CSS と TACACS+ のトラブルシューティング

ダウンロード オプション

  • PDF     (395.5 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
Updated: 2004 年 5 月 3 日
Document ID:27000

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

はじめに

Terminal Access Controller Access Control System(TACACS+)プロトコルでは、1 つまたは複数のデーモン サーバを使用して、ルータや Network Access Server(NAS; ネットワーク アクセス サーバ)などのデバイスに対するアクセス制御を行います。信頼性の高い配送を行うために、NAS とデーモン間のトラフィックは、TCP による通信を使用してすべて暗号化されます。

この文書では、Content Services Switch(CSS; コンテント サービス スイッチ)と TACACS+ のトラブルシューティングに関する情報について説明します。CSS を TACACS+ サーバのクライアントとして設定し、ユーザの認証方法や、設定コマンドおよび非設定コマンドの権限付与やアカウンティングを指定することができます。この機能は、WebNS 5.03 で使用できます。

注:詳細は、『CSSのTACACS+サーバのクライアントとしての設定』を参照してください。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

表記法の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。

問題

TACACS+ユーザでCSSにログインしようとすると、ログインが機能しない。

解決方法と debug コマンド

一般に、TACACS+認証がCSSで機能しない場合、問題は通常、CSSまたはTACACS+サーバのいずれかで設定の問題が発生していることが原因です。最初に確認する必要があるのは、CSSがTACACS+サーバのクライアントとして設定されているかどうかです。

これを確認すると、問題を判別するためにCSSで使用できる追加のロギングが存在します。ロギングをオンにするには、次の手順を実行します。

CSS でデバッグ モードに入ります。

CSS# llama
CSS(debug)# mask tac 0x3 
CSS(debug)# exit 
CSS# configure 
CSS(config)# logging subsystem security level debug-7 
CSS(config)# logging subsystem netman level info-6 
CSS(config)# exit 
CSS# logon    

!--- This logs messages to the screen.

ロギングをディセーブルにするには、次のコマンドを発行します。

CSS# llama 
CSS(debug)# mask tac 0x0 
CSS(debug)# exit 
CSS# no logon

次のメッセージが表示される可能性があります。

SEP 10 08:30:10 5/1 99 SECURITY-7: SECMGR:SecurityAuth:Request from 0x20204b0c 
SEP 10 08:30:10 5/1 100 SECURITY-7: SECMGR:SecurityMgrProc:Try Primary 
SEP 10 08:30:10 5/1 101 SECURITY-7: Security Manager sending error 7 reply to 
ller 20201c00

これらのメッセージは、CSSがTACACS+サーバと通信しようとしたものの、TACACS+サーバがCSSを拒否していることを示しています。エラー7は、CSSに入力されたTACACS+キーが、TACACS+サーバのキーと一致しないことを意味しています。

TACACS+サーバを介したログインが成功すると、次のメッセージが表示されます(success 0の応答の送信に注意してください)。 

SEP 10 08:31:46 5/1 107 SECURITY-7: SECMGR:SecurityAuth:Request from 0x20204b0d 
SEP 10 08:31:46 5/1 108 SECURITY-7: SECMGR:SecurityMgrProc:Try Primary 
SEP 10 08:31:47 5/1 109 SECURITY-7: Security Manager sending success 0 reply to 
caller 20201c00 

SEP 10 08:31:47 5/1 110 SECURITY-7: SECMGR:SecurityMgrProc:Try Done, Send 0x2020 
4b0d

一般的な誤り

CSSがTACACS+サーバで動作するように設定する際の最も一般的な誤りは、実際には非常に単純なものです。このコマンドは、TACACS+サーバとの通信に使用するキーをCSSに指示します。 

CSS(config)# tacacs-server key system enterkeyhere

このキーには、クリア テキストまたは DES 暗号化のいずれかを使用できます。クリアテキストキーは、キーが実行コンフィギュレーションに配置される前にDESで暗号化されます。キーをクリア テキストにするには、引用符で囲みます。キーを DES 暗号化するには、引用符を使用しません。重要なことは、TACACS+キーがDES暗号化されているかどうか、またはキーがクリアテキストであるかどうかを知ることです。コマンドを発行した後、CSSのキーをTACACS+サーバが使用するキーに一致させてください。

関連情報

更新履歴

改定 発行日 コメント
1.0
11-Sep-2002
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