Resolución de Problemas de Falla de Autenticación SSH en ASA con RADIUS Usando una Contraseña Única

Opciones de descarga

  • PDF     (249.6 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (87.7 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (74.2 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:29 de abril de 2026
ID del documento:225828

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Contenido

Problema

El acceso de Secure Shell (SSH) al software Adaptive Security Appliance (ASA) con el servicio de usuario de acceso telefónico de autenticación remota (RADIUS) mediante contraseña de un solo uso (OTP) falla cuando la pila CiscoSSH está activada.

Se generan estos mensajes de syslog:

Nov 14 2025 16:28:35: %ASA-6-113010: AAA challenge received for user from server .
Nov 14 2025 16:28:35: %ASA-4-109033: Authentication failed for admin user from . Interactive challenge processing is not supported for SSH v1 connections

Entorno

Los síntomas se observan cuando todas las condiciones coinciden:

  • Secure Firewall 1230 con ASA en modo único o multicontexto. Otras plataformas de hardware también se ven afectadas.

  • El servidor RADIUS se utiliza para la autenticación SSH:

device# show run | i aaa
aaa-server RAD-OTP protocol radius
aaa-server RAD-OTP (management) host 192.0.2.1
aaa-server RAD-OTP (management) host 192.0.2.2
aaa authentication ssh console RAD-OTP

  • El servidor RADIUS solicita y requiere un código OTP válido o un desafío para una autenticación correcta.

  • La pila CiscoSSH está habilitada en ASA.

  • En las versiones 9.19.1 y posteriores, la pila CiscoSSH se habilita de forma predeterminada y se puede inhabilitar opcionalmente mediante el comando no ssh stack cisco. Utilice el comando show ssh para la verificación:

device# show ssh
ssh secure copy : ENABLED
ciscoSSH stack : DISABLED

  • En las versiones 9.23.1 y posteriores, esta pila no se puede deshabilitar ni verificar.

Resolución

Los síntomas se reproducen correctamente en el laboratorio interno y se realiza un seguimiento en el Id. de error de Cisco CSCwt5790.

Utilice una de estas opciones de solución alternativa en las versiones afectadas:

  • Utilice la autenticación local para las conexiones SSH.

  • En el servidor RADIUS inhabilite el requisito OTP para ASA.

  • En versiones anteriores a la 9.23, inhabilite la pila CiscoSSH usando el comando no ssh stack cisco. Asegúrese de revisar la Referencia de Comandos, Comandos S de la Serie ASA de Cisco Secure Firewall y evalúe el impacto potencial de desactivar la pila CiscoSSH.

Causa

La causa de la falla de autenticación es el Id. de bug Cisco CSCwt57790.

Contenido relacionado

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
29-Apr-2026
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Ilkin Gasimov
    Ingeniero del TAC de Cisco
  • Mikis Zafeiroudis
    Ingeniero del TAC de Cisco

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos