Мы столкнулись с неожиданной проблемой. Несмотря на попытки различных методов устранения неполадок, нам не удалось выявить первопричину. Мы будем благодарны за экспертные рекомендации и советы. Краткое описание проблемы
У нас возникла проблема с администрированием устройств Cisco ISE 3.3 TACACS+, при которой:
Cisco ISE постоянно показывает, что аутентификация TACACS+ = ПРОЙДЕНА
Политика авторизации соответствует
Однако коммутатор Catalyst по-прежнему сообщает об ошибке
аутентификации
Среда
Версия
ISE: 3.3
Автономный узел Платформа
коммутатора: Catalyst 9200 Версия
IOS-XE: 17.9.4a
Прямая связь между коммутатором и ISE
Журналы ISE TACACS Live Logs — аутентификация прошла
Журналы ISE Live Logs постоянно показывают успешную аутентификацию и авторизацию TACACS+:
Тип запроса: Аутентификация
Статус: Прошла
Сообщение: Прошла аутентификация: Аутентификация прошла успешно
Политика аутентификации: Наборы политик TACACS >> Политика авторизации по
умолчанию Соответствие: Правило авторизации 2
Профиль авторизации: Профиль TACACS
Ответ: {Authen-Reply-Status=Pass;} ![merloxuanyuan23_0-1768483193146.png] Сведения о протоколе TACACS (со стороны ISE)
Действие
аутентификации: Вход
Тип аутентификации: ASCII
Метод аутентификации: PAP_ASCII Уровень
привилегий аутентификации (запрашиваемый устройством): 1
Catalyst 9200 Debug – Сбой
аутентификации
На коммутаторе с помощью debug aaa authentication и debug tacacs мы наблюдаем: пакет начала
аутентификации, отправленный в ISE
ISE отвечает GET_PASSWORD и запросами на подтверждение
Коммутатор отправляет пакеты CONTINUE
аутентификации Несколько таймаутов сокета
TACACS Повторные перезапуски
аутентификации Окончательный сбой входа на устройство Конфигурация коммутатора aaa authentication login default group TACACS-GRP local
aaa authorization exec default group TACACS-GRP local if-authenticated
aaa authorization commands 15 default group TACACS-GRP if-authenticated
aaa authorization commands 1 default group TACACS-GRP if-authenticated
aaa accounting exec default start-stop group TACACS-GRP
aaa accounting commands 15 default start-stop group TACACS-GRP
aaa accounting commands 1 default start-stop group TACACS-GRP

]]>https://sla247.ru/forum/topic/2291/аутентификация-tacacs-проходит-успешно-на-ise-но-не-проходит-на-коммутатореRSS for NodeFri, 15 May 2026 17:34:46 GMTMon, 02 Mar 2026 12:22:04 GMT60Спасибо, что поделились этой информацией. У вас в сети несколько доменов или только один?

]]>https://sla247.ru/forum/post/16144https://sla247.ru/forum/post/16144Mon, 02 Mar 2026 12:22:12 GMTВ отладочных данных, которые вы предоставили, показано несколько таймаутов сокета TACACS. Мне интересно, есть ли какие-либо проблемы с сетью/задержками между коммутатором и ISE. Вы настроили интерфейс источника TACACS на коммутаторах? Если нет, я бы попробовал это сделать. Команда будет выглядеть так: «ip tacacs source-interface ...».

]]>https://sla247.ru/forum/post/16143https://sla247.ru/forum/post/16143Mon, 02 Mar 2026 12:22:11 GMTЗдравствуйте, Можете ли вы опубликовать результат выполнения следующей команды
«show running-config | section aaa|tacacs»
? Хотя односоединение TACACS, даже если оно не включено с обеих сторон, не должно приводить к таким результатам, иногда это может произойти. Можете ли вы подтвердить, что односоединение отключено или включено с обеих сторон? Особенно поскольку вы выполняете авторизацию команд и учет команд через TACACS, рекомендуется активировать одно соединение с обеих сторон, чтобы избежать необходимости иметь большое количество сеансов TCP TACACS между NAD и NAS, даже несмотря на то, что в этой области были некоторые ошибки. Спасибо, Кристиан.

]]>https://sla247.ru/forum/post/16142https://sla247.ru/forum/post/16142Mon, 02 Mar 2026 12:22:10 GMTСпасибо, я приступлю к обновлению одного устройства в целях тестирования, благодарю за предложение.

]]>https://sla247.ru/forum/post/16141https://sla247.ru/forum/post/16141Mon, 02 Mar 2026 12:22:09 GMT@merloxuanyuan23
После проверки профилей авторизации, как предложил
@Dustin Anderson
, рекомендую обновить коммутатор 9200 до рекомендуемой версии 17.12.6, а затем провести тестирование. Журналы ISE показывают, что он отправляет профили авторизации. Отладка коммутатора показывает, что ISE сначала отвечает, а затем продолжает ждать последующего ответа. Это может быть ошибка, поэтому рекомендуется провести тестирование с другой рекомендуемой версией.

]]>https://sla247.ru/forum/post/16140https://sla247.ru/forum/post/16140Mon, 02 Mar 2026 12:22:08 GMTПривет, Дастин, спасибо за помощь. Я убедился, что набор команд и профиль настроены правильно, но попробую две другие команды, чтобы посмотреть, поможет ли это.

]]>https://sla247.ru/forum/post/16139https://sla247.ru/forum/post/16139Mon, 02 Mar 2026 12:22:07 GMTИтак, со стороны ISE мы видим, что он соответствует профилю. Две его части — это наборы команд и профили оболочки. Наборы команд — это то, что вы разрешаете использовать в зависимости от погоды или для всех. Профиль оболочки — это то, где вы можете установить уровень привилегий. Для простоты давайте предположим, что администратор входит в систему с полными привилегиями. Создайте набор команд, разрешающий все команды, кроме выбранных ниже. Это сделает его списком исключений. ![Permit.jpg] Затем создайте оболочку, разрешающую 15. ![Admin.jpg] Я не уверен, что это ваша проблема, но при прохождении аутентификации либо не отправляются права, либо коммутатор их не принимает. Две другие команды, которые у меня есть в нашей конфигурации по умолчанию: tacacs-server directed-request
tacacs-server administration

]]>https://sla247.ru/forum/post/16138https://sla247.ru/forum/post/16138Mon, 02 Mar 2026 12:22:06 GMTПосле дополнительного расследования я обнаружил, что проблема была связана с форматом имени пользователя... Аутентификация TACACS требует ввода имени пользователя в полном формате (например, имя_пользователя@домен). Когда был добавлен суффикс домена, аутентификация и авторизация команд работали как положено...

]]>https://sla247.ru/forum/post/16137https://sla247.ru/forum/post/16137Mon, 02 Mar 2026 12:22:05 GMT