cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión
New Member

Problema con autenticación AAA

Buenos días,

no consigo acceder a un equipo de mi red corporativa usando mi usuario de TACACS. Adjunto ouput del comando debug AAA authentication y configuracion AAA. Usuario y password son correctos y estan creados en el ACS por lo que no acierto a ver lo que ocurre. ¿Alguna idea de porque va primero al LOCAL y no al ACS?

CCS3020-1C7000-3#sh running-config | begin aaa

aaa new-model

aaa group server tacacs+ ACS-METRO

!

aaa authentication login default group ACS-METRO local-case

aaa authentication enable default group ACS-METRO enable

!

!

CCS3020-1C7000-3#

Jun 29 12:24:51.219 CEST: AAA/AUTHEN/CONT (2620947723): continue_login (user='(undef)')

Jun 29 12:24:51.219 CEST: AAA/AUTHEN (2620947723): status = GETUSER

Jun 29 12:24:51.219 CEST: AAA/AUTHEN/CONT (2620947723): Method=LOCALCASE

Jun 29 12:24:51.219 CEST: AAA/AUTHEN (2620947723): status = GETPASS

CCS3020-1C7000-3#

Jun 29 12:25:10.681 CEST: AAA/AUTHEN/CONT (2620947723): continue_login (

user='jvellon@telefonica'

)

Jun 29 12:25:10.681 CEST: AAA/AUTHEN (2620947723): status = GETPASS

Jun 29 12:25:10.681 CEST: AAA/AUTHEN/CONT (2620947723): Method=LOCALCASE

Jun 29 12:25:10.681 CEST: AAA/AUTHEN (2620947723): User not found

Jun 29 12:25:10.681 CEST: AAA/AUTHEN (2620947723): status = FAIL

CCS3020-1C7000-3#

Jun 29 12:25:12.686 CEST: AAA/AUTHEN/ABORT: (2620947723) because Invalid password.

Jun 29 12:25:12.686 CEST: AAA/MEMORY: free_user_quiet (0x1D0B29C)

user='jvellon@telefonica'

ruser='NULL' port='tty2' rem_addr='16.3.40.52' authen_type=1 service=1 priv=1

Jun 29 12:25:12.686 CEST: AAA: parse name=tty2 idb type=-1 tty=-1

Jun 29 12:25:12.686 CEST: AAA: name=tty2 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=2 channel=0

Jun 29 12:25:12.686 CEST: AAA/MEMORY: create_user (0x1EAE720) user='NULL' ruser='NULL' ds0=0 port='tty2' rem_addr='16.3.40.52' authen_type=ASCII service=LOGIN priv=1 initial_task_id='0', vrf= (id=0)

CCS3020-1C7000-3#

Jun 29 12:25:12.686 CEST: AAA/AUTHEN/START (1952845176): port='tty2' list='' action=LOGIN service=LOGIN

Jun 29 12:25:12.686 CEST: AAA/AUTHEN/START (1952845176): using "default" list

Jun 29 12:25:12.686 CEST: AAA/AUTHEN/START (1952845176): Method=ACS-METRO (tacacs+)

Jun 29 12:25:12.686 CEST: TAC+: send AUTHEN/START packet ver=192 id=1952845176

Jun 29 12:25:12.686 CEST: AAA/AUTHEN (1952845176): status = ERROR

Jun 29 12:25:12.686 CEST: AAA/AUTHEN/START (1952845176): Method=LOCALCASE

Jun 29 12:25:12.686 CEST: AAA/AUTHEN (1952845176): status = GETUSER

Gracias.

Un saludo

1 SOLUCIÓN ACEPTADA

Soluciones aceptadas
New Member

Problema con autenticación AAA

Hola Emilio,

Lo que sucede es que esta haciendo fallback a local DB por que seguramente no puede contactar al AAA server. Podréis mandar debug tacacs output?

También podréis tratar con un usuario local en el switch? Como tienes local-case asegurarte de usar el usuario tal y como esta en la configuración o sea si es Cisco asegurarte de usar Cisco y no cisco.

4 RESPUESTAS

Problema con autenticación AAA

Hola Emilio

La verdad no es que tenga mucha experiencia en el tema de ACS pero te pregunto, el SW ya tiene creado el tacacs-server host, desde el SW si puedes alcarzar el ACS, el dispositivo ya esta creado en la BD del ACS??

Si esto esta bien podrias revisar en el ACS monitor si se ve alguna transaccion desde este SW al ACS.

New Member

Problema con autenticación AAA

Hola Emilio,

Lo que sucede es que esta haciendo fallback a local DB por que seguramente no puede contactar al AAA server. Podréis mandar debug tacacs output?

También podréis tratar con un usuario local en el switch? Como tienes local-case asegurarte de usar el usuario tal y como esta en la configuración o sea si es Cisco asegurarte de usar Cisco y no cisco.

New Member

Problema con autenticación AAA

Muchas gracias por contestar; perdon por el retraso. Estoy de vacaciones. Cuando vuelva os comento los resultados.

Un saludo

New Member

Problema con autenticación AAA

Parece ser que faltaba el siguiente comando:  "ip tacacs source-interface Vlanxxx" Es algo extraño ya que ya se lo habia añadido anteriormente y salvado  la configuración aunque no habia podido reiniciar el equipo ya que se encontraba en producción. En cualquier caso muchisimas gracias a los que contestaron.

un saludo

560
Visitas
0
ÚTIL
4
Respuestas