أستكشاف أخطاء مصادقة SSH وإصلاحها على ASA مع RADIUS باستخدام كلمة مرور المرة الواحدة

مسألة

يفشل وصول Secure Shell (SSH) إلى برنامج أجهزة الأمان المعدلة (ASA) مع خدمة مصادقة طلب اتصال المستخدم البعيد (RADIUS) باستخدام كلمة مرور المرة الواحدة (OTP) عندما يتم تمكين مكدس CiscoSSH.

يتم إنشاء رسائل syslog هذه:

Nov 14 2025 16:28:35: %ASA-6-113010: AAA challenge received for user from server .
Nov 14 2025 16:28:35: %ASA-4-109033: Authentication failed for admin user from . Interactive challenge processing is not supported for SSH v1 connections

البيئة

وتلاحظ الاعراض عندما تتطابق كل الاحوال:

• جدار الحماية الآمن 1230 مع ASA في وضع أحادي أو متعدد السياقات. وتتأثر أيضا منصات الأجهزة الأخرى.

• يتم إستخدام خادم RADIUS لمصادقة SSH:

device# show run | i aaa
aaa-server RAD-OTP protocol radius
aaa-server RAD-OTP (management) host 192.0.2.1
aaa-server RAD-OTP (management) host 192.0.2.2
aaa authentication ssh console RAD-OTP

• يطلب خادم RADIUS رمز OTP صالح أو يتطلب تحديا للمصادقة الناجحة.

• يتم تمكين مكدس Cisco SSH على ASA.

• في الإصدارات 9.19.1 والإصدارات الأحدث، يتم تمكين مكدس CiscoSSH بشكل افتراضي ويمكن تعطيله إختياريا باستخدام الأمر no ssh stack cisco. أستخدم الأمر show ssh للتحقق من الصحة:

device# show ssh
ssh secure copy : ENABLED
ciscoSSH stack : DISABLED

• في الإصدارات 9.23.1 والإصدارات الأحدث، لا يمكن تعطيل هذا المكدس أو التحقق منه.

قرار

يتم نسخ الأعراض بنجاح في المختبر الداخلي وتتبع في معرف تصحيح الأخطاء من Cisco CSCwt57790.

أستخدم أحد خيارات الحل البديل هذه في الإصدارات المتأثرة:

• إستخدام المصادقة المحلية لاتصالات SSH.

• على خادم RADIUS يعجز متطلب OTP ل ASA.

• في إصدارات أقدم من 9.23، قم بتعطيل مكدس CiscoSSH باستخدام الأمر no ssh stack cisco. تأكد من مراجعة مرجع أوامر سلسلة Cisco Secure Firewall ASA، وأمر S وتقييم التأثير المحتمل لتعطيل مكدس CiscoSSH.

السبب

سبب فشل المصادقة هو معرف تصحيح الأخطاء من Cisco CSCwt57790.

المحتوى ذي الصلة

• معرف تصحيح الأخطاء من Cisco CSCwi04513

• معرف تصحيح الأخطاء من Cisco CSCwt57790

• جدار الحماية الآمن ASA Series مرجع الأوامر، S