FAQ do Secure Access Control System 5.x e posterior

Introduction

Este documento responde às perguntas mais frequentes (FAQ) relativas ao Cisco Secure Access Control System (ACS) 5.x e versões posteriores.

Problemas relacionados à autenticação

P. Alguns usuários/grupos do banco de dados interno do ACS 5.x podem ser excluídos da política de senha do usuário (Administração do sistema > Usuários > Configurações de autenticação)?

A. Por padrão, cada usuário interno do banco de dados deve estar em conformidade com a política de senha do usuário. Atualmente, nenhum usuário/grupo do banco de dados interno ACS 5.x pode ser excluído.

P. Alguns administradores de GUI do ACS 5.x podem ser excluídos da política de senha do usuário administrativo (Administração do sistema > Administradores > Configurações > Autenticação)?

A. Por padrão, cada usuário administrativo da GUI deve estar em conformidade com a política de senha do usuário administrativo. Atualmente, nenhum usuário administrativo do ACS 5.x pode ser excluído.

P. O ACS 5.x oferece suporte para ferramentas VMWare?

A. Não. Atualmente, as ferramentas VMWare não são suportadas com o ACS versão 5.x. Consulte o bug da Cisco ID CSCtg50048 (somente clientes registrados) para obter mais informações.

P. Quais são os protocolos de autenticação EAP suportados para ACS 5.x quando o LDAP é configurado como o armazenamento de identidade?

A. Quando o LDAP é usado como o armazenamento de identidade, o ACS 5.2 suporta somente os protocolos PEAP-GTC, EAP-FAST-GTC e EAP-TLS. Não suporta EAP-FAST MSCHAPv2, PEAP EAP-MSCHAPv2 e EAP-MD5. Para obter mais informações, consulte Authentication Protocol e User Database Compatibility.

P. Por que a autenticação para WLC com o raio de uso no ACS falhou e por que o ACS não mostrou nenhuma tentativa com falha?

A. Existe um problema com a interoperabilidade do ACS 5.0 e do WLC antes do patch 4. Baixe o patch 8 e aplique o patch na CLI. Não use TFTP para corrigir esse problema.

P. Por que não consigo restaurar os arquivos tar.gz com backup com o comando backup-log no ACS 5.2?

A. Não é possível restaurar os arquivos de log com backup com o comando backup-log. Você pode restaurar somente os arquivos com backup para a configuração do ACS e ADE-OS. Consulte os comandos backup e backup-logs no Guia de Referência CLI do Cisco Secure Access Control System 5.1 para obter mais informações.

P. Posso limitar o número de tentativas de senha malsucedidas no ACS 5.2?

A. Não. Este recurso não está disponível no ACS 5.2, mas deve ser integrado no ACS 5.3. Consulte a seção Recursos não suportados das Release Notes do Cisco Secure Access Control System 5.2 para obter mais informações.

P. Não consigo usar a opção para alterar a senha no próximo login para usuários internos no ACS 5.0. Como eu resolvo esse problema?

A. A opção para alterar a senha no próximo login não é suportada no ACS 5.0. O suporte para esse recurso está disponível no ACS 5.1 e versões posteriores.

P. O que significa esse alarme no ACS?

Cisco Secure ACS - Alarm Notification 
Severity: Warning 
Alarm Name delete 20000 sessions 
Cause/Trigger active sessions are over limit 
Alarm Details session is over 250000

A. Esse erro significa que quando o ACS View atinge um limite de 250.000 sessões, ele lança um alarme para excluir 20.000 sessões. O banco de dados de exibição do ACS armazena todas as sessões de autenticação anteriores e, quando atinge 250.000, fornece um alarme para limpar o cache e excluir 20.000 sessões.

P. Como resolvo esta mensagem de erro: Falha na autenticação: 24407 Falha na autenticação do usuário no Ative Diretory, pois o usuário precisa alterar sua senha?

