问题
PAN OS 7.0 + 支持 TACACS + 认证, 一些客户将使用 TACACS + 服务器在 Linux 发行版本像 CentOS 或 Ubuntu 的开源实现. 在这种情况下, 现有的 Cisco 设备将正常运行, 但使用 TACACS + 身份验证的泛 OS 设备将失败, 日志将显示错误 "返回状态: 2 ".
对用户用户名服务器端口的 "SERVER_IP" TACACS + 服务器的身份验证
:49, 超时: 3, 标志: 4
出口: 172.18.0.21
尝试 CHAP 身份验证...
CHAP 身份验证请求被创建
发送凭据: xxxxxx chap 身份验证
请求被发送
chap 身份验证失败: 正在
尝试 PAP 身份验证...
pap 身份验证请求被创建
pap 身份验证请求被发送
返回状态: 2
在 SERVER_IP:49 中对 TACACS + 服务器进行身份验证失败
, 用户名为 "
验证
应在 TACACS + 服务器内启用调试选项, 以找出身份验证时实际发生的情况。
可以通过使用–d 开关启动守护进程 ( 2 8 16 32 64 128 ) 来启用此功能
在调试中, 查找如下所示的错误:
没有 chap 或全局机密<user name=""></user>
如果我们在 TACACS + 守护进程中的消息, 那么下面提到的步骤可以被遵循来修复它。
在帕洛阿尔托网络 CLI 上, 您还可以运行以下命令来测试:
>> 测试身份验证身份验证-配置文件<TACACS-Profile>用户名<test>密码</test></TACACS-Profile>
解决办法
此错误的解决方案需要在 TACACS 服务器上执行, 而不能在 PAN 设备上进行。
应将以下 user_attr 添加到 tac_plus 中的用户.
pap = des<des_string_password></des_string_password>
例如, tac_plus 下的测试用户配置应该看起来像
用户 = 测试 {
pap = <des_string_password>
PAM
chap = 明文 "chap 密码"
登录 = <password_spec>
启用 = <password_spec>
} </password_spec> </password_spec> </des_string_password>
注意: 此示例中可能不存在某些属性, 因为这只是为了说明.
将其添加到 TACACS 服务器上的 tac_plus 后, 应该重新启动守护进程以生效, 然后身份验证才能成功。