TACACS + パン-OS 認証に失敗しました, 返された状態: 2 エラー

問題

PAN-OS 7.0 + は TACACS + 認証をサポートし、一部の顧客は、CentOS や Ubuntu のような Linux ディストリビューションで TACACS + サーバーのオープンソースの実装を使用します。このような状況では、既存の Cisco デバイスは正常に機能しますが、TACACS + 認証を使用するパン OS デバイスは失敗し、ログにエラー "返された状態: 2" が表示されます

ユーザーの ' username ' サーバーポートの ' SERVER_IP ' で TACACS + サーバーへの認証
 :49、タイムアウト: 3、フラグ: 4
出力: 172.18.0.21 
CHAP 認証の試行中...   
 chap 認証要求が作成されました
送信資格情報: xxxxxx 
chap 認証要求が送信され
ました chap 認証に失敗しました: 
PAP 認証を試み  ています... 
 pap 認証要求が作成されました
 pap 認証要求が送信されました

返された状態: 2
認証に失敗しまし
た TACACS + サーバーに対して SERVER_IP:49 ユーザーの ' username '    

検証

TACACS + サーバー内でデバッグオプションを有効にして、認証時に実際に何が起こっているかを把握する必要があります。

これは、デーモンを起動することによって有効にすることができます-dスイッチと 2 8 16 32 64 128

デバッグでは、以下のようなエラーを探します。

chap またはグローバルシークレットがない<user name=""></user>

我々は、TACACS + デーモンでそのメッセージは、次の手順は、それを修正するために従うことができます。

パロアルトネットワーク CLI では、次のコマンドを実行してテストすることもできます。

> 認証認証のテスト-プロファイル<TACACS-Profile>ユーザー名の<test>パスワード</test></TACACS-Profile>

解決方法

このエラーの解決方法は、パンデバイスではなく、TACACS サーバーで実行する必要があります。

次の user_attr は、tac_plus のユーザーに追加する必要があります。

pap = des<des_string_password></des_string_password>

たとえば、tac_plus の下のテストユーザーの構成は次のようになります。

ユーザー = テスト { 
pap = des <des_string_password>
pap = PAM 
chap = 平文の "chap パスワード"
ログイン = <password_spec>
有効 = <password_spec> 
}   </password_spec>  </password_spec>   </des_string_password> 

注: この例では、図のためだけにいくつかの属性が存在しない場合があります。

TACACS サーバー上の tac_plus に追加した後、デーモンを再起動して有効にし、その後、認証を成功させる必要があります。