Fehlerbehebung: CSS und TACACS+

Download-Optionen

  • PDF     (263.4 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:3. Mai 2004
Dokument-ID:27000

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

Das Terminal Access Controller Access Control System (TACACS+)-Protokoll ermöglicht die Zugriffskontrolle für Router, Netzwerkzugriffsserver (NAS) oder andere Geräte über einen oder mehrere Daemon-Server. Er verschlüsselt den gesamten Datenverkehr zwischen NAS und Daemon und verwendet dabei TCP-Kommunikation, um eine zuverlässige Übermittlung zu gewährleisten.

Dieses Dokument enthält Informationen zur Fehlerbehebung für den Content Services Switch (CSS) und TACACS+. Sie können den CSS als Client eines TACACS+-Servers konfigurieren und eine Methode zur Benutzerauthentifizierung sowie Autorisierung und Abrechnung von Konfigurations- und Nicht-Konfigurationsbefehlen bereitstellen. Diese Funktion ist in WebNS 5.03 verfügbar.

Hinweis: Weitere Informationen finden Sie unter Configuring the CSS as a Client of a TACACS+ Server (Konfigurieren des CSS als Client eines TACACS+-Servers).

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Problem

Wenn Sie versuchen, sich mit einem TACACS+-Benutzer beim CSS anzumelden, funktioniert die Anmeldung nicht.

Lösungs- und Debug-Befehle

Wenn die TACACS+-Authentifizierung mit einem CSS nicht funktioniert, liegt das Problem in der Regel entweder an der Konfiguration des CSS oder des TACACS+-Servers. Als Erstes müssen Sie überprüfen, ob Sie den CSS als Client eines TACACS+-Servers konfiguriert haben.

Wenn Sie diese Option aktiviert haben, können Sie die Protokollierung auf dem CSS verwenden, um das Problem zu ermitteln. Führen Sie diese Schritte aus, um die Protokollierung zu aktivieren.

Wechseln Sie auf dem CSS in den Debugmodus.

CSS# llama
CSS(debug)# mask tac 0x3 
CSS(debug)# exit 
CSS# configure 
CSS(config)# logging subsystem security level debug-7 
CSS(config)# logging subsystem netman level info-6 
CSS(config)# exit 
CSS# logon    

!--- This logs messages to the screen.

Um die Protokollierung zu deaktivieren, geben Sie die folgenden Befehle ein:

CSS# llama 
CSS(debug)# mask tac 0x0 
CSS(debug)# exit 
CSS# no logon

Diese Meldungen können angezeigt werden:

SEP 10 08:30:10 5/1 99 SECURITY-7: SECMGR:SecurityAuth:Request from 0x20204b0c 
SEP 10 08:30:10 5/1 100 SECURITY-7: SECMGR:SecurityMgrProc:Try Primary 
SEP 10 08:30:10 5/1 101 SECURITY-7: Security Manager sending error 7 reply to 
ller 20201c00

Diese Meldungen weisen darauf hin, dass der CSS versucht, mit dem TACACS+-Server zu kommunizieren, der TACACS+-Server jedoch den CSS ablehnt. Fehler 7 bedeutet, dass der im CSS eingegebene TACACS+-Schlüssel nicht mit dem Schlüssel auf dem TACACS+-Server übereinstimmt.

Eine erfolgreiche Anmeldung über einen TACACS+-Server zeigt diese Meldung an (beachten Sie, dass die Antwort 0 erfolgreich gesendet wurde): 

SEP 10 08:31:46 5/1 107 SECURITY-7: SECMGR:SecurityAuth:Request from 0x20204b0d 
SEP 10 08:31:46 5/1 108 SECURITY-7: SECMGR:SecurityMgrProc:Try Primary 
SEP 10 08:31:47 5/1 109 SECURITY-7: Security Manager sending success 0 reply to 
caller 20201c00 

SEP 10 08:31:47 5/1 110 SECURITY-7: SECMGR:SecurityMgrProc:Try Done, Send 0x2020 
4b0d

Häufige Fehler

Der häufigste Fehler, wenn Sie einen CSS für die Arbeit mit einem TACACS+ Server einrichten, ist eigentlich sehr einfach. Dieser Befehl teilt dem CSS mit, welcher Schlüssel für die Kommunikation mit dem TACACS+-Server verwendet werden soll: 

CSS(config)# tacacs-server key system enterkeyhere

Dieser Schlüssel kann entweder Klartext oder DES-verschlüsselt sein. Der Klartextschlüssel wird DES-verschlüsselt, bevor er in die aktuelle Konfiguration eingefügt wird. Setzen Sie den Schlüssel in Anführungszeichen, um einen klaren Text zu erhalten. Verwenden Sie keine Anführungszeichen, um eine DES-Verschlüsselung zu ermöglichen. Wichtig ist zu wissen, ob der TACACS+-Schlüssel DES-verschlüsselt ist oder ob es sich um Klartext handelt. Nachdem Sie den Befehl ausgegeben haben, ordnen Sie den Schlüssel des CSS dem Schlüssel zu, den der TACACS+ Server verwendet.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
11-Sep-2002
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren