Segurança : Cisco Secure Access Control Server para Windows

Troubleshooting do server do controle de acesso seguro (ACS 3.x e 4.x)

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento descreve como resolver problemas do o Cisco Secure Access Control Server (ACS) e solucionar as mensagens de erro.

Para obter informações sobre de como pesquisar defeitos o Cisco Secure Access Control System (ACS 5.x e mais tarde), refira o Troubleshooting do sistema de controle de acesso seguro (ACS 5.x e mais tarde).

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

A informação neste documento é baseada na versão 3.3 e 4.x do Serviço de controle de acesso Cisco Secure (ACS).

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Problema: Os recursos necessários pelo CiscoSecure Install são travados

Você pode experimentar este problema quando você promove seu servidor ACS.

Solução

Se você tem arquivos de registro velhos demais, você precisa de cancelar do “os logs da configuração logging local”.

Altere o registo do ACS para manter os últimos três arquivos.

  1. No ACS GUI, escolha a configuração de sistema > o controle de serviço. Verifique a caixa do diretório do controlo e selecione-a para manter somente os últimos três arquivos. Então reinicie o ACS e teste a elevação.

  2. Se a opção #1 não trabalha, você pode tentar remover manualmente alguns arquivos de registro.

    Você deve sempre copiar os arquivos a um dobrador dedicado antes que você suprima d.

    1. Na unidade local do Windows Server, onde o ACS para Windows é instalado, escolha o dobrador dos arquivos de programa > do Cisco Secure ACS.

    2. Suprima de todos os logs sob cada um destes dobradores:

      • * Csauth

      • * CSLog

      • * CSDbsync

      • * CSAdmin

      • * CSRadius

      • * CSTacacs

      • * CSMon

    3. Reinicie o PC e reexamine a elevação.

Problema: Não pode suprimir do servidor AAA, o servidor AAA é um sócio da sincronização

Não pode suprimir do servidor AAA, o servidor AAA é um sócio que da sincronização o Mensagem de Erro pode aparecer quando você suprime da entrada sob a configuração de rede.

Solução

Termine estas etapas em ordem resolvem esta edição:

  1. Escolha a configuração da interface, e verifique a caixa de verificação da sincronização de RDBMS

  2. Escolha a configuração de sistema > a sincronização de RDBMS e remova o servidor AAA que não pode ser suprimido do grupo AAA que está no sócio da sincronização

  3. Você pode agora suprimir do Grupo de servidores AAA.

Problema: 127.0.0.1 é um endereço reservado

Você tem duas unidades de ACS SE 1113 e quê-las replicate o banco de dados interno de preliminar a secundário, mas você observa este Mensagem de Erro na unidade secundária:

Inbound database replication from ACS <secondary ACS unit name> denied - shared
    secret mismatch

Quando você tenta alterar a chave do auto do servidor AAA sob a configuração de rede o Mensagem de Erro está retornado.

http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-server-windows/99449-acsfolder-error-02.gif

Solução

A fim resolver o problema do auto de 127.0.0.1, você pode alternativo e restauração que o .DMP arquiva em uma instalação de atualização do ACS para Windows 4.2 e altera a entrada de 127.0.0.1 com o endereço IP desejado.

Nota: A identificação de bug Cisco CSCso36620 (clientes registrados somente) indica que o comando NIC do pino de madeira muda o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor AAA a 127.0.0.1 no GUI. A fim restaurar o endereço IP original no dispositivo, emita o comando set ip.

Problema: Falha de autenticação para o interruptor do nexo

A autenticação do nexo 5010 não trabalha com TACACS+. Este Mensagem de Erro pode igualmente aparecer:

Message-Type : Authen failed
Authen-Failure-Code : Key Mismatch

Solução

O segredo compartilhado definido sob o NDG toma a precedência sobre o dispositivo individualmente configurado. Olhe o segredo compartilhado configurado sob a PANCADA FSW do século NDG, e certifique-se que combina com esse configurado no interruptor do nexo.

Problema: ACS 1113 SE - Incapaz de atribuir o endereço IP estático

Esta edição ocorre quando você é incapaz de configurar o IP address estático em ACS 1113 SE.

Solução

A fim resolver esta edição, instale a correção de programa applACS-4.1-set-ip-CSCsm73656-Patch.zip, que está disponível das transferências de Cisco (clientes registrados somente). A correção de programa sere todas as versões ACS SE 4.1.

Problema: O servidor primário não é Prempt

Quando os servidores primários de ACS vão para baixo, você autentica usuários com o servidor secundário. Quando o preliminar está acima outra vez, seus usuários estão autenticados ainda contra o secundário, mesmo que o preliminar esteja sendo executado outra vez.

Solução

À revelia, o ASA trabalha no modo de prostração. Mude-o a modo programado de modo que quando o servidor primário de ACS se torna ativo você possa retornar a autenticação ao preliminar.

Você pode usar-se:

host(config)# aaa-server <tag> protocol radius
host(config)# reactivation mode timed
host(config)# aaa-server acsgroup deadtime 0

Opcional: Especifique a quantidade de tempo nos minutos com o deadtime, entre zero e 1440, que decorre entre quando o último server no grupo é desabilitado e quando todos os server re-estão permitidos. O padrão é dez minutos.

Problema: Não pode ajustar a configuração de NIC nova

Esta edição ocorre quando você configura o endereço IP estático em ACS 1113 SE.

Solução

A fim resolver esta edição, tente à nova imagem o software.

Problema: A pasta do ACS é travada por um outro aplicativo

A pasta do ACS é travada por um outro mensagem de erro de aplicativo aparece durante uma elevação de software ACS, tal como a elevação da versão 3.3 à 4.0

Use estas soluções a fim resolver o problema.

Solução 1

Conclua estes passos:

  1. Na janela de ACS, verifique a configuração de sistema > o controle de serviço > a verificação a caixa de verificação do diretório do controlo.

  2. Incorpore um valor, tal como 3, ao mantimento somente a última caixa do _arquivos do _.

  3. Reinício. A elevação é provável trabalhar.

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-server-windows/99449-acsfolder-error-1.gif

Solução 2

Se a solução 1 não resolve a edição, termine estas etapas:

  1. Backup o banco de dados ACS atual.

    Refira a seção alternativa do Cisco Secure ACS do Guia do Usuário para o server do Cisco Secure ACS for Windows para obter mais informações sobre de como executar o backup do banco de dados ACS.

  2. Execute o arquivo clean.exe a fim desinstalar a versão existente ACS 3.3 (ou seu). Este arquivo é ficado situado no CD sob utilidades ACS/apoio/limpa.

  3. Reinstale ACS 3.3 do CD.

  4. Restaure seu banco de dados do arquivo que você salvar em etapa 1.

    Refira a seção da restauração do sistema do Cisco Secure ACS do Guia do Usuário para o server do Cisco Secure ACS for Windows para obter mais informações sobre de como restaurar o banco de dados ACS.

  5. Promova o ACS à versão 4.0.

    Refira o Guia de Instalação para a versão de servidor 4.0 do Cisco Secure ACS for Windows para obter mais informações sobre dos procedimentos de upgrade.

Problema: Erro de evento

Durante a partida, o ACS SE recebe o pelo menos um serviço ou direcionador falhado durante a partida. use o visualizador de eventos para examinar o log de eventos para o Mensagem de Erro dos detalhes.

Solução

Este erro no ACS SE não afeta algumas das funcionalidades de ACS. É um erro de Microsoft Windowsleavingcisco.com . Este erro aparece porque o monitor, o rato e o teclado não podem ser usados no dispositivo e são desabilitados à revelia.

A ferramenta ACS é um sistema endurecido, fechado-para baixo e é projetada com Segurança na mente. Os indicadores dos usos do dispositivo reforçam a imagem, que tem todos os serviços e conexões redundantes parados. É feita para manter para fora todos os vírus, worms, e atacantes DDoS. Daqui não há nenhum VNC, prompt do DOS, ou nenhuma outra maneira alcançar a configuração dos indicadores. Os serviços como o rato, o teclado e o monitor são fechados.

Em raras ocasiões, indica que algo está corrompido na imagem do dispositivo. Se você criar nova imagem o dispositivo, fixa a edição na maioria dos exemplos. Você pode tentar criar nova imagem também o ACS.

Problema: Pedido ruim do NAS

Este Mensagem de Erro aparece:

Bad request from NAS
OR
Authen-Failure-Code=Invalid message authenticator in EAP request 

Solução

Este Mensagem de Erro aparece geralmente devido a uma má combinação na chave secreta compartilhada ou como neste caso NDG definida com uma chave que cancela a chave do cliente de AAA.

Problema: Incapaz de instalar a versão de ACS 3.3.3 em ACS 1113

Incapaz de instalar mais cedo imagens do que a versão 4.0 em ACS SE 1113.

Solução

Somente o ACS 4.0 e mais atrasado pode ser executado em ACS SE 1113. Refira o melhoramento e a migração ao Cisco Secure ACS da solution engine para obter mais informações sobre de como promover ACS SE.

Problema: Razão: está sendo editado atualmente em outra parte

Quando você abre a página ACS, você pode receber este erro: Razão: está sendo editado atualmente em outra parte.

Solução

Reinicie os serviços ACS a fim resolver esta edição.

Problema: O serviço do agente remoto não começará

O usuário não pode executar o serviço remoto do agente.

Solução

O usuário deve ser um usuário do admin local para que o serviço comece.

Problema: “Erro: Tipo do AUTH não apoiado pelo DB externo” durante a autenticação de usuário

O tipo do AUTH não apoiado pelo erro externo DB aparece durante a autenticação de usuário.

Solução

Este erro aparece porque o protocolo de autenticação chap não é apoiado no diretório ativo do banco de dados de Microsoft Windows (AD) quando você usa a versão de ACS 3.3. A fim resolver esta edição, use o PAP em vez da RACHADURA. Refira a compatibilidade do Protocolo-banco de dados da autenticação para obter mais informações sobre da compatibilidade do Protocolo-banco de dados para a versão de ACS 3.3.

Problema: Incapaz de permitir o sibilo ao ACS

Incapaz de sibilar ACS SE.

Solução

Desligue o agente de CSA na configuração de sistema --> configuração de ferramenta a fim permitir mais cedo a resposta de ping em versões ACS SE a 4.2. Para as versões de ACS 4.2 e uma transferência mais atrasada e instale a correção de programa disponível do cisco.com. Refira o sibilo de giro sobre e fora para mais informação.

Problema: Do “a mensagem em andamento da elevação dispositivo” é mostrada mesmo depois que a elevação ACS está completa.

A mensagem em andamento da elevação do dispositivo aparece, mesmo depois que a elevação ACS está completa.

Solução

O ACS é golpeado após a elevação e não pode enfiar ou parar nenhuns serviços.

Para resolver esse problema, siga estas etapas:

  1. Log na ferramenta ACS com uma conta admin diferente.

  2. Na elevação do dispositivo atual sob a ABA de configuração de sistema, pressione o refrescamento ou o botão da transferência.

    Refira a identificação de bug Cisco CSCsg89042 (clientes registrados somente) para mais informação.

    Se você é incapaz de usar o GUI, tente recarregar a ferramenta ACS a fim resolver a edição.

Problema: A senha restaurou após a replicação

Após a replicação, a senha nova obtém a restauração à senha antiga.

Solução

Esta edição ocorre porque os usuários não autenticam ao ACS preliminar. Uma vez que a replicação ocorre, o preliminar empurra suas políticas para o ACS secundário porque a replicação não é bidirecional. Isto faz com que a senha seja restaurada à senha antiga.

A fim resolver esta edição, autentique o usuário ao ACS preliminar, se possível.

Problema: Edição DST no ACS

As edições DST são consideradas no ACS.

Solução

A fim resolver a edição do horário de verão (DST) com ACS, transfira e instale estas correções de programa:

  1. applAcs-4.1.4.13.7-CSUpdate.zip

  2. applAcs-4.1.4.13.7.zip

    Nota: Aplique a correção de programa do csupdate primeiramente. Instale então a correção de programa cumulativa.

Problema: “Erro: Não obtêm a configuração de NIC: (zero) (FFFFFFFF)” na ferramenta ACS

O erro: Não obtêm a configuração de NIC: (zero) (FFFFFFFF) o erro aparece na ferramenta ACS.

Solução

Este erro aparece geralmente se a versão correta da imagem ACS não é usada na ferramenta ACS. É mais de um problema de compatibilidade. Criar nova imagem a ferramenta ACS a fim resolver esta edição.

Refira criar nova imagem o disco rígido do dispositivo para obter mais informações sobre de como criar nova imagem a ferramenta ACS.

Problema: Incapaz de desabilitar SSHv1 permita somente SSHv2 na ferramenta ACS

Incapaz de desabilitar SSHv1 e deixar somente o SSHv2 permitido na ferramenta ACS.

Solução

Agora não é possível desabilitar SSHv1 e deixar somente SSHv2 permitido. SSHv1 e SSHv2 são permitidos junto e não podem ser desabilitados individualmente.

Problema: Incapaz de restaurar a ferramenta ACS ao padrão de fábrica

Esta seção detalha o que fazer se você é incapaz de restaurar a ferramenta ACS às instalações padrão de fábrica.

Solução

O comando da restauração-configuração dos acs inclui uma opção para restaurar a configuração que, quando emitida, restaura toda a informação de configuração ACS, mas retém os ajustes do dispositivo tais como a configuração de rede. Se você o quer olhar exatamente como o padrão de fábrica, você precisa de criar nova imagem o dispositivo.

Problema: Autenticação TACACS+ falhada com o ACS com a edição NDG

Esta seção explica porque a autenticação falha com TACACS+ quando um grupo de dispositivo de rede (NDG) é configurado.

Solução

O mesmo cliente de AAA é traçado a dois NDGs diferente, a um como um cliente RADIUS e ao outro como um cliente TACACS, e a autenticação do banco de dados externo do nível NDG é permitida para o NDG com o cliente RADIUS.

Os usuários TACACS+ são configurados no banco de dados interno ACS. Quando o pedido da autenticação TACACS+ vem, o ACS olha no NDG, onde o mesmo cliente é configurado como o RAIO.

