Este documento responde às perguntas mais frequentes (FAQ) relativas ao Cisco Secure Access Control System (ACS) 5.x e versões posteriores.
A. Por padrão, cada usuário interno do banco de dados deve estar em conformidade com a política de senha do usuário. Atualmente, nenhum usuário/grupo do banco de dados interno ACS 5.x pode ser excluído.
A. Por padrão, cada usuário administrativo da GUI deve estar em conformidade com a política de senha do usuário administrativo. Atualmente, nenhum usuário administrativo do ACS 5.x pode ser excluído.
A. Não. Atualmente, as ferramentas VMWare não são suportadas com o ACS versão 5.x. Consulte o bug da Cisco ID CSCtg50048 (somente clientes registrados) para obter mais informações.
A. Quando o LDAP é usado como o armazenamento de identidade, o ACS 5.2 suporta somente os protocolos PEAP-GTC, EAP-FAST-GTC e EAP-TLS. Não suporta EAP-FAST MSCHAPv2, PEAP EAP-MSCHAPv2 e EAP-MD5. Para obter mais informações, consulte Authentication Protocol e User Database Compatibility.
A. Existe um problema com a interoperabilidade do ACS 5.0 e do WLC antes do patch 4. Baixe o patch 8 e aplique o patch na CLI. Não use TFTP para corrigir esse problema.
A. Não é possível restaurar os arquivos de log com backup com o comando backup-log. Você pode restaurar somente os arquivos com backup para a configuração do ACS e ADE-OS. Consulte os comandos backup e backup-logs no Guia de Referência CLI do Cisco Secure Access Control System 5.1 para obter mais informações.
A. Não. Este recurso não está disponível no ACS 5.2, mas deve ser integrado no ACS 5.3. Consulte a seção Recursos não suportados das Release Notes do Cisco Secure Access Control System 5.2 para obter mais informações.
A. A opção para alterar a senha no próximo login não é suportada no ACS 5.0. O suporte para esse recurso está disponível no ACS 5.1 e versões posteriores.
Cisco Secure ACS - Alarm Notification Severity: Warning Alarm Name delete 20000 sessions Cause/Trigger active sessions are over limit Alarm Details session is over 250000
A. Esse erro significa que quando o ACS View atinge um limite de 250.000 sessões, ele lança um alarme para excluir 20.000 sessões. O banco de dados de exibição do ACS armazena todas as sessões de autenticação anteriores e, quando atinge 250.000, fornece um alarme para limpar o cache e excluir 20.000 sessões.
A. Essa mensagem de erro aparece quando há um problema com o gerenciamento de senha durante a autenticação SDI. O ACS 5.x é usado como um proxy Radius e os usuários devem ser autenticados por um servidor RSA. O proxy Radius para RSA funcionará somente sem gerenciamento de senha. O motivo é que o valor OTP deve ser recuperável pelo servidor Radius para proxy o valor da senha para o servidor RSA. Quando o gerenciamento de senha está ativado no grupo de túneis, a solicitação Radius é enviada com atributos MS-CHAPv2. RSA não suporta MS-0CHAPv2; suporta somente PAP.
Para resolver esse problema, desative o gerenciamento de senha. Para obter mais informações, consulte o bug da Cisco ID CSCsx47423 (somente clientes registrados) .
A. Não, não é possível restringir o admin do ACS para gerenciar apenas determinados dispositivos dentro do ACS 5.1.
A. Não, o ACS não suporta QoS na autenticação. O ACS não priorizará as solicitações de autenticação RADIUS sobre as solicitações TACACS ou TACACS sobre RADIUS.
A. Sim, todas as versões do ACS 5.x podem proxy as autenticações do RADIUS para outros servidores RADIUS. O ACS 5.3 e posterior podem proxy as autenticações TACACS para outros servidores TACACS.
A. Sim, no ACS 5.3 e posterior, você pode permitir, negar e controlar o acesso às permissões de discagem de um usuário. As permissões são verificadas durante as autenticações ou consultas do Ative Diretory. Ele é definido no dicionário dedicado do Ative Diretory.
A. Sim, os tipos de autenticação CHAP TACACS+ e MSCHAP são suportados nas versões 5.3 e posteriores do ACS.
A. Sim, no ACS 5.3 e posterior, você pode definir o tipo de senha de um usuário interno ACS. Este recurso estava disponível no ACS 4.x.
A. Sim, no ACS 5.3 e posterior, você pode usar o atributo Número de Horas desde a Criação do Usuário para criar suas políticas. Este atributo contém o número de horas desde que o usuário foi criado no Repositório de identidade interno até a hora da solicitação de autenticação atual.
A. Sim, o ACS 5.3 e posterior permite usar curingas quando você adiciona novos hosts ao Repositório de identidade interno. Ele também permite inserir curingas (após inserir os três primeiros octetos) para especificar todos os dispositivos do fabricante identificado.
A. Não, atualmente não é possível criar pools de endereços IP no ACS 5.x.
A. Não, não é possível ver o endereço IP do cliente AAA de onde a solicitação veio.
A. O ACS 5.3 fornece um novo recurso para recuperar todos os registros perdidos quando a exibição está inativa. O ACS coleta esses logs perdidos e os armazena em seu banco de dados. Usando esse recurso, você pode recuperar os registros perdidos do banco de dados do ACS para o banco de dados de exibição depois que a exibição for feita novamente. Para usar esse recurso, você deve definir a Configuração de Recuperação de Mensagens de Log como ativada. Para obter mais detalhes sobre como configurar a Recuperação de Mensagens de Log de Exibição, consulte Monitoramento e Operações do Sistema do Visualizador de Relatórios.
A. Sim, no ACS 5.3 e posterior, o comando database-compress reduz o tamanho do banco de dados ACS com uma opção para excluir a tabela de Transação ACS.Os administradores do ACS podem emitir esse comando para reduzir o tamanho do banco de dados. Isso ajuda a reduzir o tamanho do banco de dados e o tempo gasto para backups e a sincronização completa necessária para manutenção.
A. Sim, o ACS 5.3 e posterior permite pesquisar um dispositivo de rede usando seu endereço IP. Você também pode usar curingas e o intervalo para pesquisar um conjunto específico de dispositivos de rede.
A. Sim, no ACS 5.3 e posterior, você pode usar o atributo Número de Horas desde a Criação do Usuário, que permite configurar as condições da regra de política, com base na hora em que o usuário foi criado no Repositório Interno de Identidades do ACS. Por exemplo: IF group=HelpDesk&NumberofHoursSinceUserCreation>48 e depois rejeitar. Este atributo contém o número de horas desde que o usuário foi criado no Repositório de identidade interno até a hora da solicitação de autenticação atual.
A. Sim, no ACS 5.3 e posterior, você pode usar o atributo Authentication Identity Store, que permite configurar as condições da regra de política com base no Authentication Identity Store. Por exemplo: IF AuthenticationIdentityStore=LDAP_NY, em seguida, reject. Este atributo contém o nome do repositório de identidades usado e é atualizado com o nome do repositório de identidades relevante após a autenticação bem-sucedida.
A. O ACS vai para o próximo Identity Store definido na sequência do Identity Store nestes cenários:
Um usuário não foi encontrado no primeiro repositório de identidades
Um repositório de identidades não está disponível na sequência
A. A Política de Desativação da Conta permite desativar os usuários do Repositório de Identidades Interno quando a data configurada for além da data permitida, o número de dias configurados for além dos dias permitidos ou o número de tentativas consecutivas de login malsucedidas exceder o limite. O valor padrão da data excede é de 30 dias a partir da data atual. O valor padrão para dias não deve ser mais de 60 dias a partir do dia atual. O valor padrão para tentativas com falha é 5.
A. Sim, você pode alterar a senha de um usuário interno de banco de dados usando TACACS+ em telnet. Você precisa selecionar Enable TELNET Change Password em Password Change Control em ACS 5.x.
A. O ACS 5.x será imediatamente replicado para o ACS secundário sempre que você fizer alterações no ACS primário. Além disso, se você não fizer nenhuma alteração no ACS primário, ele fará uma replicação forçada a cada 15 minutos. Neste ponto, não há uma opção para controlar o temporizador para que o ACS possa replicar as informações após um tempo específico.
A. Sim, é possível. Há dois relatórios separados para RADIUS e TACACS+. Você pode encontrá-los em Monitoring & Reports > Reports > Catalog > Session Diretory > RADIUS Ative Sessions e TACACS Ative Sessions. Ambos os relatórios são baseados nas informações de contabilidade dos clientes NAS, pois permitem que você controle quando o usuário se conecta e faz logoff. O histórico de sessões permite até mesmo obter informações das mensagens de início e parada durante um dia específico.