Comprender el comando TACACS+ del grupo local predeterminado de inicio de sesión de autenticación AAA

Opciones de descarga

  • PDF     (270.0 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (89.6 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (77.3 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:5 de diciembre de 2022
ID del documento:200606

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe el comportamiento del comando aaa authentication login default local group tacacs+ en un dispositivo Cisco IOS®.

    Prerequisites

    Requirements

    Cisco recomienda lo siguiente: 

    • El nuevo modelo aaa está habilitado en el dispositivo.

    Componentes Utilizados

    Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Configurar

    Nota: Utilice el Analizador de Cisco CLI del Catálogo de herramientas de Cisco para obtener más información sobre los comandos utilizados en esta sección. Solo los usuarios registrados de Cisco tienen acceso a la información y las herramientas internas de Cisco.

    Configure estos comandos en el dispositivo en el modo de configuración global:

    aaa new-model
    aaa authentication login default local group tacacs+

    Con solo aaa new model configurada, la autenticación local se aplica a todas las líneas e interfaces (excepto a la línea de consola con 0).

    Aquí se aplica la lista de métodos AAA en todos los intentos de inicio de sesión en todas las líneas del dispositivo, donde se comprueba la primera base de datos local y, a continuación, si es necesario, se prueba con el servidor de Terminal Access Controller Access Control System (TACACS).

    username cisco privilege 15 password 0 cisco

    Base de datos de usuarios locales:

    tacacs-server host 10.20.220.141
    tacacs-server key cisco

    El servidor TACACS ya está configurado.

    Verificación

    Use esta sección para confirmar que su configuración funciona correctamente.

    1. Habilite Debug TACACS y Debug AAA Authentication en el dispositivo bajo prueba.
    RUT#show debug 
     General OS: 
       TACACS access control debugging is on 
       AAA Authentication debugging is on

       2. Realice una telnet en el dispositivo:

    RUT#show ip interface brief | exclude unassigned 
     Interface                  IP-Address      OK? Method Status                Protocol 
     FastEthernet0/1            10.197.235.96   YES DHCP   up                    up       
     Loopback0                  192.168.1.2     YES manual up                    up     
    RUT#telnet 192.168.1.2 
     Trying 192.168.1.2 ... Open 

     User Access Verification 

     Username: cisco 
     *Jul 23 09:34:37.023: AAA/BIND(0000001E): Bind i/f   
     *Jul 23 09:34:37.023: AAA/AUTHEN/LOGIN (0000001E): Pick method list 'default' 
     Password: 

     RUT>

    Notará que no intentó comunicarse con el servidor TACACS ya que el nombre de usuario cisco se encontró localmente.

    Ahora, si intenta utilizar una credencial que no está configurada localmente en el cuadro:

    RUT#telnet 192.168.1.2 
     Trying 192.168.1.2 ... Open 

     User Access Verification 

     Username: 
     *Jul 23 09:36:01.099: AAA/BIND(0000001F): Bind i/f   
     *Jul 23 09:36:01.099: AAA/AUTHEN/LOGIN (0000001F): Pick method list 'default' 
     Username: cisco1 
     *Jul 23 09:36:11.095: TPLUS: Queuing AAA Authentication request 31 for processing 
     *Jul 23 09:36:11.095: TPLUS: processing authentication start request id 31 
     *Jul 23 09:36:11.095: TPLUS: Authentication start packet created for 31(cisco1) 
     *Jul 23 09:36:11.095: TPLUS: Using server 10.20.220.141 
     *Jul 23 09:36:11.095: TPLUS(0000001F)/0/NB_WAIT/47A14C34: Started 5 sec timeout 
     *Jul 23 09:36:16.095: TPLUS(0000001F)/0/NB_WAIT/47A14C34: timed out 
     *Jul 23 09:36:16.095: TPLUS(0000001F)/0/NB_WAIT/47A14C34: timed out, clean up 
     *Jul 23 09:36:16.095: TPLUS(0000001F)/0/47A14C34: Processing the reply packet 
     % Authentication failed

    Puede ver que intenta alcanzar el servidor TACACS 10.20.220.141. Es un comportamiento predeterminado esperado. No hay ningún nombre de usuario cisco1 configurado en el servidor TACACS; por lo tanto, muestra Authentication failed.

    Si el dispositivo tiene un registro de autenticación AAA en el grupo predeterminado tacacs+ local en la configuración, su primera preferencia es TACACS. Si el TACACS es accesible, pero ningún usuario ha configurado en él, no hace fallback e intenta buscar en la base de datos local. Muestra el mensaje " Authentication failed".

    Troubleshoot

    Actualmente no hay información específica disponible para resolver problemas de esta configuración.

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    4.0
    05-Dec-2022
    Uso y formato actualizados.
    2.0
    30-Nov-2022
    Formato actualizado. Título corregido y oraciones introductorias.
    1.0
    08-Aug-2016
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Utsav Dutt
      Customer Experience Customer Success Specialist

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos