排除CSS和TACACS+故障

简介

终端访问控制器访问控制系统(TACACS+)协议通过一个或多个守护程序服务器为路由器、网络访问服务器(NAS)或其他设备提供访问控制。它使用TCP通信对NAS和守护程序之间的所有流量进行加密，以实现可靠传输。

本文档提供内容服务交换机(CSS)和TACACS+的故障排除信息。您可以将CSS配置为TACACS+服务器的客户端，提供用户身份验证以及配置命令和非配置命令的授权和记帐方法。此功能在WebNS 5.03中可用。

注：有关详细信息，请参阅将CSS配置为TACACS+服务器的客户端。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

问题

当您尝试使用TACACS+用户登录CSS时，登录不起作用。

解决方案和debug命令

通常，当TACACS+身份验证不能与CSS配合使用时，问题通常是CSS或TACACS+服务器上的配置问题。您需要检查的第一件事是，您是否已将CSS配置为TACACS+服务器的客户端。

检查此项后，可以在CSS上使用其他日志记录来确定问题。完成以下步骤以打开日志记录。

在CSS上，进入调试模式。

CSS# llama
CSS(debug)# mask tac 0x3 
CSS(debug)# exit 
CSS# configure 
CSS(config)# logging subsystem security level debug-7 
CSS(config)# logging subsystem netman level info-6 
CSS(config)# exit 
CSS# logon    

!--- This logs messages to the screen.
 

要禁用日志记录，请发出以下命令：

CSS# llama 
CSS(debug)# mask tac 0x0 
CSS(debug)# exit 
CSS# no logon 

这些消息可能显示：

SEP 10 08:30:10 5/1 99 SECURITY-7: SECMGR:SecurityAuth:Request from 0x20204b0c 
SEP 10 08:30:10 5/1 100 SECURITY-7: SECMGR:SecurityMgrProc:Try Primary 
SEP 10 08:30:10 5/1 101 SECURITY-7: Security Manager sending error 7 reply to 
ller 20201c00 

这些消息表示CSS尝试与TACACS+服务器通信，但TACACS+服务器拒绝CSS。 error 7表示在CSS中输入的TACACS+密钥与TACACS+服务器上的密钥不匹配。

通过TACACS+服务器成功登录显示以下消息(请注意发送成功0回复):

SEP 10 08:31:46 5/1 107 SECURITY-7: SECMGR:SecurityAuth:Request from 0x20204b0d 
SEP 10 08:31:46 5/1 108 SECURITY-7: SECMGR:SecurityMgrProc:Try Primary 
SEP 10 08:31:47 5/1 109 SECURITY-7: Security Manager sending success 0 reply to 
caller 20201c00 

SEP 10 08:31:47 5/1 110 SECURITY-7: SECMGR:SecurityMgrProc:Try Done, Send 0x2020 
4b0d 

常见错误

设置CSS以与TACACS+服务器配合工作时最常见的错误实际上非常简单。此命令告诉CSS使用什么密钥与TACACS+服务器通信：

CSS(config)# tacacs-server key system enterkeyhere

此密钥可以是明文或DES加密。在将明文密钥放入运行配置中之前，该密钥是DES加密的。要制作关键的明文，请用引号将其括起来。要使其DES加密，请勿使用引号。重要的是要知道TACACS+密钥是DES加密还是明文。发出命令后，将CSS的密钥与TACACS+服务器使用的密钥进行匹配。

相关信息

• 将CSS配置为TACACS+服务器的客户端
• 配置TACACS+和扩展TACACS+
• 技术支持和文档 - Cisco Systems