Segurança : Dispositivo Cisco NAC (Clean Access)

Limpe o agente FAQ do acesso

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Perguntas


Introdução

Este documento responde às perguntas mais frequentes (FAQ) sobre o Cisco Clean Access Agent (antigo Perfigo SmartEnforcer).

Os nomes dos produtos mudaram. Esta tabela lista os nomes novos e antigos:

Nome antigo Nome novo
SmartManager Clean Access Manager
SecureSmart Server Clean Access Server
SmartEnforcer Clean Access Agent
CleanMachinesAPIs Clean Access APIs

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Recursos suportados

Q. Que sistemas operacionais são suportados?

A. Os agentes são apoiados nestes sistemas operacionais.

Plataformas Windows

  • Windows 2000

  • Windows XP

  • Windows Vista

  • Windows 7

Plataformas de Macintosh

  • Mac OS X 10.4.11" tigre”

  • Mac OS X 10.5.8" leopardo”

  • Mac OS X 10.6.4" Snow Leopard”

Refira a matriz de suporte da ferramenta NAC Agent/OS/Browser de Cisco para obter mais informações sobre dos navegadores suportados e das versões das Javas.

Q. A Cisco oferece suporte a APIs personalizadas?

A. Não.

Q. A Cisco oferece suporte ao agente no VMware ou Shared Drivers?

A. Isto é o que é suportado ou não pelo agente NAC no VMware:

  • VMware no modo NAT

    O agente NAC não é suportado independentemente de Inband ou OOB porque, no modo de NAT do VMWare, todas as máquinas virtuais possuem os mesmos IP e MAC. Assim, você não pode distinguir entre as máquinas virtuais diferentes fins de autenticação/postura.

  • VMware no modo de Bridge (separação L2 entre as imagens, endereços IP/MAC diferentes)

    • O agente NAC é suportado no modo Inband porque é possível obter endereços IP e MAC exclusivos para as máquinas virtuais.

    • O agente NAC não é suportado no modo OOB porque, no modo OOB, é necessário restringir um endereço MAC por porta de switch. Endereços MAC múltiplos por trás de uma porta de switch não são suportados no OOB. (Há suporte a telefones IP e PCs conectados aos telefones IP.)

Assim, o resumo é que o agente NAC é suportado no VMware quando :

  • O NAC está no modo Inband.

  • O VMware está no modo bridged.

Para todos modos restantes, não há suporte.

Q. O NAC 4.5 ou posterior oferece suporte ao Trend Micro OfficeScan 10.x?

A. O NAC oferece suporte ao Trend Micro OfficeScan 10.x a partir da versão 4.7.1.

Mensagens de erro

Q. O Cisco Clean Access Agent indica ou o SecureSmart não está disponível na rede ou nenhum Servidor SecureSmart encontrou na mensagem de erro de rede. Reinicializei o Cisco Clean Access Server e funcionou por um tempo. Como posso corrigir este problema?

A. Este erro é causado pela incapacidade do Cisco Clean Access Agent se comunicar com o Cisco Clean Access Server via protocolo SWISS (a comunicação encriptada sobre a porta 8905 do UDP).

Isso pode ocorrer devido a:

  • Os arquivos de log cresceram demais.

  • Verifique se as entradas do Apache fizeram os logs atingir 2 GB. Este problema foi corrigido nas versões 3.3.x e mais recentes.

  • O certificado SS é inválido. Se o certificado do Clean Access Server estiver inválido/incorreto, a conexão de HTTPS não poderá ser feita corretamente. Verifique se o pop-up do certificado possui as duas verificações inferiores para o certificado provisório ou três verificações para o certificado assinado pela CA.

  • A hora do cliente está incorreta. Se a hora na máquina cliente fizer com que ela não confie no certificado do servidor (por exemplo, a hora do cliente está adiantada em relação à hora do servidor), isso fará com que a hora do certificado esteja no futuro sob a perspectiva do cliente. Verifique a hora no Clean Access Server e certifique-se de que o protocolo NTP para um servidor de hora seja permitido.

  • Há várias placas de rede na máquina cliente. Se a máquina cliente possuir várias placas, é possível que Windows use a placa incorreta para enviar a informação. Desabilite a placa de rede que não está em uso para solucionar temporariamente o problema.

  • Tente limpar o cache no PC do Enforcer.

    • Execute o comando ipconfig ou dnsflush no prompt de comando.

      OU

    • No Internet Explorer, sob Tools > Internet Options > Advanced, desmarque Check for server certificate revocation.

  • A conectividade de rede não é estabelecida.

  • Certifique-se de ter um endereço IP apropriado.

  • A máquina ou PC local podem apresentar algum problema após uma instalação nova do Cisco Clean Access Agent.

  • Reinicialize o PC. Execute o comando service perfigo restart no Clean Access Server.

  • A porta de destino 8905 no Cisco Clean Access Server está bloqueada por um firewall de rede ou por um firewall pessoal.

  • Certifique-se de que a porta 8905 esteja aberta.

  • Software de terceiros interfere com o Cisco Clean Access Agent. Tente desabilitar esse software para ver se o Clean Access Agent funciona.

  • Tente desativar firewalls pessoais, desabilite o software de VPN ou desabilite bloqueadores de spam.

  • Um defeito do software foi identificado e corrigido no Cisco Clean Access Server 3.2.6.

  • Faça o upgrade para o Cisco Clean Access Manager e o Cisco Clean Access Server 3.2.6.

Q. O Cisco Clean Access Agent recebe o Mensagem de Erro do erro de rede quando entrar. Por que isso ocorre?

A. O Cisco Clean Access Agent mostra este erro quando é incapaz de se comunicar com o Cisco Clean Access Server via HTTPS. Isso pode ocorrer por vários motivos:

  • O certificado SS é inválido. Se o certificado do Cisco Clean Access Server for inválido/incorreto, a conexão de HTTPS não poderá ser feita corretamente.

    Verifique se o pop-up do certificado possui as duas verificações inferiores para o certificado provisório ou três verificações para o certificado assinado pela CA.

  • A hora do cliente está incorreta. A hora na máquina cliente faz com que ela não confie no certificado do servidor. Por exemplo, a hora do cliente está adiantada em relação à hora do servidor. Isso faz com que a hora do certificado esteja no futuro sob a perspectiva do cliente.

    Verifique a hora no Clean Access Server e certifique-se de que o protocolo NTP para um servidor de hora seja permitido.

  • Há várias placas de rede na máquina cliente. Se a máquina cliente possuir várias placas, é possível que Windows use a placa incorreta para enviar a informação.

    Desabilite a placa de rede que não está em uso para solucionar temporariamente o problema.

  • Software de terceiros interfere coma comunicação do Cisco Clean Access Agent do Cisco Clean Access Server. É possível que o software tal como o Cisco VPN Client, o cliente VPN de CheckPoint�, e os firewall pessoais afetam possivelmente a comunicação.

  • Tente desabilitar esse software para ver se o Cisco Clean Access Agent funciona.

  • Limpe o cache.

    • Execute o comando ipconfig /dnsflush no prompt de comando ou, no Internet Explorer, em Internet Options > Advanced, desmarque Check for server certificate revocation.

Q. Que faz esta atualização não pode ser executada para um Mensagem de Erro não-administrador da conta no Cisco Clean Access Agent durante um meio da atualização de Windows?

A. O problema é que o Clean Access Agent falha ao executar a atualização do Windows para usuários não administradores. O stub do agente é necessário para que um usuário não administrador inicie os Windows Server Update Services (WSUS). O serviço de stub é necessário para oferecer suporte a esses recursos para usuários não administrativos:

  • Fazer download e instalar o agente

  • Fazer o upgrade do agente

  • Iniciar um executável

  • Iniciar atualizações do WSUS

  • Acessar a detecção de alteração da VLAN de autenticação

  • Executar atualizações ou renovações de IP

Q. O que faz esta versão de cliente é velha e não compatível. Entre por favor do navegador da Web para ver o link da transferência para o Mensagem de Erro da nova versão no meio do Cisco Clean Access Agent?

A. O problema é que a versão do Clean Access Agent é diferente da versão do servidor. Tente corresponder a versão do Clean Access Agent com a do servidor.

Q. Eu instalei recentemente o sistema Windows 98. Quando tento instalar o cliente do Cisco Clean Access Agent 3.2.0 no computador, sou avisado para atualizar o instalador. Contudo, assim que o Cisco Clean Access Agent tentar atualizar o instalador mim obtenha o à elevação fornecida do instmsi 'o C executável: Windows \ Internet provisório Files\Content.IE5\KXERWHYB\InstMSIA[2].exe são Mensagem de Erro inválido. Como posso corrigir este problema?

A. Instale a versão completa do Cisco Clean Access Agent 3.1.3 ou 3.2.0 (superior a 5 MB).

Q. Enviei o Cisco Clean Access Agent para meu Cisco Clean Access Server. No entanto, o Cisco Clean Access Server não o publica. Eu obtenho uma verificação para ver se há o arquivo de cliente transferido arquivos pela rede do SmartEnforcer…. Arquivo de cliente do SmartEnforcer não encontrado. mensagem de erro. Como posso corrigir este problema?

A. Envie o arquivo .exe, e não o .zip. Certifique-se extrair o arquivo .exe da pasta do zip antes de enviá-lo. Além disso, não mude o nome de arquivo original do .exe.

Q. Por que recebo a mensagem de erro Access to network is blocked by the adminstrator no Cisco Clean Access Agent quando tento conectar?

A. Se você está usando redes wireless e com fio ao mesmo tempo, esta mensagem de erro pode ocorrer. Tente utilizar somente a rede wireless ou a rede com fio, o que pode resolver o problema. Além disso, tente utilizar o CCA versão 4.1.3. Isso pode ajudar a resolver o problema.

Q. Por que recebo a mensagem Warning: The current Trusted Certificate Authority 'www.perfigo.com' is suited for lab environments only. Cisco recommends importing a third-party Certificate Authority. Please check your Clean Access Server(s) and standby Clean Access Manager for similar messages. após atualizar o NAC Appliance?

A. Esta mensagem de erro é causada pelos certificados Perfigo. Este problema pode ser resolvido com a exclusão da CA Perfigo da lista de CAs confiáveis.

Q. O que a mensagem de erro Revocation information for the security certificate for this site is not available. Do you want to proceed no Cisco Clean Access Agent significa?

A. Isso ocorre devido à indisponibilidade da informação de revogação para o certificado de segurança. Há duas definições disponíveis para esta edição. As definições são fornecidas abaixo:

  1. Quando você usa um certificado CA-assinado de CAS SSL, verifique o campo dos pontos da distribuição de CRL do certificado, que inclui o intermediário ou a CA raiz, e adicionar os anfitriões URL à política permitida do host papéis não-autenticados/provisórios/quarentena. Isto permite que o agente busque os CRL ao entrar.

  2. Conclua estes passos em seu navegador da Internet para resolver o problema:

    1. Importe o certificado à loja do root confiável do sistema de cliente.

    2. Escolha Tools > Internet Options > guia Advanced > seção Security e desmarque Check for server certificate revocation (requires restart).

    3. Agora feche o navegador existente e abra um novo para que as alterações entrem em vigor.

Uma outra ação alternativa a remover deste Mensagem de Erro está disponível. Você pode adicionar <AllowCRLChecks>0</AllowCRLChecks> ao arquivo NACAgentCFG.xml neste diretório: Agente de C:\ProgramFiles\Cisco\Cisco NAC

Nota: O Mensagem de Erro do Rev Falha 12057 do certificado do erro de rede SSL no Cisco Clean Access Agent gera devido a este problema.

Consulte estes documentos para obter outras informações:

Q. Quando eu lanço o agente da Web na máquina de Windows 7, falha com código 3. do Mensagem de Erro. Como eu fixo esta edição?

A. O código de erro 3 é uma mensagem que indique que o agente esteve transferido mas não instalado. Estas são alternativas possíveis:

  1. Verifique que o UAC (controle da conta de usuário) está permitido.

  2. Verifique que o internet explorer está sendo executado no modo de administração.

  3. Verifique se algum fucnction ativo X falha e tente-o restaurar todo o IE e permissões ativas X optar.

  4. Verifique se algum outro anti software do vírus (AV) impede que o IE lance seu executável de seu diretório temporário.

Q. Eu recebo um erro de script do Internet explorer quando o agente NAC tenta começar. Como eu resolvo esse problema?

A. O Mensagem de Erro é mostrado abaixo.

http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/63591-ca-mgr-faq-2.gif

Conclua estes passos para corrigir o problema:

  1. Desinstale o agente de Cisco NAC do sistema.

  2. Suprima manualmente do diretório de agente de C:\Program Files\Cisco\Cisco NAC.

  3. Transfira regrserv32a.exe desta URL:

    http://support.microsoft.com/kb/267279 leavingcisco.com

  4. Execute regserv32a.exe. O aplicativo é extraído a seu computador local.

  5. Abra um comando prompt, e mude-o ao diretório em que o aplicativo regserv32.exe foi extraído.

  6. Execute regsvr32.exe msxml3.dll.

    Uma caixa de diálogo parece que indica que o registo era bem sucedido.

  7. Instale o agente de Cisco NAC.

  8. Verifique que o agente de Cisco NAC começa com sucesso.

Diversos

Q. Que eu preciso de fazer a fim corrigir quando os clientes de MAC não reorientam à página não encontrada da página?

A. Certifique-se de que você não usa um nome de domínio terminado em .local. O MAC trata esse nome como um nome de DNS especial para o DNS multicast. Assim, a solicitação de resolução nunca é enviada ao servidor DNS.

Q. O que acontece se o Clean Access Agent é bloqueado pelo McAfee?

A. O problema é que o Clean Access Agent é bloqueado pelo McAfee porque ele acredita que o programa de instalação do agente da Web (webagentsetup-win.exe) seja um cavalo de Tróia. Uma solução alternativa para este problema é alterar o método de download dos clientes para excluir o applet ActiveX e utilizar unicamente o componente Java. Isto pode ser ajustado no CAM que usa o UserPages - página de login - edita - cliente web (ActiveX/applet) - o Java applet somente. Alternativamente, o usuário pode utilizar qualquer outro navegador, preferencialmente o Firefox.

Q. Com o que o Cisco Clean Access Server tenta se comunicar ao se conectar usando a porta 8905 como sua porta de origem?

A. O Cisco Clean Access Agent comunica-se com o Cisco Clean Access Server via protocolo SWISS usando uma comunicação encriptada sobre a porta 8905 do UDP.

Q. Como eu limito o acesso SSH ao Cisco Clean Access Server?

A. Mude o arquivo /etc/ssh/sshd_config adicionando uma linha similar a esta:

ListenAddress IP_address_of_where_you_want_ssh_to_allow_connections

Por exemplo:

ListenAddress 192.168.151.60 

Execute o comando service sshd restart para reiniciar o processo SSHD.

Q. Como eu desabilito o Clean Access Agent para Windows 98/95?

A. Em CleanMachines, desmarque Windows All e selecione cada sistema operacional independentemente para Require Use of Clean Access Agent.

http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/63591-ca-mgr-faq-3.gif

Q. Os switches de borda que executam SNMPv3 não são consultados corretamente pelo Coletor após a ativação de um link ou uma interceptação de notificação de MAC. A descoberta dos pontos finais conectados às portas nos switches que executam SNMPv3 é atrasada até a próxima consulta regular do switch pelo NetMap no NAC Profiler. Por quê?

A. Este problema ocorre devido ao bug da Cisco ID CSCta25695 ( somente clientes registrados) . Consulte este bug para obter mais informações.

Q. Por que há alguns problemas quando uso certificados Perfigo no NAC Appliance?

A. A razão dos problemas quando você usa certificados da Perfigo pode ser a versão do Cisco NAC Appliance utilizado. A liberação da ferramenta NAC de Cisco 4.7(0) já não contém o Certificate Authority (CA) de www.perfigo.com no .ISO ou na imagem de upgrade. Os administradores que necessitam da CA www.perfigo.com na rede devem importar manualmente a CA de uma máquina local após a instalação ou o upgrade para o Release 4.7(0).

Para estabelecer o canal de comunicação segura inicial entre um CAM e um CAS, você deve importar o certificado de raiz de cada appliance no outro armazenamento confiável do appliance de modo que o CAM possa confiar no certificado do CAS e vice-versa.

Q. A verificação de AV falha no acesso do Cisco Clean para computadores com o Windows 7. Como corrigir este problema?

A. Este problema ocorre porque as regras de requisitos não tiveram a regra correta escolhida sob o sistema operacional Windows 7. Escolha todas as regras de requisitos para o Windows 7 sob o requisito existente.

Q. O NAC nega o acesso de rede devido a nenhum antivirus que está sendo instalado na estação de trabalho mesmo que o MÉDIO 10 seja instalado nela. Que é a razão atrás deste problema?

A. O MÉDIO 10 não é apoiado ainda no NAC. Refira o Bug da Cisco IDCSCTJ89340 (clientes registrados somente) para obter mais informações sobre deste realce

Q. Posso eu passar requisições DHCP para Telefones IP de Nortel atrás de um NAC?

A. Sim. Você pode passar as requisições DHCP para Telefones IP de Nortel atrás de um NAC. Refira Telefones IP de Nortel atrás do NAC para mais informação.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 63591