Dépannage CSS et TACACS+

Options de téléchargement

  • PDF     (260.4 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
Mis à jour:3 mai 2004
ID du document:27000

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Le protocole TACACS+ (Terminal Access Controller Access Control System) permet de contrôler l'accès des routeurs, des serveurs d'accès réseau (NAS) ou d'autres périphériques via un ou plusieurs serveurs démon. Il chiffre tout le trafic entre le NAS et le démon à l'aide des communications TCP pour une livraison fiable.

Ce document fournit des informations de dépannage pour le commutateur de services de contenu (CSS) et TACACS+. Vous pouvez configurer le CSS en tant que client d'un serveur TACACS+, fournissant une méthode d'authentification des utilisateurs, ainsi que l'autorisation et la comptabilisation des commandes de configuration et de non-configuration. Cette fonctionnalité est disponible dans WebNS 5.03.

Remarque : référez-vous à Configuration du CSS en tant que client d'un serveur TACACS+ pour plus d'informations.

Conditions préalables

Exigences

Aucune exigence spécifique n'est associée à ce document.

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Problème

Lorsque vous tentez de vous connecter à CSS avec un utilisateur TACACS+, la connexion ne fonctionne pas.

Commandes Solution et debug

Généralement, lorsque l'authentification TACACS+ ne fonctionne pas avec un CSS, le problème est généralement un problème de configuration sur le CSS ou le serveur TACACS+. La première chose que vous devez vérifier est si vous avez configuré le CSS en tant que client d'un serveur TACACS+.

Lorsque vous avez coché cette option, vous pouvez utiliser d'autres journaux sur le CSS afin de déterminer le problème. Suivez ces étapes pour activer la journalisation.

Sur CSS, passez en mode de débogage.

CSS# llama
CSS(debug)# mask tac 0x3 
CSS(debug)# exit 
CSS# configure 
CSS(config)# logging subsystem security level debug-7 
CSS(config)# logging subsystem netman level info-6 
CSS(config)# exit 
CSS# logon    

!--- This logs messages to the screen.

Afin de désactiver la journalisation, émettez ces commandes :

CSS# llama 
CSS(debug)# mask tac 0x0 
CSS(debug)# exit 
CSS# no logon

Ces messages peuvent apparaître :

SEP 10 08:30:10 5/1 99 SECURITY-7: SECMGR:SecurityAuth:Request from 0x20204b0c 
SEP 10 08:30:10 5/1 100 SECURITY-7: SECMGR:SecurityMgrProc:Try Primary 
SEP 10 08:30:10 5/1 101 SECURITY-7: Security Manager sending error 7 reply to 
ller 20201c00

Ces messages indiquent que le CSS tente de communiquer avec le serveur TACACS+, mais que le serveur TACACS+ rejette le CSS. L'erreur 7 signifie que la clé TACACS+ entrée dans le CSS ne correspond pas à la clé sur le serveur TACACS+.

Une connexion réussie via un serveur TACACS+ affiche ce message (notez la réponse success 0 envoyée) : 

SEP 10 08:31:46 5/1 107 SECURITY-7: SECMGR:SecurityAuth:Request from 0x20204b0d 
SEP 10 08:31:46 5/1 108 SECURITY-7: SECMGR:SecurityMgrProc:Try Primary 
SEP 10 08:31:47 5/1 109 SECURITY-7: Security Manager sending success 0 reply to 
caller 20201c00 

SEP 10 08:31:47 5/1 110 SECURITY-7: SECMGR:SecurityMgrProc:Try Done, Send 0x2020 
4b0d

Erreurs courantes

L'erreur la plus courante lorsque vous configurez un CSS pour travailler avec un serveur TACACS+ est en fait très simple. Cette commande indique au CSS quelle touche utiliser pour communiquer avec le serveur TACACS+ : 

CSS(config)# tacacs-server key system enterkeyhere

Cette clé peut être en texte clair ou chiffrée DES. La clé en texte clair est chiffrée DES avant que la clé ne soit placée dans la configuration en cours. Pour rendre une clé claire, mettez-la entre guillemets. Pour le chiffrer, n'utilisez pas de guillemets. L'important est de savoir si la clé TACACS+ est chiffrée DES ou si la clé est en texte clair. Après avoir exécuté la commande, faites correspondre la clé du CSS à la clé utilisée par le serveur TACACS+.

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
11-Sep-2002
Première publication

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco