TACACS 与 PAN OS 身份验证失败, 返回状态: 2 错误

问题

PAN OS 7.0 + 支持 TACACS + 认证, 一些客户将使用 TACACS + 服务器在 Linux 发行版本像 CentOS 或 Ubuntu 的开源实现. 在这种情况下, 现有的 Cisco 设备将正常运行, 但使用 TACACS + 身份验证的泛 OS 设备将失败, 日志将显示错误 "返回状态: 2 ".

对用户用户名服务器端口的 "SERVER_IP" TACACS + 服务器的身份验证
 :49, 超时: 3, 标志: 4
出口: 172.18.0.21
尝试 CHAP 身份验证...   
 CHAP 身份验证请求被创建
发送凭据: xxxxxx chap 身份验证
请求被发送
chap 身份验证失败: 正在
尝试 PAP 身份验证...    
 pap 身份验证请求被创建
 pap 身份验证请求被发送

返回状态: 2
在 SERVER_IP:49 中对 TACACS + 服务器进行身份验证失败
 , 用户名为   " 

验证

应在 TACACS + 服务器内启用调试选项, 以找出身份验证时实际发生的情况。

可以通过使用–d 开关启动守护进程 ( 2 8 16 32 64 128 ) 来启用此功能

在调试中, 查找如下所示的错误:

没有 chap 或全局机密<user name=""></user>

如果我们在 TACACS + 守护进程中的消息, 那么下面提到的步骤可以被遵循来修复它。

在帕洛阿尔托网络 CLI 上, 您还可以运行以下命令来测试:

>> 测试身份验证身份验证-配置文件<TACACS-Profile>用户名<test>密码</test></TACACS-Profile>

解决办法

此错误的解决方案需要在 TACACS 服务器上执行, 而不能在 PAN 设备上进行。

应将以下 user_attr 添加到 tac_plus 中的用户.

pap = des<des_string_password></des_string_password>

例如, tac_plus 下的测试用户配置应该看起来像

用户 = 测试 { 
pap = <des_string_password>
PAM 
chap = 明文 "chap 密码"
登录 = <password_spec>
启用 = <password_spec> 
}   </password_spec>  </password_spec>   </des_string_password> 

注意: 此示例中可能不存在某些属性, 因为这只是为了说明.

将其添加到 TACACS 服务器上的 tac_plus 后, 应该重新启动守护进程以生效, 然后身份验证才能成功。