أستكشاف أخطاء CSS و TACACS+ وإصلاحها

المقدمة

يوفر بروتوكول نظام التحكم في الوصول إلى وحدة تحكم الوصول إلى المحطة الطرفية (TACACS+) التحكم في الوصول للموجهات أو خوادم الوصول إلى الشبكة (NAS) أو أجهزة أخرى من خلال خادم واحد أو أكثر من خوادم الأمان. وهو يقوم بتشفير جميع حركات مرور البيانات بين وحدة التخزين المتصلة بالشبكة (NAS) والخوادم الصغيرة باستخدام إتصالات TCP للتسليم الموثوق به.

يقدم هذا المستند معلومات أستكشاف أخطاء محول خدمات المحتوى (CSS) و TACACS+ وإصلاحها. يمكنك تكوين CSS كعميل لخادم TACACS+، وتوفير طريقة لمصادقة المستخدمين، والتخويل والمحاسبة لأوامر التكوين وغير التكوين. تتوفر هذه الميزة في WebNS 5.03.

ملاحظة: راجع تكوين CSS كعميل لخادم TACACS+ للحصول على مزيد من المعلومات.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الاصطلاحات

راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

المشكلة

عند محاولة تسجيل الدخول إلى CSS باستخدام مستخدم TACACS+، لا يعمل تسجيل الدخول.

أوامر الحل وتصحيح الأخطاء

وبشكل عام، عندما لا تعمل مصادقة TACACS+ مع CSS، تكون المشكلة عادة إما مشكلة تكوين على CSS أو خادم TACACS+. أول شيء يجب التحقق منه هو ما إذا كنت قد قمت بتكوين CSS كعميل لخادم TACACS+.

عندما تتحقق من هذا، هناك تسجيل إضافي يمكنك إستخدامه على CSS لتحديد المشكلة. أكمل الخطوات التالية لتشغيل التسجيل.

دخلت على ال CSS، يضبط أسلوب.

CSS# llama
CSS(debug)# mask tac 0x3 
CSS(debug)# exit 
CSS# configure 
CSS(config)# logging subsystem security level debug-7 
CSS(config)# logging subsystem netman level info-6 
CSS(config)# exit 
CSS# logon    

!--- This logs messages to the screen.
 

أصدرت in order to أعجزت تسجيل، هذا أمر:

CSS# llama 
CSS(debug)# mask tac 0x0 
CSS(debug)# exit 
CSS# no logon 

يمكن أن تظهر هذه الرسائل:

SEP 10 08:30:10 5/1 99 SECURITY-7: SECMGR:SecurityAuth:Request from 0x20204b0c 
SEP 10 08:30:10 5/1 100 SECURITY-7: SECMGR:SecurityMgrProc:Try Primary 
SEP 10 08:30:10 5/1 101 SECURITY-7: Security Manager sending error 7 reply to 
ller 20201c00 

تشير هذه الرسائل إلى أن CSS يحاول الاتصال بخادم TACACS+، ولكن خادم TACACS+ يرفض CSS. الخطأ 7 يعني أن مفتاح TACACS+ الذي تم إدخاله في CSS لا يطابق المفتاح على خادم TACACS+.

تظهر عملية تسجيل دخول ناجحة من خلال خادم TACACS+ هذه الرسالة (لاحظ الرد الخاص بإرسال النجاح 0):

SEP 10 08:31:46 5/1 107 SECURITY-7: SECMGR:SecurityAuth:Request from 0x20204b0d 
SEP 10 08:31:46 5/1 108 SECURITY-7: SECMGR:SecurityMgrProc:Try Primary 
SEP 10 08:31:47 5/1 109 SECURITY-7: Security Manager sending success 0 reply to 
caller 20201c00 

SEP 10 08:31:47 5/1 110 SECURITY-7: SECMGR:SecurityMgrProc:Try Done, Send 0x2020 
4b0d 

الأخطاء الشائعة

إن الخطأ الأكثر شيوعا عند إعداد برنامج CSS للعمل مع خادم TACACS+ هو في الواقع بسيط للغاية. يخبر هذا الأمر CSS بالمفتاح الذي سيتم إستخدامه للاتصال بخادم TACACS+:

CSS(config)# tacacs-server key system enterkeyhere

يمكن أن يكون هذا المفتاح نص واضح أو DES مشفر. يتم تشفير مفتاح النص الواضح قبل وضع المفتاح في التكوين الجاري. لعمل نص واضح للمفتاح، ضعه في علامات تنصيص. لجعل DES مشفرا، لا تستخدم علامات اقتباس. المهم هو معرفة ما إذا كان مفتاح TACACS+ مشفرا DES أو ما إذا كان المفتاح نصا واضحا. بعد إصدار الأمر، قم بمطابقة مفتاح CSS مع المفتاح الذي يستخدمه خادم TACACS+.

معلومات ذات صلة

• تكوين CSS كعميل لخادم TACACS+
• تكوين TACACS+ و TACACS+ الموسعة
• الدعم التقني والمستندات - Cisco Systems