Segurança : Dispositivo Cisco NAC (Clean Access)

Limpe o Access Manager FAQ 2

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Perguntas


Introdução

Este documento endereça mais frequentemente as perguntas feitas (FAQ) relativas ao Access Manager limpo de Cisco. Este documento é a parte dois de uma documentação do dois-grupo. Refira o Access Manager limpo FAQ de Cisco para a parte uma.

Os nomes dos produtos mudaram. Esta tabela lista os nomes novos e antigos:

Nome antigo Nome novo
SmartManager Clean Access Manager
SecureSmart Server Clean Access Server
SmartEnforcer Clean Access Agent
CleanMachinesAPIs Clean Access APIs

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Q. Eu gostaria de mudar o página da web inicial de que vem acima quando eu tento primeiramente alcançar um site antes que eu esteja registrado em Cisco. Como eu faço este?

A. A página inicial que se publica estados, “você está sendo reorientado à página da autenticação de rede.” Esta página não é atualmente editável porque é um script CGI. Além, a página é mostrada somente um par segundos. Os usuários não podem ler indicador prolongado do texto além das duas linhas.

Q. Quando o número de entradas nos log de eventos passa o número configurado no Access Manager limpo de Cisco, as entradas estão removidas do banco de dados, ou o GUI mostra somente o número especificado?

A. O ponto inicial do log de eventos é o número de eventos que são armazenados no banco de dados. O número máximo de eventos do log mantidos no server, à revelia, é 100,000. O ponto inicial do log de eventos deve ser menor de 200,000. O log de eventos é um log circular. As entradas as mais velhas overwritten quando o log passa o ponto inicial.

Q. Quando você tenta promover o NAC com versão 4.6.1 a 4.7.1, é possível que você obtém o PCI: Erro BIOS: A área MCFG em e0000000 não é E820-reserved PCI: Não usando o Mensagem de Erro MMCONFIG. Por que este erro ocorre e como pode este ser resolved?

A. Este erro ocorre se você promove através do monitor/teclado e não através da porta de Console.

Q. Eu ver mensagem do erro de servidor interno "500” quando o Access Manager limpo (ativo) preliminar de Cisco falha sobre ao gerente (inativo) à espera. Do GUI de gerenciador os indicadores nunca. Como posso corrigir este problema?

A. Verifique /etc/ha.d/perfigo.conf para assegurar-se de que o peerhostname e o ha_serial estejam ajustados corretamente.

ca-mgr-faq2-2.gif

Q. No modo de gateway virtual, podem mim re-etiqueta todas as máquinas em um papel (por exemplo, Xboxes) e mandam-nos parecer estar em uma rede?

A. Um VLAN não retagged no modo de gateway virtual.

Q. Os servidores de acesso limpos do Failover não aparecem ao Failover corretamente. Ambos os servidores de acesso limpos de Cisco indicam que os outro estão para baixo. As tentativas preliminares ao Failover ao secundário mas não sucedem. Nenhum início de uma sessão novo é autenticado durante este tempo. Por que este problema ocorre?

A. A causa do problema pode estar na configuração de /etc/lilo.conf e de /etc/inittab. Altere /etc/lilo.conf e /etc/inittab para parar a reorientação do console à saída de série do ttyS0.

Termine estas etapas para reconfigurar o ttyS0 como a conexão heartbeat:

  1. De um cliente SSH, alcance o servidor de acesso limpo de Cisco e/ou o server limpo do Access Manager de Cisco como o usuário de raiz.
  2. Edite /etc/lilo.conf e remova-o ou comente-o para fora a última linha:
    append="console=ttyS0....."
    Esta linha faz com que as saídas do console sejam reorientadas à porta serial.

    Nota: Adicionar a # caráter ao começo da linha a fim comentar para fora uma linha. As linhas que começam com este caráter são ignoradas.

  3. Edite /etc/inittab e remova-o ou comente-o para fora a última linha:
    co:2345:respawn ...vt100
    Esta linha faz com que um terminal de login seja ligado na porta serial.
  4. Datilografe o lilo e pressione o ENTER no comando prompt. Isto começa Lilo, o Boot Loader de Linux.
  5. Inscreva o comando reboot recarregar o computador.
  6. Repita estas etapas no Access Manager limpo de Cisco do par do Failover.

Q. Eu preciso de desenvolver e assim por diante uma página onde os técnicos de helpdesk possam incorporar endereços MAC na tabela da “exclusão” para coisas tais como impressoras, Roteadores, sistemas de jogo. Há uma utilidade para realizar isto?

A. O acesso limpo de Cisco fornece um script utilitário chamado cisco_api.jsp (ou perfigo_api.jsp para as liberações prévias 3.2 e 3.3) que permite que você execute determinadas operações através do CARGO HTTPS. Está aqui a URL para a página limpa da descrição do acesso API para seu Access Manager limpo que você pode alcançar de um navegador da Web:

  • https:// <ccam-ip-or-name>/admin/cisco_api.jsp

A seção diz-lhe o que as funções são e como os alcançar.

Importante: Requisitos para Utilização

  • Você ou alguém em sua organização devem saber e ser confortável com linguagens de script tais como o Perl.

  • Somente o HTTPS, o CARGO e o AUTH são apoiados. O HTTP, o GET, e nenhuma autenticação API não são apoiados.

  • Você precisa de instalar pacotes Perl (ou algo similar) na máquina que executa estes scripts.

  • O Suporte técnico de Cisco não apoia a eliminação de erros de seus pacotes Perl ou de script.

Requisitos de autenticação (3.5.4+)

O API exige a autenticação sobre o SSL para o acesso ao API, com estes dois métodos de autenticação:

  • Autenticação pela sessão

    Neste método, como um administrador, você pode usar as funções do login de admin e do logout de admin. Estas funções permitem-no de criar um script de shell da autenticação que ajuste um Cookie com o ID de sessão a ser alcançado para o resto da sessão de administrador. Se um Cookie do ID de sessão não é ajustado, o usuário recebe uma alerta de login. A função do login de admin (início de uma sessão do administrador) retorna um ID de sessão, que deva ser ajustado como uma cookie para uso de todo o API. Você deve então usar a função do logout de admin para terminar a sessão. Contudo, se você não usa o logout de admin, a sessão ainda terminar quando os tempos da sessão de administrador para fora.

  • Autenticação pela função

    Se você não quer usar Cookie para criar um script de shell, você pode pelo contrário executar a autenticação cada vez que uma função é usada. Se você autentica pela função, você precisa de adicionar o admin e os parâmetros da senha a todas as funções que você usa em seu script existente. Neste caso, você não usa as funções do login de admin e do logout de admin.

Suporte de acesso do convidado (3.5.8+)

O getlocaluserlist, o addlocaluser, e o deletelocaluser API são pretendidos apoiar o acesso do convidado para a geração dinâmica do acesso de usuário de token, e fornecem a capacidade a:

  • Use um Web page para alcançar o acesso limpo API de Cisco para introduzir um nome de usuário de visitante ou uma senha (por exemplo, jdoe@visitor.com, jdoe112805), e atribua um papel (por exemplo, guest1day).

  • Suprima de todos os usuários convidado associados com esse papel para esse dia (por exemplo, guest1day).

  • Aliste todos os nomes de usuário associados com esse papel (por exemplo, todos os usuários para guest1day).

Estes API apoiam a maioria de aplicações do token/geração de senha dinâmicos do acesso de usuário convidado e permitem a remoção daqueles usuários para um papel de convidado. Isto fornece-lhe a capacidade para criar suas próprias páginas personalizadas do início de uma sessão ou da assinatura e para chamar então o CCA API.

Nota: Você ainda precisa de criar a senha/token da geração da parte frontal. Para propósitos de contabilidade, o acesso limpo de Cisco fornece a funcionalidade de relatório de RADIUS somente.

Exemplo

Está aqui uma amostra (clicar com o botão direito, transferência) do script do teste Perl para a operação do “addmac”.

Você deve instalar estes módulos em seu servidor Linux para que este script seja executado. Você pode transferi-los da rede abrangente de arquivo Perlleavingcisco.com .

  • MIME-Base64-3.05.tar.gz

  • URI-1.33.tar.gz

  • HTML-Tagset-3.03.tar.gz

  • HTML-Parser-3.36.tar.gz

  • Crypt-SSLeay-0.51.tar.gz (exige o OpenSSL instalado)

  • libwww-perl-5.77.tar.gz

Refira o que fazê-lo uma vez transferiram um módulo Do CPAN para instruções de instalação do módulo.

Após a instalação, você pode tentá-la para fora com o SSH ao Access Manager limpo de Cisco. Vá a /root/perl (o supor instalou aqui) e execute o script do https-AUTH-cargo. Uma entrada de MAC é adicionada aos filtros globais de 192.168.151.156.

Nome da operação: login de admin

Descrição — O início de uma sessão do administrador retorna um ID de sessão que tenha que ser ajustado como uma cookie para uso de todo o API.

Use o login de admin e o logout de admin para criar um script de shell se você usa a autenticação pela sessão com Cookie. Se não, use o admin e os parâmetros da senha em cada função.

Nos Params:

  • — login de admin (exigido) op

  • admin (exigido) — Nome de usuário da conta admin

  • senha (exigida) — Senha da conta admin

Para fora Params:

  • Um comentário do formulário <! --error=mesg--> é retornado. Se o valor do msg é 0 então a operação é um sucesso ou então há uma série de erro.

  • Se o valor do msg é 0, um outro comentário do formulário <! --session_id=SESSION_ID_STRING--> é retornado

Nome da operação: logout de admin

Descrição — O administrador é registrado para fora. O Cookie identifica a sessão.

Use o login de admin e o logout de admin para criar um script de shell se você usa a autenticação pela sessão com Cookie. Se não, use o admin e os parâmetros da senha em cada função.

Nos Params:

  • — logout de admin (exigido) op

Para fora Params:

  • Um comentário do formulário <! --error=mesg--> é retornado. Se o valor do msg é 0 então a operação é um sucesso ou então há uma série de erro.

Nome da operação: addmac

Descrição — Adiciona o MAC address à lista de dispositivos.

Nos Params:

  • — addmac (exigido) op

  • Mac (exigido) — Formatos suportados 00:01:12:23:34:45 ou 00-01-12-23-34-45 ou 000112233445

  • IP (opcional) — Formatos suportados 192.168.0.10

  • tipo (opcional) — Um do [deny, allow, userole] das cordas. O padrão é nega.

  • papel (opcional) — Especifique o nome do papel. O padrão é não-autenticado. Exigido se type=userole.

  • desc (opcional) — Algum description string.

  • ssip (opcional) — O padrão é global. Forneça o endereço IP de Um ou Mais Servidores Cisco ICM NT usado para configurar o servidor de acesso limpo para limpar o Access Manager.

  • admin (opcional) — O nome de usuário da conta admin. Este parâmetro não é precisado se você usa a autenticação pela sessão.

  • senha (opcional) — A senha para a conta admin. Este parâmetro não é precisado se você usa a autenticação pela sessão.

Para fora Params:

  • Um comentário do formulário <! --error=mesg--> é retornado. Se o valor do msg é 0 então a operação é um sucesso ou então há uma série de erro.

Nome da operação: removemac

Descrição — Remove o MAC address da lista dos filtros do dispositivo.

Nos Params:

  • — removemac (exigido) op

  • Mac (exigido) — Formatos suportados 00:01:12:23:34:45 ou 00-01-12-23-34-45 ou 000112233445

  • ssip (opcional) — O padrão é global. Forneça o endereço IP de Um ou Mais Servidores Cisco ICM NT usado para a configuração do servidor de acesso limpo para limpar o Access Manager.

  • admin (opcional) — O nome de usuário da conta admin. Este parâmetro não é precisado se você usa a autenticação pela sessão.

  • senha (opcional) — A senha para a conta admin. Este parâmetro não é precisado se você usa a autenticação pela sessão.

Para fora Params:

  • Um comentário do formulário <! --error=mesg--> é retornado. Se o valor do msg é 0 então a operação é um sucesso ou então há uma série de erro.

Nome da operação: addcleanmac

Descrição — Adiciona um MAC address a Cisco que o acesso limpo certificou a lista de dispositivos como um dispositivo isentado.

Nos Params:

  • — addcleanmac (exigido) op

  • Mac (exigido) — Formatos suportados 00:01:12:23:34:45 ou 00-01-12-23-34-45 ou 000112233445

  • ssip (opcional) — O padrão é global. Forneça o endereço IP de Um ou Mais Servidores Cisco ICM NT usado para configurar o servidor de acesso limpo ao Access Manager limpo.

  • admin (opcional) — O nome de usuário da conta admin. Este parâmetro não é precisado se você usa a autenticação pela sessão.

  • senha (opcional) — A senha para a conta admin. Este parâmetro não é precisado se você usa a autenticação pela sessão.

Para fora Params:

  • Um comentário do formulário <! --error=mesg--> é retornado. Se o valor do msg é 0 então a operação é um sucesso ou então há uma série de erro.

Nome da operação: removecleanmac

Descrição — Remove o MAC address acesso limpo da lista de dispositivos certificada.

Nos Params:

  • — removecleanmac (exigido) op

  • Mac (exigido) — Formatos suportados 00:01:12:23:34:45 ou 00-01-12-23-34-45 ou 000112233445

  • ssip (opcional) — O padrão é global. Forneça o endereço IP de Um ou Mais Servidores Cisco ICM NT usado para configurar o servidor de acesso limpo para limpar o Access Manager.

  • admin (opcional) — O nome de usuário da conta admin. Este parâmetro não é precisado se você usa a autenticação pela sessão.

  • senha (opcional) — A senha para a conta admin. Este parâmetro não é precisado se você usa a autenticação pela sessão.

Para fora Params:

  • Um comentário do formulário <! --error=mesg--> é retornado. Se o valor do msg é 0 então a operação é um sucesso ou então há uma série de erro.

    Você pode ter mais de um comentário do erro se o SSIP não é fornecido e o MAC não pode ser suprimido de mais de um servidor de acesso limpo.

Nome da operação: clearcertified

Descrição — Cancela acesso limpo a lista de dispositivos certificada.

Nos Params:

  • op (exigido) — clearcertified

  • admin (opcional) — O nome de usuário da conta admin. Este parâmetro não é precisado se você usa a autenticação pela sessão.

  • senha (opcional) — A senha para a conta admin. Este parâmetro não é precisado se você usa a autenticação pela sessão.

Para fora Params:

  • Um comentário do formulário <! --error=mesg--> é retornado. Se o valor do msg é 0 então a operação é um sucesso ou então há uma série de erro.

Nome da operação: kickuser

Descrição — Retrocede para fora o usuário conectado

Nos Params:

  • — kickuser (exigido) op

  • IP (exigido) — Fornece o endereço IP de Um ou Mais Servidores Cisco ICM NT do usuário a ser removido.

  • admin (opcional) — O nome de usuário da conta admin. Este parâmetro não é precisado se você usa a autenticação pela sessão.

  • senha (opcional) — A senha para a conta admin. Este parâmetro não é precisado se você usa a autenticação pela sessão.

Para fora Params:

  • Um comentário do formulário <! --error=mesg--> é retornado. Se o valor do msg é 0 então a operação é um sucesso ou então há uma série de erro.

Nome da operação: kickoobuser

Descrição — Retrocede para fora entrado fora do usuário da faixa.

Nos Params:

  • — kickoobuser (exigido) op

  • Mac (exigido) — Fornece o MAC address do usuário a ser removido.

Para fora Params:

  • Um comentário do formulário <! --error=mesg--> é retornado. Se o valor do msg é 0 então a operação é um sucesso ou então há uma série de erro.

Nome da operação: queryuserstime

Descrição — Pergunta o tempo permanecendo dos usuários conectados na sessão. Somente os usuários registrados em papéis do timeout de sessão são retornados.

Nos Params:

  • — queryuserstime (exigido) op

  • admin (opcional) — O nome de usuário da conta admin. Este parâmetro não é precisado se você usa a autenticação pela sessão.

  • senha (opcional) — A senha para a conta admin. Este parâmetro não é precisado se você usa a autenticação pela sessão.

Para fora Params:

  • Um comentário do formulário <! --error=mesg--> é retornado. Se o valor do msg é 0 então a operação é um sucesso ou então há uma série de erro.

  • Se o valor do msg é 0, um outro comentário do formulário <! --list=iplist--> é retornado. O formato do iplist é 10.1.10.10=23345,10.1.10.11=23001,10.1.10.12.......,IP=Time_Remaining(milliseconds).

Nome da operação: renewuserstime

Descrição — Renove o timeout de sessão dos usuários conectados por uma sessão.

Nos Params:

  • — renewuserstime (exigido) op

  • lista (exigida) — O formato da lista é 10.1.10.10, 10.1.10.11, 10.1.10.12.....IP, IP.

  • admin (opcional) — O nome de usuário da conta admin. Este parâmetro não é precisado se você usa a autenticação pela sessão.

  • senha (opcional) — A senha para a conta admin. Este parâmetro não é precisado se você usa a autenticação pela sessão.

Para fora Params:

  • Um comentário do formulário <! --error=mesg--> é retornado. Se o valor do msg é 0 então a operação é um sucesso ou então há uma série de erro.

Nome da operação: changeuserrole

Descrição — Muda o papel do usuário conectado.

Nos Params:

  • — changeuserrole (exigido) op

  • IP (exigido) — O endereço IP de Um ou Mais Servidores Cisco ICM NT do usuário conectado.

  • papel (exigido) — O papel este usuário tem que ser colocado dentro.

  • admin (opcional) — O nome de usuário da conta admin. Este parâmetro não é precisado se você usa a autenticação pela sessão.

  • senha (opcional) — A senha para a conta admin. Este parâmetro não é precisado se você usa a autenticação pela sessão.

Para fora Params:

  • Um comentário do formulário <! --error=mesg--> é retornado. Se o valor do msg é 0 então a operação é um sucesso ou então há uma série de erro.

Nome da operação: getuserinfo

Descrição — Dado do IP, do MAC ou do nome, a informação sobre o usuário entrada é retornado. Se há os usuários múltiplos que combinam os critérios, uma lista de usuários é retornada.

Nos Params:

  • — getuserinfo (exigido) op

  • qtype (exigido) — Um das cordas (“IP”, do “Mac”, do “nome”, “tudo ").

  • qval (exigido) — O endereço IP de Um ou Mais Servidores Cisco ICM NT ou o MAC address ou o nome de usuário ou a série vazia em caso de “tudo”.

  • admin (opcional) — O nome de usuário da conta admin. Este parâmetro não é precisado se você usa a autenticação pela sessão.

  • senha (opcional) — A senha para a conta admin. Este parâmetro não é precisado se você usa a autenticação pela sessão.

Para fora Params:

  • Um comentário do formulário <! --error=mesg--> é retornado. Se o valor do msg é 0 então a operação é um sucesso ou então há uma série de erro.

  • Se o valor do msg é 0, o comentário A do formulário <!--count=10--> mostra o número de usuários retornados, seguido por um número de correspondência de comentários do formulário <!--IP=10.1.10.12,MAC=0A:13:07:9B:82:60,NAME=jdoe,PROVIDER=LDAP Server,ROLE=Student,ORIGROLE=Student,VLAN=1024,NEWVLAN=1024,OS=Windows XP--> são retornados.

Nome da operação: getoobuserinfo

Descrição: Dado do IP, do MAC ou do nome, a informação sobre o usuário entrada OOB será retornado. Se há usuários múltiplos que combinam os critérios, uma lista de usuários estará retornada

Nos Params:

  • — getoobuserinfo (exigido) op

  • — (exigido) o qtype das cordas (“IP”, do “Mac”, do “nome”, “tudo ")

  • qval (exigido) — Endereço IP de Um ou Mais Servidores Cisco ICM NT ou MAC address ou nome de usuário ou série vazia em caso de “tudo”

  • nome de usuário da conta admin admin (opcional) —. Este parâmetro não é precisado se usando a autenticação pela sessão.

  • senha da senha (opcional) — para a conta admin. Este parâmetro não é precisado se usando a autenticação pela sessão.

Para fora Params:

  • Um comentário do formulário <! --error=mesg--> é retornado. Se o valor do msg é 0 então a operação é um sucesso ou então há uma série de erro.

  • Se o valor do msg é 0, um comentário do formulário <!--count=10--> mostra o número de usuários retornados, seguido por um número de correspondência de comentários do formulário <!--IP=10.1.10.12,MAC=0A:13:07:9B:82:60,NAME=jdoe,PROVIDER=LDAP Server,ROLE=Student,AUTHVLAN=10,ACCESSVLAN=1024,OS=Windows XP,SWITCHIP=10.1.10.1,PORTNUM=18-->.

Nome da operação: getcleanuserinfo

Descrição — Dado do MAC ou do nome, a informação sobre o usuário certificada é retornado. Se há os usuários múltiplos que combinam os critérios, uma lista de usuários certificados é retornada.

Nos Params:

  • — getcleanuserinfo (exigido) op

  • qtype (exigido) — Uma das cordas (“Mac”, “nome”, “tudo ").

  • qval (exigido) — O MAC address ou o nome de usuário ou a série vazia em caso de “tudo”.

Para fora Params:

  • Um comentário do formulário <! --error=mesg--> é retornado. Se o valor do msg é 0 então a operação é um sucesso ou então há uma série de erro.

  • Se o valor do msg é 0, um comentário do formulário <!--count=10--> mostra o número de usuários retornados, seguido pelo mesmo número de comentários do formulário <!--MAC=0A:13:07:9B:82:60,NAME=jdoe,PROVIDER=LDAP Server,ROLE=Student,VLAN=10-->.

Nome da operação: getlocaluserlist

Descrição — Retorna a lista de contas de usuário local configuradas com nome de usuário e nome do papel.

Nos Params:

  • — getlocaluserlist (exigido) op

  • nome de usuário da conta admin admin (opcional) —. Este parâmetro não é precisado se usando a autenticação pela sessão.

  • senha da senha (opcional) — para a conta admin. Este parâmetro não é precisado se usando a autenticação pela sessão.

Para fora Params:

  • Comentário do formulário <! --error=mesg--> é retornado. Se o valor do msg é 0 então a operação é sucesso ou então haverá uma série de erro.

  • Se o valor do msg é 0, o comentário A do formulário <!--count=10--> mostra o número de usuários retornados, depois do mesmo número de comentários do formulário <! --NAME=jdoe, ROLE=Student--> são retornados.

Nome da operação: addlocaluser

Descrição — Adiciona uma conta de usuário local nova.

Nos Params:

  • — addlocaluser (exigido) op

  • nome de usuário da conta de usuário local username (exigido) —.

  • senha do usuário da conta de usuário local dos userpass (exigidos) —.

  • papel de usuário do nome da conta de usuário local do userrole (exigido) —.

  • nome de usuário da conta admin admin (opcional) —. Este parâmetro não é precisado se você usa a autenticação pela sessão.

  • senha da senha (opcional) — para a conta admin. Este parâmetro não é precisado se você usa a autenticação pela sessão.

Para fora Params:

  • Comentário do formulário <! --error=mesg--> é retornado. Se o valor do msg é 0, a operação é um sucesso, se não, há uma série de erro.

Nome da operação: deletelocaluser

Descrição — Suprime de uma conta de usuário local.

Nos Params:

  • — deletelocaluser (exigido) op

  • — (exigido) o qtype das cordas (“nome”, “tudo ")

  • qval (exigido) — Nome de usuário ou série vazia em caso de “tudo”

  • nome de usuário da conta admin admin (opcional) —. Este parâmetro não é precisado se você usa a autenticação pela sessão.

  • senha da senha (opcional) — para a conta admin. Este parâmetro não é precisado se você usa a autenticação pela sessão.

Para fora Params:

  • Comentário do formulário <! --error=mesg--> é retornado. Se o valor do msg é 0, a operação é um sucesso, se não, há uma série de erro.

Q. Se o temporizador de sessão é ajustado a 0 para um papel, e um usuário nesse papel fechou a máquina e foi em casa, voltou na manhã e girou a máquina sobre, o usuário é exigido entrar outra vez?

A. Uma sessão do usuário persiste até que um destes ocorra:

  • O usuário termina a rede.

  • Um administrador retrocede manualmente o usuário fora da rede.

  • O tempo de sessão para fora devido ao temporizador de sessão. Timeout de sessão, em que o usuário é deixado cair apesar do status de conexão ou da atividade. O ajuste aplica-se a todos os usuários, se autenticado localmente ou externamente.

  • O servidor de acesso limpo de Cisco determina que o usuário está conectado já não usando o temporizador ritmado.

  • O temporizador ritmado ajusta o número de minutos depois do qual um usuário é terminado a rede se inacessível por uma tentativa de conexão do servidor de acesso limpo de Cisco.

Explicações adicionais:

  • Se o temporizador de sessão é 0 e o temporizador ritmado não está ajustado, o usuário não está deixado cair dos usuários on-line e não é re-fazer logon exigido.

  • Se o temporizador de sessão é 0 e o temporizador ritmado está ajustado, a seguir o temporizador ritmado toma o efeito.

  • Se o temporizador de sessão é diferente de zero e a pulsação do coração não está ajustada, a seguir o temporizador de sessão toma o efeito.

  • Se ambos os temporizadores são ajustados, o primeiro temporizador a ser alcançado está ativado primeiramente.

  • Se os log de usuário para fora e fecham a máquina, o usuário é deixado cair dos usuários on-line e é re-fazer logon exigido.

Nota: Um cliente de Cisco Clean Access Agent não envia um pedido da saída ao servidor de acesso limpo de Cisco quando a máquina cliente é parada programada baseada na instalação de conexão baseada do acesso API de Cisco (anteriormente CleanMachine) sessão limpa.

Q. Eu assegurei-me de que o plugin de varredura do Nessus 11011 SMB na porta 445 estivesse desmarcado mas ainda aparecesse no relatório da varredura do usuário. Por que isso ocorre?

/image/gif/paws/63593/ca-mgr-faq2-3.gif

A. Se você girou sobre outros encaixes que verificam o gerenciador de LAN do Windows NT (NTLM) como 12054 vulnerabilidades da análise gramatical ASN.1 (verificação NTLM), a varredura 11011 é ativada ainda enquanto a varredura baixa e os 11011 são relatados como o tipo de informação.

Enquanto você não fez a 11011 uma vulnerabilidade, não provoca nenhuma resposta a não ser a INFORMAÇÃO no relatório.

Nota: Começando com versão 3.2.13, os usuários veem somente relatórios dos encaixes selecionados.

Q. Quando eu executo um Failover, eu ver o BANCO DE DADOS, o CREATE DATABASE, e o pg_restore da GOTA: [archiver (db)] não podia executar a pergunta: ERRO: Não pode criar mensagens de registro dos valores exclusivos em /var/log/messages ou em /var/log/ha-log. Por que isso ocorre?

A. O banco de dados inconsistente é provavelmente devido à uma edição da elevação. Se isto acontece depois que uma elevação, executa o dbupgrade.sql outra vez e relate ao Suporte técnico de Cisco os Mensagens de Erro que você vê.

Q. Pode o banco de dados limpo do Access Manager de Cisco ser perguntado remotamente com o SQL?

A. Não, o server permite somente conexões local por razões de segurança.

Q. Como eu executo um backup da base de dados manual?

A. Termine estas etapas.

  1. Entre como a raiz na caixa limpa do Access Manager de Cisco.
  2. Tipo SU – postgres para comutar o usuário aos postgres.
  3. Tipo pg_dump – controlsmartdb h 127.0.0.1 – D – f sm_back_092004.sql para criar a descarga do banco de dados. Este comando cria um arquivo chamado sm_back_092004.sql no diretório de /var/lib/pgsql.
  4. SCP este arquivo.

Q. Como eu recreio o banco de dados?

A. Emita estes comandos nesta ordem.

  1. preste serviços de manutenção à parada do perfigo
  2. SU – postgres
  3. dropdb – controlsmartdb h 127.0.0.1
  4. createdb – controlsmartdb h 127.0.0.1
  5. psql – controlsmartdb < /perfigo/dbscripts/pg_createtable.sql h 127.0.0.1
  6. saída dos postgres
  7. preste serviços de manutenção ao começo do perfigo

Q. Como diga se os serviços estão sendo executado?

A. Emita um destes comandos:

  • [to show all services running] do netstat - an

  • netstat - al | [to show web server listening] HTTP do grep

  • ps - ef | [to show web services running] HTTP do grep

  • ps - ef | [to show java services running] do grep java

Q. Que filtros eu preciso de configurar para Xbox Live?

A. Primeiramente, os filtros setup e posto o MAC address de Xbox em um papel, por exemplo, un-autenticaram o papel. Configurar então esta política para o papel.

O serviço de Xbox Live usa duas portas padrão que precisam de ser configuradas em seu papel (por exemplo, um papel un-autenticado).

  • Kerberos-SEC (UDP); Porta 88; UDP; Envie recebem

  • Pergunta DNS (UDP); Porta 53; Envie

O serviço igualmente exige duas definições do protocolo personalizado seja configurado em seu papel (por exemplo, um papel un-autenticado)

  • A porta 3074 sobre o UDP envia/recebe

  • Porta 3074 sobre o TCP de partida

O serviço igualmente exige que você configura estas portas:

  • Porta de servidor do jogo (TCP): 22042

  • Porta do bate-papo da Voz (TCP/UDP): 22043-22050

  • Porta do sibilo do par (UDP): 13139

  • Porta da pergunta do par (UDP): 6500

Nota: Se você quer permitir Xbox através dos VLAN, escave um túnel Xbox entre os VLAN usando uma destas ferramentas:

Para GameCube (você pode precisar de verificar jogos específicos):

  • Porta 4000: UDP e TCP

Para Playstation 2 (você pode precisar de verificar jogos específicos):

  • Portas TCP: 10070 - 10080

  • Portas UDP: 10070

Q. Eu transferi arquivos pela rede alguns jpgs e páginas html a ser usados para o quadro direito da página de login usando quadros. Onde estão os arquivos e como eu provejo-os?

A. Os arquivos transferidos arquivos pela rede ao Access Manager limpo de Cisco que usa a aba do upload de arquivo são ficados situados em /perfigo/control/tomcat/normal-webapps/admin no Access Manager limpo de Cisco.

Incorpore https://manageripaddress/admin/file_name.htm (para a URL) ou o src= " file_name.jpg " do <img > (para o jpg) para prover os arquivos na caixa direita do quadro.

ca-mgr-faq2-4.gif

Q. Eu Gerenciamento da largura de banda configurada para o papel não autenticado, e minha conexão (ou o Access Manager limpo de Cisco) ao servidor de acesso limpo de Cisco são agora muito lentos e cronometra ocasionalmente para fora. Por que isso ocorre?

