CSS と TACACS+ のトラブルシューティング

ダウンロード オプション

  • PDF     (142.5 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (65.1 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (66.1 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2004 年 5 月 3 日
Document ID:1466771284477178

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

概要

Terminal Access Controller Access Control System(TACACS+)プロトコルでは、1 つまたは複数のデーモン サーバを使用して、ルータや Network Access Server(NAS; ネットワーク アクセス サーバ)などのデバイスに対するアクセス制御を行います。 信頼性の高い配送を行うために、NAS とデーモン間のトラフィックは、TCP による通信を使用してすべて暗号化されます。

この文書では、Content Services Switch(CSS; コンテント サービス スイッチ)と TACACS+ のトラブルシューティングに関する情報について説明します。 CSS を TACACS+ サーバのクライアントとして設定し、ユーザの認証方法や、設定コマンドおよび非設定コマンドの権限付与やアカウンティングを指定することができます。 この機能は、WebNS 5.03 で使用できます。

詳細については TACACS+ サーバのクライアントでの CSS の設定を参照して下さい。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

問題

TACACS+ ユーザとの CSS にログインに試みるとき、ログオンははたらきません。

解決方法と debug コマンド

通常 TACACS+ 認証が CSS を使用しないとき、問題は通常 CSS または TACACS+ サーバの設定 に関する 問題です。 チェックする必要がある最初の事柄は TACACS+ サーバのクライアントで CSS を設定したかどうかです。

これをチェックしたら、問題を判別するために CSS で使用できる追加ロギングがあります。 記録を回すためにこれらのステップを完了して下さい。

CSS でデバッグ モードに入ります。

CSS# llama
CSS(debug)# mask tac 0x3 
CSS(debug)# exit 
CSS# configure 
CSS(config)# logging subsystem security level debug-7 
CSS(config)# logging subsystem netman level info-6 
CSS(config)# exit 
CSS# logon    

!--- This logs messages to the screen.

ロギングをディセーブルにするために、これらのコマンドを発行して下さい:

CSS# llama 
CSS(debug)# mask tac 0x0 
CSS(debug)# exit 
CSS# no logon

これらのメッセージが現れることができます:

SEP 10 08:30:10 5/1 99 SECURITY-7: SECMGR:SecurityAuth:Request from 0x20204b0c 
SEP 10 08:30:10 5/1 100 SECURITY-7: SECMGR:SecurityMgrProc:Try Primary 
SEP 10 08:30:10 5/1 101 SECURITY-7: Security Manager sending error 7 reply to 
ller 20201c00

これらのメッセージは CSS が TACACS+ サーバと通信することを試みるが TACACS+ サーバは CSS を拒否しますことを示します。 Error 7 は CSS で入る TACACS+ 鍵が TACACS+ サーバのキーを一致することを意味します。

TACACS+ サーバによる正常なログインはこのメッセージを表示します(送信成功 0 応答に注意して下さい): 

SEP 10 08:31:46 5/1 107 SECURITY-7: SECMGR:SecurityAuth:Request from 0x20204b0d 
SEP 10 08:31:46 5/1 108 SECURITY-7: SECMGR:SecurityMgrProc:Try Primary 
SEP 10 08:31:47 5/1 109 SECURITY-7: Security Manager sending success 0 reply to 
caller 20201c00 

SEP 10 08:31:47 5/1 110 SECURITY-7: SECMGR:SecurityMgrProc:Try Done, Send 0x2020 
4b0d

一般的な誤り

TACACS+ サーバを使用するために CSS を設定するときもっとも一般的な誤りは実際に非常に簡単です。 このコマンドは TACACS+ サーバかと通信するのに使用するべきどんなキーを CSS に述べています: 

CSS(config)# tacacs-server key system enterkeyhere

このキーには、クリア テキストまたは DES 暗号化のいずれかを使用できます。 クリアテキスト キーはキーが実行コンフィギュレーションに置かれる前に暗号化される DES です。 キーをクリア テキストにするには、引用符で囲みます。 キーを DES 暗号化するには、引用符を使用しません。 重要な事柄はです TACACS+ 鍵が暗号化される DES であるかどうかまたは知ることキーがクリアテキストなら。 コマンドを発行した後、TACACS+ サーバが使用するキーに CSS のキーを一致させました。

関連情報

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