Cisco Nexus シリーズ : Radius/Tacacs+ のトラブルシューティング

YAMADA Akinori · ‎2024-07-28

はじめに
ログの取得
出力内容の解析例
コマンド出力以外に必要なポイント
参考情報

はじめに

このドキュメントでは、Cisco Nexus シリーズで Radius/Tacacs+ のトラブルシューティングを実施する際のポイントを記載しています。

ログの取得

Radius/Tacacs+ を設定しているのにも関わらず、認証が通らない場合は以下のログの取得をお願いします。
Radius を使用している場合は以下の取得、およびパケットキャプチャ、もしくは Etheanalyzer の実施をお願いします

show radius-server statistics <IP_SVR>	//Radius サーバーとのやり取りの統計です
show tech-support radius			// 主にエラーの出力の有無の確認
show tech-support aaa				// 主に設定、エラーの出力の有無の確認

Tacacs+ を使用している場合は以下の取得をお願いします

show tacacs-server statistics <IP_SVR>	//Radius サーバーとのやり取りの統計です
show tech-support tacacs+			// 主に設定、エラーの出力の有無の確認
show tech-support aaa				// 主に設定、エラーの出力の有無の確認

また，以下の test コマンドで認証テストが行えます

test aaa group <aaa_gr_name> <user_name> <user_pass>

出力内容の解析例

Radius/Tacacs+ 共に認証などが成功しているのか、失敗しているか、応答を受信しているのかを確認します。

以下は Radius の場合の一例です

switch# show radius-server statistics 192.168.100.1
Server is not monitored

Authentication Statistics
        failed transactions: 0		// 失敗
        sucessfull transactions: 5	// 成功
        requests sent: 5		// リクエストの送信数
        requests timed out: 0		// タイムアウト
        responses with no matching requests: 0	// リクエストに沿わない返信
        responses not processed: 0	// 処理されなかった返信
        responses containing errors: 0	// エラーを含む返信

Accounting Statistics
        failed transactions: 0
        sucessfull transactions: 5
        requests sent: 5
        requests timed out: 0
        responses with no matching requests: 0
        responses not processed: 0
        responses containing errors: 0

以下は Tacacs+ の場合の一例です。

switch# show tacacs-server statistics 192.168.100.1
Server is not monitored

Authentication Statistics
        failed transactions: 1		// 失敗
        successful transactions: 0	// 成功
        requests sent: 1
        requests timed out: 0
        responses with no matching requests: 0
        responses not processed: 0
        responses containing errors: 0

Authorization Statistics
        failed transactions: 0
        successful transactions: 0
        requests sent: 0
        requests timed out: 0
        responses with no matching requests: 0
        responses not processed: 0
        responses containing errors: 0

Accounting Statistics
        failed transactions: 0
        successful transactions: 0
        requests sent: 0
        requests timed out: 0
        responses with no matching requests: 0
        responses not processed: 0
        responses containing errors: 0

コマンド出力以外に必要なポイント

サーバー側のログにも有用な情報が記録されている場合があります。
サーバー側でデバッグ出力を有効にするとより詳細な情報が記録されるものもあります。

参考情報

Cisco Nexus 9000 シリーズ : SPAN と Ethanalyzer を併用したパケットキャプチャー