна в WEBNS 5.03.

Примечание: См. Настройку CSS как Клиент TACACS + Сервер для получения дополнительной информации.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Проблема

Когда вы пытаетесь войти к CSS с TACACS + пользователь, вход в систему не работает.

Команды решения и отладки

Обычно, когда TACACS + аутентификация не работает с CSS, проблемой является обычно любой проблема конфигурации или на CSS или на TACACS + сервер. Первая вещь, которую необходимо проверить, состоит в том, настроили ли вы CSS как клиент TACACS + сервер.

При проверке этого существует дополнительная регистрация, которую можно использовать на CSS для определения проблемы. Выполните эти шаги для включения регистрации.

Войдите в режим отладки на CSS.

CSS# llama
CSS(debug)# mask tac 0x3 
CSS(debug)# exit 
CSS# configure 
CSS(config)# logging subsystem security level debug-7 
CSS(config)# logging subsystem netman level info-6 
CSS(config)# exit 
CSS# logon    

!--- This logs messages to the screen.
 

Для отключения регистрации выполните эти команды:

CSS# llama 
CSS(debug)# mask tac 0x0 
CSS(debug)# exit 
CSS# no logon 

Эти сообщения могут появиться:

SEP 10 08:30:10 5/1 99 SECURITY-7: SECMGR:SecurityAuth:Request from 0x20204b0c 
SEP 10 08:30:10 5/1 100 SECURITY-7: SECMGR:SecurityMgrProc:Try Primary 
SEP 10 08:30:10 5/1 101 SECURITY-7: Security Manager sending error 7 reply to 
ller 20201c00 

Эти сообщения указывают, что CSS пытается связаться с TACACS + сервер, но TACACS + сервер отклоняет CSS. error 7 означает, что TACACS + ключ, введенный в CSS, не совпадает с ключом на TACACS + сервер.

Успешная регистрация в системе через TACACS + сервер показывает это сообщение (обратите внимание на передачу ответ success 0):

SEP 10 08:31:46 5/1 107 SECURITY-7: SECMGR:SecurityAuth:Request from 0x20204b0d 
SEP 10 08:31:46 5/1 108 SECURITY-7: SECMGR:SecurityMgrProc:Try Primary 
SEP 10 08:31:47 5/1 109 SECURITY-7: Security Manager sending success 0 reply to 
caller 20201c00 

SEP 10 08:31:47 5/1 110 SECURITY-7: SECMGR:SecurityMgrProc:Try Done, Send 0x2020 
4b0d 

Распространенные ошибки

Наиболее распространенная ошибка, когда вы устанавливаете CSS для работы с TACACS + сервер, фактически очень проста. Эта команда говорит CSS что ключ использовать для передачи с TACACS + сервер:

CSS(config)# tacacs-server key system enterkeyhere

Этот ключ может быть или открытым текстом или зашифрованным DES. Ключ открытого текста является DES, зашифрованным, прежде чем ключ будет размещен в рабочую конфигурацию. Для создания ключевого открытого текста поместите его в кавычки. Для создания его DES зашифрованный не используйте кавычки. Важная вещь должна знать, является ли TACACS + ключ зашифрованным DES или если ключ является открытым текстом. После того, как вы выполните команду, совпадете с ключом CSS к ключу, который использует TACACS + сервер.


Дополнительные сведения


Document ID: 27000