Dépannage CSS et TACACS+

Options de téléchargement

  • PDF     (195.4 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (71.1 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (65.0 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:3 mai 2004
ID du document:1466771284477178

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Le protocole de Terminal Access Controller Access Control System (TACACS+) fournit le contrôle d'accès pour des Routeurs, des serveurs d'accès à distance (NASs), ou d'autres périphériques par un ou plusieurs serveurs de démon. Il chiffre tout le trafic entre le NAS et le démon utilisant des transmissions de TCP pour la livraison fiable.

Ce document fournit l'information de dépannage pour le Commutateur de services de contenu (CSS) et le TACACS+. Vous pouvez configurer le CSS en tant que client d'un serveur TACACS+, fournissant une méthode pour l'authentification des utilisateurs, et autorisation et comptabilité de la configuration et des commandes de non-configuration. Cette caractéristique est disponible dans WebNS 5.03.

Remarque: Référez-vous à configurer le CSS en tant que client d'un pour en savoir plus de serveur TACACS+.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Problème

Quand vous tentez d'ouvrir une session au CSS avec un utilisateur TACACS+, la procédure de connexion ne fonctionne pas.

Commandes de solution et de débogage

Généralement, quand l'authentification TACACS+ ne fonctionne pas avec un CSS, le problème est habituellement une question de configuration sur le CSS ou le serveur TACACS+. La première chose que vous devez vérifier est si vous avez configuré le CSS en tant que client d'un serveur TACACS+.

Quand vous avez vérifié ceci, il y a se connecter supplémentaire ce vous peut l'utiliser sur le CSS afin de déterminer le problème. Terminez-vous ces étapes pour activer se connecter.

Sur le CSS, entrez mettent au point le mode.

CSS# llama
CSS(debug)# mask tac 0x3 
CSS(debug)# exit 
CSS# configure 
CSS(config)# logging subsystem security level debug-7 
CSS(config)# logging subsystem netman level info-6 
CSS(config)# exit 
CSS# logon    

!--- This logs messages to the screen.

Afin de désactiver se connecter, émettez ces commandes :

CSS# llama 
CSS(debug)# mask tac 0x0 
CSS(debug)# exit 
CSS# no logon

Ces messages peuvent apparaître :

SEP 10 08:30:10 5/1 99 SECURITY-7: SECMGR:SecurityAuth:Request from 0x20204b0c 
SEP 10 08:30:10 5/1 100 SECURITY-7: SECMGR:SecurityMgrProc:Try Primary 
SEP 10 08:30:10 5/1 101 SECURITY-7: Security Manager sending error 7 reply to 
ller 20201c00

Ces messages indiquent que les essais CSS à communiquer avec le serveur TACACS+, mais le serveur TACACS+ rejette le CSS. l'erreur 7 signifie que les TACACS+ introduisent entré dans le CSS n'apparient pas la clé sur le serveur TACACS+.

Une procédure de connexion réussie par un serveur TACACS+ affiche ce message (notez le succès de envoi 0 réponses) : 

SEP 10 08:31:46 5/1 107 SECURITY-7: SECMGR:SecurityAuth:Request from 0x20204b0d 
SEP 10 08:31:46 5/1 108 SECURITY-7: SECMGR:SecurityMgrProc:Try Primary 
SEP 10 08:31:47 5/1 109 SECURITY-7: Security Manager sending success 0 reply to 
caller 20201c00 

SEP 10 08:31:47 5/1 110 SECURITY-7: SECMGR:SecurityMgrProc:Try Done, Send 0x2020 
4b0d

Erreurs communes

L'erreur la plus commune quand vous installez un CSS pour travailler avec un serveur TACACS+ est réellement très simple. Cette commande indique au CSS quelle clé à l'utiliser pour communiquer avec le serveur TACACS+ : 

CSS(config)# tacacs-server key system enterkeyhere

Cette clé peut être texte clair ou DES chiffré. La clé des textes clairs est DES chiffré avant que la clé soit placée en configuration en cours. Pour faire un texte clair principal, mettez-le dans les devis. Pour lui faire le DES chiffré, n'utilisez pas les devis. La chose importante est de savoir si la clé TACACS+ est DES chiffré ou si la clé est texte clair. Après que vous émettiez la commande, appariez la clé du CSS à la clé que le serveur TACACS+ utilise.

Informations connexes

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco