CSS和TACACS+故障排除
簡介
終端存取控制器存取控制系統(TACACS+)通訊協定透過一個或多個守護程式伺服器,為路由器、網路存取伺服器(NAS)或其他裝置提供存取控制。它使用TCP通訊加密NAS和守護程式之間的所有流量,以實現可靠的傳輸。
本檔案提供內容服務交換器(CSS)和TACACS+的疑難排解資訊。您可以將CSS配置為TACACS+伺服器的客戶端,提供使用者身份驗證方法,以及配置和非配置命令的授權和記帳。此功能在WebNS 5.03中提供。
注意:有關詳細資訊,請參閱將CSS配置為TACACS+伺服器的客戶端。
必要條件
需求
本文件沒有特定需求。
採用元件
本文件所述內容不限於特定軟體和硬體版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
慣例
如需文件慣例的詳細資訊,請參閱思科技術提示慣例。
問題
當您嘗試使用TACACS+使用者登入到CSS時,登入不起作用。
解決方案和debug命令
通常,當TACACS+驗證不能用於CSS時,問題通常是CSS或TACACS+伺服器上的配置問題。首先需要檢查的是是否將CSS配置為TACACS+伺服器的客戶端。
選中此覈取方塊後,您可以在CSS上使用其他日誌記錄來確定問題。完成以下步驟以開啟日誌記錄。
在CSS上,進入調試模式。
CSS# llama CSS(debug)# mask tac 0x3 CSS(debug)# exit CSS# configure CSS(config)# logging subsystem security level debug-7 CSS(config)# logging subsystem netman level info-6 CSS(config)# exit CSS# logon !--- This logs messages to the screen.
若要停用記錄功能,請發出以下命令:
CSS# llama CSS(debug)# mask tac 0x0 CSS(debug)# exit CSS# no logon
可能會顯示以下消息:
SEP 10 08:30:10 5/1 99 SECURITY-7: SECMGR:SecurityAuth:Request from 0x20204b0c SEP 10 08:30:10 5/1 100 SECURITY-7: SECMGR:SecurityMgrProc:Try Primary SEP 10 08:30:10 5/1 101 SECURITY-7: Security Manager sending error 7 reply to ller 20201c00
這些訊息指出CSS嘗試與TACACS+伺服器通訊,但TACACS+伺服器拒絕了CSS。error 7表示在CSS中輸入的TACACS+金鑰與TACACS+伺服器上的金鑰不匹配。
通過TACACS+伺服器成功登入將顯示以下消息(注意sending success 0 reply):
SEP 10 08:31:46 5/1 107 SECURITY-7: SECMGR:SecurityAuth:Request from 0x20204b0d SEP 10 08:31:46 5/1 108 SECURITY-7: SECMGR:SecurityMgrProc:Try Primary SEP 10 08:31:47 5/1 109 SECURITY-7: Security Manager sending success 0 reply to caller 20201c00 SEP 10 08:31:47 5/1 110 SECURITY-7: SECMGR:SecurityMgrProc:Try Done, Send 0x2020 4b0d
常見錯誤
將CSS設定為與TACACS+伺服器配合使用時最常見的錯誤實際上非常簡單。此命令告訴CSS使用什麼金鑰與TACACS+伺服器通訊:
CSS(config)# tacacs-server key system enterkeyhere
此金鑰可以是明文或DES加密。將明文金鑰置入運行配置中之前,先進行DES加密。要生成關鍵明文,請將其置於引號中。要使DES加密,請不要使用引號。重要的是要知道TACACS+金鑰是DES加密金鑰還是明文金鑰。在您發出命令後,請將CSS的金鑰與TACACS+伺服器使用的金鑰進行匹配。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
03-May-2004 |
初始版本 |
意見