A. Na liberação 3.2, a largura de banda de comunicação entre o Access Manager limpo de Cisco e o servidor de acesso limpo de Cisco é governada pelo papel não autenticado das configurações de largura de banda. Baseado em quais seus ajustes são, pode afetar a largura de banda de comunicação e pode ocasionalmente afetar a publicação da configuração.

Cisco recomenda que você não ajusta o gerenciamento de largura de banda para o papel não autenticado na versão 3.2 por este exemplo:

/image/gif/paws/63593/ca-mgr-faq2-5.gif

Q. Como eu encontro o número de usuários per os entrado?

A. Este primeiro comando obtém-no ao banco de dados CLI somente:

  • [Manager root] # psql - controlsmartdb h 127.0.0.1 - [ENTER] dos postgres U

O comando second obtém-lhe o vário OSes somente (um de cada vez):

  • selecione a contagem (*) do user_info ONDE os_name = “WINDOWS_ALL”;

  • selecione a contagem (*) do user_info ONDE os_name = “WINDOWS_XP”;

  • selecione a contagem (*) do user_info ONDE os_name = 'WINDOWS_98;

  • selecione a contagem (*) do user_info ONDE os_name = 'WINDOWS_95;

  • selecione a contagem (*) do user_info ONDE os_name = ' WINDOWS_ME;

  • selecione a contagem (*) do user_info ONDE os_name = 'WINDOWS_2K;

  • selecione a contagem (*) do user_info ONDE os_name = “MAC_ALL”;

  • selecione a contagem (*) do user_info ONDE os_name = “MAC_OSX”;

  • selecione a contagem (*) do user_info ONDE os_name = “LINUXS;

Q. O CAM apoia a autenticação do EAP-TLS ou EAP-TTLS?

A. Não, CAM não apoia a autenticação do EAP-TLS e EAP-TTLS.

Q. O que faz este erro do [Failure]: “A falha [1.3.6.1.4.1.9.9.215.1.1.5.0]:No SNMP Mensagem de Erro de tal nome” ocorre no interruptor?

A. Esta edição ocorre geralmente quando você tenta mudar ajustes na aba > no gerenciamento de switch > nos dispositivos > no interruptor das PORTAS do CAM. Corrija as séries de comunidade snmp na configuração CAM a fim resolver esta edição.

Q. Como eu adiciono um servidor de acesso limpo (CAS) no Access Manager limpo (CAM)?

A. Você tem que configurar o ACS no CAM como um server autorizado de modo que o CAM estabeleça uma conexão a CAS. Agora você pode adicionar CAS no CAM. Consulte para configurar a autorização Gerente-à-limpa do servidor de acesso do acesso limpo para obter mais informações sobre de como adicionar CAS ao CAM.

Q. Porque faz o “incapaz de ler o CERT encontrado em /root/.chain.crt NAC segura somente a exceção de ...java.io.IO do <= 2048 das chaves RSA: chave sujeita, especs. desconhecidas da chave: Tamanho inválido do módulo RSA.” o Mensagem de Erro aparece?

A. Verifique o certificado que é usado. O acesso limpo de Cisco apoia somente 1024- e comprimentos chaves 2048-bit RSA para Certificados SSL.

Q. Quando eu tento salvar a executar-configuração do interruptor com o SNMP, eu obtenho não estado salvar a mensagem de erro de configuração running. Por que este erro ocorre e como pode este ser resolved?

A. Não estado salvar a mensagem de erro de configuração running ocorre quando o tempo tomado para salvar a executar-configuração é mais do que o grupo do intervalo, que faz com que o processo salvar a configuração para falhar. Aumente o tempo para fora avaliam a fim resolver este erro. A fim mudar o intervalo, escolha o Gerenciamento OOB > os perfis > o receptor SNMP > avançou ajustes e snmp timeout da mudança a um valor mais alto.

Q. Que portas eu preciso de abrir entre agentes CAM e de CAS, CAM/CAS e AD, de CAS e NAC?

A. As portas que você precisa de abrir entre o CAM e o CAS ambas as maneiras são TCP: 443, 1099, 8995 e 8996

As portas que você precisa de abrir entre CAM/CAS e AD são TCP: 88, 135, 389, 445, 636, 1025, 1026 e 3268 UDP: 88, 389, 636 e 3268.

As portas que você precisa de abrir entre CAS e clientes (agente NAC) são TCP: 443 UDP: 8905, 8906.

Refira a conectividade de porta para mais informação.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 63593