概要
このドキュメントでは、Linux でホストスキャンを展開する場合に発生する、Cisco AnyConnect セキュア モビリティ クライアントの接続エラーを解決する方法について説明します。
前提条件
要件
次の項目に関する知識が推奨されます。
- Cisco AnyConnect
- Cisco Secure Desktop(CSD)
- Linux
使用するコンポーネント
このドキュメントの情報は、CSD ホストスキャンを実行する Linux ユーザに適用されます。
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。
問題
Linux ユーザが CSD ホストスキャンとともに Cisco Anyconnect を実行すると、ポスチャ評価に失敗したことを示すホストスキャン初期化エラーのエラー メッセージが表示されます。
libcsd.log ファイルに、CSD ホストスキャン バイナリの署名に使用される証明書の期限が切れていることを示すエラー メッセージが記録されます。
[Thu Feb 07 18:52:15.774 2013][libcsd][all][csd_init]
hello
[Thu Feb 07 18:52:15.774 2013][libcsd][all][csd_init]
libcsd.so version 3.1.02040
[Thu Feb 07 18:52:15.774 2013][libcsd][debug]
[hs_transport_init] initialization
[Thu Feb 07 18:52:15.774 2013][libcsd][debug]
[hs_file_verify_with_killdate] verifying file
signature: file = [/opt/cisco/anyconnect/lib/libaccurl.so.4.2.0],
signer = [Cisco Systems, Inc.], type = [2] [Thu Feb 07 18:52:15.963 2013][libcsd][error][verify_cb]
Error 10, certificate has expired [Thu Feb 07 18:52:15.963 2013][libcsd][error][verify_cert]
Certificate is not trusted
[Thu Feb 07 18:52:15.964 2013][libcsd][error]
[hs_file_verify_with_killdate] unable to verify
the certificate trust.
[Thu Feb 07 18:52:15.964 2013][libcsd][error][hs_dl_load_global]
file signature invalid, not
loading library (/opt/cisco/anyconnect/lib/libaccurl.so.4.2.0).
解決策
証明書に署名した日付が原因で問題が発生するため、システム クロックを変更して、ユーザの接続を可能にすることができます。 ただし、これは修正ではありません。
この問題を解決するために、Cisco bug ID CSCue49663 (登録ユーザ専用)が記述されています。 修正を入手するには、次に示すように、AnyConnect をバージョン 3.1.02043 にアップグレードするか、ホスト スキャン パッケージだけをバージョン 3.0.11046 にアップグレードします。
webvpn
enable outside
csd hostscan image disk0:/hostscan_3.1.02043-k9.pkg
csd enable
anyconnect image disk0:/anyconnect-win-3.1.02040-k9.pkg 1 regex "Windows NT"
anyconnect image disk0:/anyconnect-macosx-i386-3.1.02040-k9.pkg 2 regex "Mac OS"
anyconnect image disk0:/anyconnect-linux-3.1.02043-k9.pkg* 3 regex "Linux"