cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión
New Member

Error en prueba autenticación múltiples ACS en clientes AAA.

Buenas tardes,

He configurado en mis clientes AAA 3 servidores ACS para funciones de AAA  con alta disponibilidad:

ACS-01

ACS-02

ACS-03

 

tacacs-server host 10.10.10.1 single-connection key 7 XXX

tacacs-server host 10.10.10.2 single-connection key 7 XXX

tacacs-server host 10.10.10.3  single-connection key 7 XXX

 

El problema que estoy experimentando es al momento de realizar pruebas de comprobación, sesiones ssh hacia los clienes AAA, cuando ingreso con un usuario definido en el ACS especificando el ACS-01: 10.10.10.1 la autenticación es rechazada:

 

usuario@10.10.10.1

 

Pero cuando utilizo el segundo o tercero, la autenticacion es exitosa:

usuario@10.10.10.2

usuario@10.10.10.3

 

Tengo 50 clientes AAA, y la situación se presenta en 20, cuentan con mismos IOS y arquitectura todos.

No existen errores en las interfaces del ACS-01, la conexión es por fibra optica y no hay latencia en las peticiones tcp.

No existe firewall que este bloqueado el puerto 49 entre el ACS-01 y los clientes AAA.

En los debugs no se muestran errores de autenticación.

 

Alguna idea amigos de la comunidad?

 

 

 

 

 

 

 

 

 

Etiquetas (1)
  • Etiquetas:
2 RESPUESTAS

Hola, No me queda claro, Es

Hola,

 

No me queda claro,

 

Es 10.10.10.1 un AAA cliente o el AAA Server?

 

En fín, a la hora de que falla la autenticación que logs muestra el Servidor ACS, ya verificaste los reportes?

 

Del lado del cliente puedes habilitar debugs?

 

Q te muestra el commando show aaa-server? con respecto a ese servidor: Failures o Time-Outs?

 

Saludos

 

Jcarvaja

CCIE 42930, 2xCCNP, JNCIS-SEC

For inmediate support http://iNetworks.cr

Julio Carvajal
Senior Network Security and Core Specialist
CCIE #42930, 2xCCNP, JNCIP-SEC
New Member

Hola, El @10.10.10.1 es el

Hola,

 

El @10.10.10.1 es el ACS-01 que esta configurado en el cliente AAA, la idea de la prueba es cuando se autentica en el cliente aaa, probar cada uno de los ACSconfigurados, que serian 3.

 

En el ACS log-collector no se ven errores o causa de la fallida autenticacion.

 

Los debug en cada cliente no muestran mayor cosa.

 

Las conexiones por el puerto 49 aumenta al momento de hacer la pruebas.

 

Tengo un caso con Cisco, pero aún no me resuelven del todo.

 

Saludos

117
Visitas
0
ÚTIL
2
Respuestas