Resolución de problemas de CSS y TACACS+

Opciones de descarga

  • PDF     (261.0 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (81.2 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (66.8 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:3 de mayo de 2004
ID del documento:27000

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

El protocolo del Sistema de control de acceso del controlador de acceso a terminales (TACACS+) brinda control de acceso para routers, servidores de acceso a red (NAS) u otros dispositivos mediante uno o más servidores demonio. Cifra todo el tráfico entre el NAS y el demonio mediante comunicaciones TCP para una entrega fiable.

Este documento brinda información para la solución de problemas del switch de servicio de contenido (CSS) y TACACS+. Puede configurar el CSS como cliente de un servidor TACACS+, dándole un método de autenticación de usuarios, y autorización y contabilidad de comandos de configuración y de otro tipo. Esta función está disponible en WebNS 5.03.

Nota: Refiérase a Configuración de CSS como Cliente de un Servidor TACACS+ para obtener más información.

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Problema

Cuando intenta iniciar sesión en el CSS con un usuario TACACS+, el inicio de sesión no funciona.

Solución y comandos debug

Generalmente, cuando la autenticación TACACS+ no funciona con un CSS, el problema suele ser un problema de configuración en el CSS o en el servidor TACACS+. Lo primero que debe verificar es si ha configurado el CSS como cliente de un servidor TACACS+.

Cuando haya marcado esto, hay registros adicionales que puede utilizar en el CSS para determinar el problema. Complete estos pasos para activar el registro.

En el CSS, ingrese debug mode (modo de depuración).

CSS# llama
CSS(debug)# mask tac 0x3 
CSS(debug)# exit 
CSS# configure 
CSS(config)# logging subsystem security level debug-7 
CSS(config)# logging subsystem netman level info-6 
CSS(config)# exit 
CSS# logon    

!--- This logs messages to the screen.

Para inhabilitar el registro, ejecute estos comandos:

CSS# llama 
CSS(debug)# mask tac 0x0 
CSS(debug)# exit 
CSS# no logon

Estos mensajes pueden aparecer:

SEP 10 08:30:10 5/1 99 SECURITY-7: SECMGR:SecurityAuth:Request from 0x20204b0c 
SEP 10 08:30:10 5/1 100 SECURITY-7: SECMGR:SecurityMgrProc:Try Primary 
SEP 10 08:30:10 5/1 101 SECURITY-7: Security Manager sending error 7 reply to 
ller 20201c00

Estos mensajes indican que el CSS intenta comunicarse con el servidor TACACS+, pero el servidor TACACS+ rechaza el CSS. error 7 significa que la clave TACACS+ ingresada en el CSS no coincide con la clave en el servidor TACACS+.

Un login exitoso a través de un servidor TACACS+ muestra este mensaje (observe la respuesta success 0 de envío): 

SEP 10 08:31:46 5/1 107 SECURITY-7: SECMGR:SecurityAuth:Request from 0x20204b0d 
SEP 10 08:31:46 5/1 108 SECURITY-7: SECMGR:SecurityMgrProc:Try Primary 
SEP 10 08:31:47 5/1 109 SECURITY-7: Security Manager sending success 0 reply to 
caller 20201c00 

SEP 10 08:31:47 5/1 110 SECURITY-7: SECMGR:SecurityMgrProc:Try Done, Send 0x2020 
4b0d

Errores comunes

El error más común cuando se configura un CSS para trabajar con un servidor TACACS+ es en realidad muy simple. Este comando indica al CSS qué clave debe utilizar para comunicarse con el servidor TACACS+: 

CSS(config)# tacacs-server key system enterkeyhere

Esta clave puede ser texto sin cifrar o DES cifrado. La clave de texto no cifrado se cifra con DES antes de que se coloque en la configuración en ejecución. Para hacer que un texto clave sea claro, póngalo entre comillas. Para que DES esté cifrado, no utilice comillas. Lo importante es saber si la clave TACACS+ está cifrada con DES o si la clave es texto no cifrado. Después de ejecutar el comando, haga coincidir la clave del CSS con la clave que utiliza el servidor TACACS+.

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
11-Sep-2002
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco