аутентификация TACACS+ проходит успешно на ISE, но не проходит на коммутаторе
-
Мы столкнулись с неожиданной проблемой. Несмотря на попытки различных методов устранения неполадок, нам не удалось выявить первопричину. Мы будем благодарны за экспертные рекомендации и советы. Краткое описание проблемы
У нас возникла проблема с администрированием устройств Cisco ISE 3.3 TACACS+, при которой:
Cisco ISE постоянно показывает, что аутентификация TACACS+ = ПРОЙДЕНА
Политика авторизации соответствует
Однако коммутатор Catalyst по-прежнему сообщает об ошибке
аутентификации
Среда
Версия
ISE: 3.3
Автономный узел Платформа
коммутатора: Catalyst 9200 Версия
IOS-XE: 17.9.4a
Прямая связь между коммутатором и ISE
Журналы ISE TACACS Live Logs — аутентификация прошла
Журналы ISE Live Logs постоянно показывают успешную аутентификацию и авторизацию TACACS+:
Тип запроса: Аутентификация
Статус: Прошла
Сообщение: Прошла аутентификация: Аутентификация прошла успешно
Политика аутентификации: Наборы политик TACACS >> Политика авторизации по
умолчанию Соответствие: Правило авторизации 2
Профиль авторизации: Профиль TACACS
Ответ: {Authen-Reply-Status=Pass;} ![merloxuanyuan23_0-1768483193146.png] Сведения о протоколе TACACS (со стороны ISE)
Действие
аутентификации: Вход
Тип аутентификации: ASCII
Метод аутентификации: PAP_ASCII Уровень
привилегий аутентификации (запрашиваемый устройством): 1
Catalyst 9200 Debug – Сбой
аутентификации
На коммутаторе с помощью debug aaa authentication и debug tacacs мы наблюдаем: пакет начала
аутентификации, отправленный в ISE
ISE отвечает GET_PASSWORD и запросами на подтверждение
Коммутатор отправляет пакеты CONTINUE
аутентификации Несколько таймаутов сокета
TACACS Повторные перезапуски
аутентификации Окончательный сбой входа на устройство Конфигурация коммутатора aaa authentication login default group TACACS-GRP local
aaa authorization exec default group TACACS-GRP local if-authenticated
aaa authorization commands 15 default group TACACS-GRP if-authenticated
aaa authorization commands 1 default group TACACS-GRP if-authenticated
aaa accounting exec default start-stop group TACACS-GRP
aaa accounting commands 15 default start-stop group TACACS-GRP
aaa accounting commands 1 default start-stop group TACACS-GRP
-
После дополнительного расследования я обнаружил, что проблема была связана с форматом имени пользователя... Аутентификация TACACS требует ввода имени пользователя в полном формате (например, имя_пользователя@домен). Когда был добавлен суффикс домена, аутентификация и авторизация команд работали как положено...
-
Итак, со стороны ISE мы видим, что он соответствует профилю. Две его части — это наборы команд и профили оболочки. Наборы команд — это то, что вы разрешаете использовать в зависимости от погоды или для всех. Профиль оболочки — это то, где вы можете установить уровень привилегий. Для простоты давайте предположим, что администратор входит в систему с полными привилегиями. Создайте набор команд, разрешающий все команды, кроме выбранных ниже. Это сделает его списком исключений. ![Permit.jpg] Затем создайте оболочку, разрешающую 15. ![Admin.jpg] Я не уверен, что это ваша проблема, но при прохождении аутентификации либо не отправляются права, либо коммутатор их не принимает. Две другие команды, которые у меня есть в нашей конфигурации по умолчанию: tacacs-server directed-request
tacacs-server administration
-
Привет, Дастин, спасибо за помощь. Я убедился, что набор команд и профиль настроены правильно, но попробую две другие команды, чтобы посмотреть, поможет ли это.
-
@merloxuanyuan23
После проверки профилей авторизации, как предложил
@Dustin Anderson
, рекомендую обновить коммутатор 9200 до рекомендуемой версии 17.12.6, а затем провести тестирование. Журналы ISE показывают, что он отправляет профили авторизации. Отладка коммутатора показывает, что ISE сначала отвечает, а затем продолжает ждать последующего ответа. Это может быть ошибка, поэтому рекомендуется провести тестирование с другой рекомендуемой версией. -
Спасибо, я приступлю к обновлению одного устройства в целях тестирования, благодарю за предложение.
-
Здравствуйте, Можете ли вы опубликовать результат выполнения следующей команды
«show running-config | section aaa|tacacs»
? Хотя односоединение TACACS, даже если оно не включено с обеих сторон, не должно приводить к таким результатам, иногда это может произойти. Можете ли вы подтвердить, что односоединение отключено или включено с обеих сторон? Особенно поскольку вы выполняете авторизацию команд и учет команд через TACACS, рекомендуется активировать одно соединение с обеих сторон, чтобы избежать необходимости иметь большое количество сеансов TCP TACACS между NAD и NAS, даже несмотря на то, что в этой области были некоторые ошибки. Спасибо, Кристиан. -
В отладочных данных, которые вы предоставили, показано несколько таймаутов сокета TACACS. Мне интересно, есть ли какие-либо проблемы с сетью/задержками между коммутатором и ISE. Вы настроили интерфейс источника TACACS на коммутаторах? Если нет, я бы попробовал это сделать. Команда будет выглядеть так: «ip tacacs source-interface ...».
-
Спасибо, что поделились этой информацией. У вас в сети несколько доменов или только один?
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти