本文档提供与思科安全访问控制系统(ACS)5.x及更高版本相关的最常见问题(FAQ)的解答。
答:默认情况下,每个内部数据库用户都必须遵守用户密码策略。目前,不能排除ACS 5.x内部数据库的用户/组。
答:默认情况下,每个GUI管理用户必须遵守管理用户密码策略。目前,不能排除ACS 5.x的管理用户。
答:否。目前,ACS 5.x版不支持VMWare工具。有关详细信息,请参阅Cisco Bug ID CSCtg50048(仅限注册客户)。
答:当LDAP用作身份库时,ACS 5.2仅支持PEAP-GTC、EAP-FAST-GTC和EAP-TLS协议。它不支持EAP-FAST MSCHAPv2、PEAP EAP-MSCHAPv2和EAP-MD5。有关详细信息,请参阅身份验证协议和用户数据库兼容性。
答:补丁4之前的ACS 5.0和WLC互操作性存在问题。请下载补丁8,并在CLI上应用补丁。请勿使用TFTP来解决此问题。
答:无法恢复使用backup-log命令备份的日志文件。您只能恢复为ACS配置和ADE-OS备份的文件。有关详细信息,请参阅《Cisco安全访问控制系统5.1的CLI参考指南》中的备份和备份日志命令。
A.否。此功能在ACS 5.2上不可用,但预计会集成到ACS 5.3中。有关详细信息,请参阅Cisco安全访问控制系统5.2发行版本注释的“不支持的功能”部分。
答:在ACS 5.0中不支持在下次登录时更改密码的选项。在ACS 5.1及更高版本中可支持此功能。
Cisco Secure ACS - Alarm Notification Severity: Warning Alarm Name delete 20000 sessions Cause/Trigger active sessions are over limit Alarm Details session is over 250000
答:此错误意味着当ACS视图达到250,000个会话的限制时,它会发出警报以删除20,000个会话。ACS视图数据库存储所有以前的身份验证会话,当其达到250,000时,会发出警报以清除缓存并删除20,000个会话。
答:当SDI身份验证期间密码管理出现问题时,会显示此错误消息。ACS 5.x用作Radius代理,用户必须通过RSA服务器进行身份验证。RSA的Radius代理仅在不进行密码管理的情况下工作。原因是OTP值必须由Radius服务器恢复,才能将密码值代理到RSA服务器。在隧道组中启用密码管理时,会使用MS-CHAPv2属性发送Radius请求。RSA不支持MS-0CHAPv2;它仅支持PAP。
要解决此问题,请禁用密码管理。有关详细信息,请参阅Cisco Bug ID CSCsx47423(仅限注册客户)。
答:不,不能限制ACS管理员仅管理ACS 5.1中的某些设备。
答:不,ACS在身份验证中不支持QoS。ACS不会将RADIUS身份验证请求优先于TACACS或RADIUS上的TACACS请求。
答:是,所有ACS 5.x版本都可以将RADIUS身份验证代理到其他RADIUS服务器。ACS 5.3及更高版本可将TACACS身份验证代理到其他TACACS服务器。
答:是,在ACS 5.3及更高版本中,您可以允许、拒绝和控制用户的拨入权限访问。在从Active Directory进行身份验证或查询期间会检查权限。它在Active Directory专用词典上设置。
答:是,ACS 5.3及更高版本支持TACACS+ CHAP和MSCHAP身份验证类型。
答:是,在ACS 5.3及更高版本中,可以设置ACS内部用户的密码类型。此功能在ACS 4.x中可用。
答:是,在ACS 5.3及更高版本中,您可以使用“自用户创建以来的小时数”属性来创建策略。此属性包含自用户在内部身份库中创建到当前身份验证请求的时间以来的小时数。
答:是,ACS 5.3及更高版本允许您在将新主机添加到内部身份库时使用通配符。它还允许您输入通配符(在输入前三个二进制八位数后),以指定所标识制造商的所有设备。
答:不,目前无法在ACS 5.x上创建IP地址池。
答:不,无法从请求的输入位置查看AAA客户端的IP地址。
答:ACS 5.3提供了一项新功能,可恢复视图关闭时丢失的所有日志。ACS收集这些丢失的日志并将其存储在其数据库中。使用此功能,可在视图备份后从ACS数据库检索丢失的日志到视图数据库。要使用此功能,必须将日志消息恢复配置设置为on。有关配置查看日志消息恢复的详细信息,请参阅监控和报告查看器系统操作。
A.是,在ACS 5.3及更高版本中,database-compress命令通过删除ACS事务表的选项减小ACS数据库大小。ACS管理员可以发出此命令以减小数据库大小。这有助于减少数据库大小和备份和维护所需的完全同步所需的时间。
答:是,ACS 5.3及更高版本允许您使用网络设备的IP地址搜索网络设备。您还可以使用通配符和范围来搜索特定网络设备集。
A. 是,在ACS 5.3及更高版本中,您可以使用Number of Hours Since User Creation属性,该属性允许您根据在ACS内部身份库中创建用户的时间配置策略规则条件。例如:IF group=HelpDesk&NumberofHoursSinceUserCreation>48然后拒绝。此属性包含自用户在内部身份库中创建到当前身份验证请求的时间以来的小时数。
答:是,在ACS 5.3及更高版本中,您可以使用Authentication Identity Store属性,该属性使您能够根据Authentication Identity Store配置策略规则条件。例如:如果AuthenticationIdentityStore=LDAP_NY,则拒绝。此属性包含所用身份库的名称,并在身份验证成功后使用相关身份库名称进行更新。
A.在以下情况下,ACS将转到身份库序列中定义的下一个身份库:
在第一个身份库中找不到用户
身份库在序列中不可用
A.帐户禁用策略允许您在配置日期超过允许日期、配置的天数超过允许的天数或连续失败的登录尝试次数超过阈值时禁用内部身份库的用户。日期超出的默认值是从当前日期起30天。天数的默认值不应超过当天起的60天。失败尝试的默认值为5。
答:是,允许您通过telnet使用TACACS+更改内部数据库用户的密码。您需要在ACS 5.x上的Password Change Control(密码更改控制)下选择Enable TELNET Change Password(启用TELNET更改密码)。
答:每当对主ACS进行更改时,ACS 5.x将立即复制到辅助ACS。此外,如果您不对主ACS进行任何更改,它将每15分钟执行一次强制复制。此时,没有控制计时器的选项,ACS可以在特定时间后复制信息。
答:是的,有可能。RADIUS和TACACS+有两个单独的报告。您可以在Monitoring & Reports > Reports > Catalog > Session Directory > RADIUS Active Sessions和TACACS Active Sessions下找到它们。这两个报告都基于来自NAS客户端的记帐信息,因为它允许您跟踪用户何时连接和注销。会话历史记录甚至允许您从特定日期的开始和停止消息中获取信息。