Segurança : Dispositivo Cisco NAC (Clean Access)

Limpe o Access Manager FAQ

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Perguntas


Introdução

Este documento responde mais frequentemente às perguntas feitas (FAQ) relativas ao Access Manager limpo de Cisco. Este documento é a parte uma de um grupo da documentação de duas porções. Refira o Access Manager limpo FAQ 2 de Cisco para a parte dois.

Os nomes dos produtos mudaram. Esta tabela lista os nomes novos e antigos:

Nome antigo Nome novo
SmartManager Clean Access Manager
SecureSmart Server Clean Access Server
SmartEnforcer Clean Access Agent
CleanMachinesAPIs Clean Access APIs

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Q. Como posso eu reorientar a uma outra página do registo primeiramente e então obter reorientado de volta à página de login?

A. Há duas soluções:

  • Forneça um link para que não registado ou os novos usuários cliquem sobre da página de login. A página do registo pode aparecer no quadro direito. O usuário pode registrar-se primeiramente, e obtém então suas credenciais do início de uma sessão.

  • Use o mapeamento do atributo no LDAP que indica se os usuários são registrados ou não. Se os usuários não são registrados, põe-nos em um papel particular (baseado na resposta do LDAP). Reoriente-os então a um site do registo a fim obter suas credenciais do início de uma sessão baseadas no papel.

Q. Como posso eu configurar a política da quarentena para o acesso aos vários locais da atualização tais como Windows Update, Symantec LiveUpdate, e assim por diante?

A. Cisco sugere que você ajuste estas regras nesta ordem a fim abrandar a necessidade de pôr Windows Update individual ou endereços IP de Um ou Mais Servidores Cisco ICM NT da atualização do antivirus:

  1. Permita que o DNS (seu DNS pode ser interno ou externo) resolva o DNS do local da atualização.

  2. Obstrua todo o tráfego de entrada TCP/UDP/ICMP a sua rede interna.

  3. Permita a porta externa 80/443 assim que o tráfego pode atravessar a Windows Update e executar a atualização.

    ca-mgr-faq-1.gif

    Cisco igualmente recomenda que você ajusta o temporizador de sessão da quarentena em conformidade (por exemplo, 20 minutos).

    ca-mgr-faq-2.gif

    Nota:  a filtração domínio-baseada da política foi adicionada nas versões 3.2 e mais recente (permite windowsupdate.microsoft.com na licença da política).

Q. Onde são os arquivos de registro em Cisco Access Manager limpo?

A. O log de eventos está no nome da tabela de banco de dados como a tabela do log_info.

Há outro entra o Access Manager limpo de Cisco:

  • /var/log/messages - partida

  • /var/log/dhcplog - relé DHCP, logs DHCP

  • /tmp/perfigo-log0.log.? - log de serviço

  • /perfigo/control/apache/logs/ * - SSL, log de erros de apache

  • /perfigo/control/tomcat/logs/localhost *. - TomCat, reorienta, logs do jsp

Q. Quando eu entro da Web em um papel que exija um VPN, eu recebo uma mensagem que diga que eu devo usar um cliente VPN para conectar. Eu quero editá-la para adicionar um link para transferir um cliente VPN. Onde a página VPN é encontrada?

A. É ficada situada em /perfigo/access/tomcat/webapps/auth/perfigo_ipsec_enforced.jsp no servidor de acesso limpo de Cisco.

Q. Onde está o script alternativo remoto que pode tomar um instantâneo e enviar a um servidor remoto específico usando o FTP?

A. O script alternativo remoto está no Access Manager limpo de Cisco no diretório de /perfigo/control/bin nomeado como o pg_backup.

Se você o executa sem nenhuns parâmetros, diz-lhe como precisa de ser usado. O uso para o script é:

  • [Password] do [Username] do [FTP-Server] do pg_backup

Q. O Access Manager limpo de Cisco mostra todos os endereços MAC como 00:00:00:00:00:00. Por que isso ocorre?

A. Isso pode ocorrer devido a:

  • Se há um downstream de roteador, o Access Manager limpo de Cisco mostra o MAC address do roteador, enquanto o roteador é ARPing para os endereços IP de Um ou Mais Servidores Cisco ICM NT na pergunta (por exemplo, o IP do usuário). Se o roteador não é (por qualquer motivo), a seguir você tem 00:00:00:00:00:00 como o MAC address do usuário.

  • Se o usuário vem dentro do lado confiado (por exemplo, não há nenhuma entrada de ARP para o usuário no lado não confiável), o Access Manager limpo de Cisco mostra todos os zero.

Q. Eu recebi um certificado assinado SSL para nosso Access Manager limpo de Cisco. Eu pensei que este pararia o aviso do certificado de aparecer quando um cliente começa o processo de autenticação. O certificado que adverte ainda aparece. Como posso corrigir este problema?

A. Se você não quer seus utilizadores finais ver o aviso do certificado, obtenha um certificado para o servidor de acesso limpo de Cisco, não o Access Manager limpo de Cisco.

Q. Se eu tenho um certificado assinado para o Access Manager limpo de Cisco, posso eu igualmente importá-lo nos servidores de acesso limpos de Cisco e compartilhar d?

A. Não, você não pode usar um certificado que você compre para o Access Manager limpo de Cisco no servidor de acesso limpo de Cisco. Você precisa de comprar um certificado separado para cada servidor de acesso limpo de Cisco.

Q. Como eu desligo o temporizador de cancelamento certificado do dispositivo?

A. Selecione uma data no futuro e clique a caixa da possibilidade/desabilitação a fim desabilitar o temporizador certificado.

Q. Eu tenho dois Failover Clean Access Manager. Eu adicionei uma chave de licença ao gerenciador principal, a seguir tentada ir ao segundo através de http://<sm2>/admin/main.jsp adicionar a mesma chave ao gerenciador secundário. Quando eu bato “aplique o botão da chave de licença”, mim obtêm um erro. Por que eu recebo este erro?

A. Você não precisa de fazer este. A chave de licença é mantida no banco de dados. Faz sua maneira sobre ao gerenciador secundário através da replicação de banco de dados.

Q. Você tem o apoio do Failover do Authentication Server?

A. Cisco apoia atualmente a aglomeração e os planos do Authentication Server para olhar no Failover do Authentication Server nas liberações futuras.

Q. Como a configuração instantânea da largura de banda trabalha?

A. Um fator da intermitência é usado para determinar a “capacidade” da cubeta. Como um exemplo, supõe que a largura de banda é 100 kbps e o fator é 2. Consequentemente, a capacidade da cubeta é o Kb 100 * o Kb 2=200.

Se um usuário não envia nenhum pacote por algum tempo, têm no máximo 200 tokens do Kb na cubeta. Uma vez que o usuário precisa de enviar pacotes, o usuário pode mandar imediatamente 200 pacotes do Kb. Depois disso, o usuário precisa de esperar os tokens para entrar na taxa de 100 kbps mandar pacotes adicionais.

Uma maneira de pensar do ajuste é que a taxa média é 100 kbps, e a taxa de pico é aproximadamente 200 kbps. Consequentemente, é bom para aplicativos intermitentes tais como a navegação na web.

Q. Que é o impacto quando você muda o Network Interface Cards (NIC) no Access Manager limpo de Cisco?

A. Se você tem uma licença do NON-local, informe o Suporte técnico de Cisco da mudança no MAC address para uma emissão da nova chave de licença. Para um par de failover, forneça ambos os endereços MAC. Se você tem uma licença de site, você não precisa de informar o Suporte técnico de Cisco.

Q. O Network Interface Cards (NIC) não vem acima corretamente e não passa o tráfego. O que devo fazer?

A. Este pode ser um exemplo dos NIC que não estão sendo reconhecidos como Broadcom NIC. Tente a:

  • Console na caixa.

  • Emita o comando de /lib/modules/kernel-2.4.9-perfigo/drivers/addon/bcm5700 do CD.

  • Emita o comando de ./bcm5700.o do insmod.

Se estes comandos conduzem a nenhuns erros, emita o comando de vi /etc/modules.conf e adicionar estas duas linhas:

alias eth0 bcm5700

alias eth1 bcm5700

Q. Como eu pergunto a informação sobre o usuário do banco de dados diretamente?

A. No Access Manager limpo preliminar de Cisco da alerta da raiz, incorpore este comando:

 root>psql –h 127.0.0.1 –U postgres controlsmartdb

Você está agora no shell do banco de dados - controlsmartdb=#.

Exemplos:

  • Incorpore este comando obter o número de usuários entrados pelo servidor de acesso limpo de Cisco:

    select count(*) from user_info where ss_key=
    (select ss_key from securesmart_info where ss_ip='x.x.x.x');
    

    Nota: Certifique-se de você incorporar o ponto-e-vírgula de arrasto. Mude o endereço IP de Um ou Mais Servidores Cisco ICM NT para obter a informação para os outros servidores de acesso limpos de Cisco.

  • Incorpore este comando obter o número de usuários entrados pelo papel:

    select count(*) from user_info where role_id=
    (select role_id from role_info where role_name='Wireless');
    

    Nota: Substitua o nome do papel para relativo à informação aos outros papéis.

  • Incorpore este comando obter os log de eventos:

    select * from report_info;
    

Q. Como eu contorneio a autenticação para iPhones em uma ferramenta NAC?

A. Para iPhones, você pode configurar a opção de filtro do dispositivo sob o Gerenciamento de dispositivos > os filtros > os dispositivos > novo. Uma vez que você inclui a lista de endereços MAC que você quer contornear, você deve especificar PERMITE o tipo de acesso a fim permitir o acesso 2 aqueles dispositivos específicos. Consulte para configurar filtros do dispositivo para mais informação.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 63592