A. Essa mensagem de erro aparece quando há um problema com o gerenciamento de senha durante a autenticação SDI. O ACS 5.x é usado como um proxy Radius e os usuários devem ser autenticados por um servidor RSA. O proxy Radius para RSA funcionará somente sem gerenciamento de senha. O motivo é que o valor OTP deve ser recuperável pelo servidor Radius para proxy o valor da senha para o servidor RSA. Quando o gerenciamento de senha está ativado no grupo de túneis, a solicitação Radius é enviada com atributos MS-CHAPv2. RSA não suporta MS-0CHAPv2; suporta somente PAP.

Para resolver esse problema, desative o gerenciamento de senha. Para obter mais informações, consulte o bug da Cisco ID CSCsx47423 (somente clientes registrados) .

P. É possível restringir o admin do ACS para gerenciar apenas determinados dispositivos no ACS 5.1?

A. Não, não é possível restringir o admin do ACS para gerenciar apenas determinados dispositivos dentro do ACS 5.1.

P. O ACS suporta QoS na autenticação para que o RADIUS possa ser priorizado em relação ao TACACS?

A. Não, o ACS não suporta QoS na autenticação. O ACS não priorizará as solicitações de autenticação RADIUS sobre as solicitações TACACS ou TACACS sobre RADIUS.

P. O proxy ACS 5.x pode autenticar TACACS e RADIUS para outros servidores TACACS ou RADIUS?

A. Sim, todas as versões do ACS 5.x podem proxy as autenticações do RADIUS para outros servidores RADIUS. O ACS 5.3 e posterior podem proxy as autenticações TACACS para outros servidores TACACS.

P. O ACS 5.x pode verificar os atributos de discagem de um usuário do Ative Diretory para conceder acesso?

A. Sim, no ACS 5.3 e posterior, você pode permitir, negar e controlar o acesso às permissões de discagem de um usuário. As permissões são verificadas durante as autenticações ou consultas do Ative Diretory. Ele é definido no dicionário dedicado do Ative Diretory.

P. O ACS 5.x suporta tipos de autenticação CHAP ou MSCHAP para TACACS+?

A. Sim, os tipos de autenticação CHAP TACACS+ e MSCHAP são suportados nas versões 5.3 e posteriores do ACS.

P. Posso definir o tipo de senha de um usuário interno ACS para qualquer banco de dados externo?

A. Sim, no ACS 5.3 e posterior, você pode definir o tipo de senha de um usuário interno ACS. Este recurso estava disponível no ACS 4.x.

P. Posso passar/reprovar uma autenticação com base no momento em que o usuário foi criado no armazenamento interno de identidade do ACS?

A. Sim, no ACS 5.3 e posterior, você pode usar o atributo Número de Horas desde a Criação do Usuário para criar suas políticas. Este atributo contém o número de horas desde que o usuário foi criado no Repositório de identidade interno até a hora da solicitação de autenticação atual.

P. Posso usar curingas para adicionar uma nova entrada de host no banco de dados interno do ACS?

A. Sim, o ACS 5.3 e posterior permite usar curingas quando você adiciona novos hosts ao Repositório de identidade interno. Ele também permite inserir curingas (após inserir os três primeiros octetos) para especificar todos os dispositivos do fabricante identificado.

P. Posso configurar pools de endereços IP no ACS 5.x e atribuí-los do ACS?

A. Não, atualmente não é possível criar pools de endereços IP no ACS 5.x.

P. Posso ver o endereço IP do cliente AAA em que a solicitação veio no relatório FAILED AUTHENTICATION?

A. Não, não é possível ver o endereço IP do cliente AAA de onde a solicitação veio.

P. O que é View Log Message Recovery no ACS 5.3?

A. O ACS 5.3 fornece um novo recurso para recuperar todos os registros perdidos quando a exibição está inativa. O ACS coleta esses logs perdidos e os armazena em seu banco de dados. Usando esse recurso, você pode recuperar os registros perdidos do banco de dados do ACS para o banco de dados de exibição depois que a exibição for feita novamente. Para usar esse recurso, você deve definir a Configuração de Recuperação de Mensagens de Log como ativada. Para obter mais detalhes sobre como configurar a Recuperação de Mensagens de Log de Exibição, consulte Monitoramento e Operações do Sistema do Visualizador de Relatórios.

P. Posso compactar o banco de dados do ACS 5.x emitindo o comando database-compress da CLI do Solution Engine? Este recurso estava disponível no ACS 4.x.

A. Sim, no ACS 5.3 e posterior, o comando database-compress reduz o tamanho do banco de dados ACS com uma opção para excluir a tabela de Transação ACS.Os administradores do ACS podem emitir esse comando para reduzir o tamanho do banco de dados. Isso ajuda a reduzir o tamanho do banco de dados e o tempo gasto para backups e a sincronização completa necessária para manutenção.

P. Posso pesquisar uma entrada de cliente AAA com base em seu endereço IP?

A. Sim, o ACS 5.3 e posterior permite pesquisar um dispositivo de rede usando seu endereço IP. Você também pode usar curingas e o intervalo para pesquisar um conjunto específico de dispositivos de rede.

P. Posso criar uma condição com base na hora em que o usuário foi criado no armazenamento interno de identidade do ACS?

A. Sim, no ACS 5.3 e posterior, você pode usar o atributo Número de Horas desde a Criação do Usuário, que permite configurar as condições da regra de política, com base na hora em que o usuário foi criado no Repositório Interno de Identidades do ACS. Por exemplo: IF group=HelpDesk&NumberofHoursSinceUserCreation>48 e depois rejeitar. Este atributo contém o número de horas desde que o usuário foi criado no Repositório de identidade interno até a hora da solicitação de autenticação atual.

P. Posso verificar em qual repositório de identidades o usuário foi autenticado na seção Autorização de uma política de serviço?

A. Sim, no ACS 5.3 e posterior, você pode usar o atributo Authentication Identity Store, que permite configurar as condições da regra de política com base no Authentication Identity Store. Por exemplo: IF AuthenticationIdentityStore=LDAP_NY, em seguida, reject. Este atributo contém o nome do repositório de identidades usado e é atualizado com o nome do repositório de identidades relevante após a autenticação bem-sucedida.

P. Quando o ACS vai para o próximo Identity Store definido na sequência do Identity Store?

A. O ACS vai para o próximo Identity Store definido na sequência do Identity Store nestes cenários:

• Um usuário não foi encontrado no primeiro repositório de identidades

• Um repositório de identidades não está disponível na sequência

P. Qual é a política de desativação de conta no ACS 5.3?

A. A Política de Desativação da Conta permite desativar os usuários do Repositório de Identidades Interno quando a data configurada for além da data permitida, o número de dias configurados for além dos dias permitidos ou o número de tentativas consecutivas de login malsucedidas exceder o limite. O valor padrão da data excede é de 30 dias a partir da data atual. O valor padrão para dias não deve ser mais de 60 dias a partir do dia atual. O valor padrão para tentativas com falha é 5.

P. Posso alterar a senha de um usuário de banco de dados interno do ACS via telnet?

A. Sim, você pode alterar a senha de um usuário interno de banco de dados usando TACACS+ em telnet. Você precisa selecionar Enable TELNET Change Password em Password Change Control em ACS 5.x.

P. A instância primária do ACS 5.x atualiza automaticamente as instâncias de backup periodicamente ou só deve acontecer quando uma configuração é alterada?

A. O ACS 5.x será imediatamente replicado para o ACS secundário sempre que você fizer alterações no ACS primário. Além disso, se você não fizer nenhuma alteração no ACS primário, ele fará uma replicação forçada a cada 15 minutos. Neste ponto, não há uma opção para controlar o temporizador para que o ACS possa replicar as informações após um tempo específico.

P. Posso exibir/exportar um relatório sobre o ACS 5.x de todos os usuários que estão conectados e autenticados no ACS em clientes NAS diferentes?

A. Sim, é possível. Há dois relatórios separados para RADIUS e TACACS+. Você pode encontrá-los em Monitoring & Reports > Reports > Catalog > Session Diretory > RADIUS Ative Sessions e TACACS Ative Sessions. Ambos os relatórios são baseados nas informações de contabilidade dos clientes NAS, pois permitem que você controle quando o usuário se conecta e faz logoff. O histórico de sessões permite até mesmo obter informações das mensagens de início e parada durante um dia específico.

Informações Relacionadas

• Página de suporte do Cisco Secure Access Control System
• Suporte Técnico e Documentação - Cisco Systems