A fim evitar este problema, remova a caixa de verificação da autenticação do banco de dados externo do RAIO NDG.

Problema: Banco de dados externo de Windows não operacional

Esta seção explica porque alguma autenticação de usuário falha com externo um erro não operacional do banco de dados.

Solução

Está aqui uma lista de causas possíveis e de suas soluções:

  • A versão do agente remoto (RA) morre não fósforo a versão de ACS. Instale a versão correta do RA.

  • Os serviços do agente remoto são parados. Reinicie os serviços RA.

  • Promova o ACS à versão disponível a mais atrasada.

Problema: Usuário externo DB inválido ou senha ruim

Esta seção explica porque você recebe o usuário externo DB inválido ou o erro da senha ruim para a autenticação no ACS.

Solução

Reveja estes dicas de Troubleshooting a fim resolver esta edição:

  • Se algum muda relacionado à sociedade AD ou o nome de sistema está feito no servidor ACS, certifique-se recarregá-lo para que as mudanças tomem o efeito.

  • Verifique a Conectividade entre o ACS e o servidor de domínio.

  • As políticas de segurança no servidor de domínio devem permitir que o ACS pergunte o username no diretório ativo.

  • Certifique-se de que há uma confiança em dois sentidos que exista entre o ACS e o servidor de domínio.

  • Certifique-se de que o ACS está instalado em um server que tenha o Local e os privilégios de DomainAdmin.

  • Certifique-se que o nome de usuário e senha está correto.

Problema: Erro no ACS quando alcançado usando IE8

O faultCode: Server.Error.Request que faultString: Do “faultDetail do erro pedido do HTTP”: “Erro: [Erro #2032"] do text= do cancelable=false eventPhase=2 do bubbles=false " do " ioError do type=” de IOErrorEvent. URL: erro de /acsview/LoadAuthenticationTrendsPortlet.do o” ocorre no ACS quando o ACS é alcançado usando o internet explorer 8 (IE8).

Solução

Este erro ocorre porque IE8 não é apoiado pelo ACS. Use um outro navegador a fim resolver esta edição.

Problema: Erro do “tipo eap_peap não configurado”

O tipo erro não configurado do eap_peap ocorre no ACS quando você tenta executar uma autenticação wireless.

Solução

Este erro ocorre no ACS devido a uma destas razões:

  1. O suplicante que pede para a autenticação EAP-PEAP não é configurado no ACS. Permita o EAP-MSCHAPv2 e o EAP-GTC da página da autenticação global, e desabilite a SESTA no servidor primário a fim resolver a edição.

  2. Quando um usuário Wireless tenta autenticar através do servidor ACS, o início de uma sessão falha e o Mensagem de Erro é tipo EAP_PEAP não configurado. Isto ocorre ao autenticar com um configurado pelo usuário no banco de dados de Microsoft Windows AD, assim como ao autenticar com um usuário no banco de dados ACS local.

  3. Quando o WLC usa o chave-envoltório para FIP, mas o ACS não esteve configurado para o mesmos. Configurar o mesmos no ACS a fim resolver a edição.

Problema: Incapaz de fazer a solution engine de abertura local do Cisco Secure ACS em vez de usar a capacidade do logging remoto do agente do telecontrole do Cisco Secure ACS

A edição é a incapacidade executar o local que entra a solution engine do Cisco Secure ACS em vez de usar a capacidade do logging remoto do agente do telecontrole do Cisco Secure ACS.

Solução

É possível executar o local que entra a solution engine do Cisco Secure ACS em vez de usar a capacidade do logging remoto do agente do telecontrole do Cisco Secure ACS. Contudo, o local que entra a solution engine do Cisco Secure ACS é forçado em tamanho. Isto força arquivos de registro para ser reciclado após sete dias. O agente remoto do Cisco Secure ACS fornece completamente, potencialidade de registro unconstrained a um servidor remoto.

Problema: Como você gera a lista completa de todos os usuários junto com seu método atual da autenticação de senha?

Com ACS 4.2, os usuários são autenticados por métodos diferentes tais como Windows/LDAP/OTP. Há uma maneira de preparar uma lista completa dos usuários com seus métodos de autenticação de senha?

Solução

Isto é demorado se executado manualmente. Há uma maneira de executar automaticamente isto com a liberação 4.2.1.15 ACS.

Conclua estes passos:

  1. Tome o backup do banco de dados interno ACS.

  2. Execute o CSUtil.exe - comando do dumpUSERS.

    Isto gera um arquivo de texto “userauditinfo.txt” que contenha o método de autenticação de senha usado para todos os usuários disponíveis.

Problema: O ACS é incapaz de controlar o delimitador do endereço MAC

O ACS é incapaz de controlar o delimitador do endereço MAC. O delimitador não pode ser mudado ou adicionado.

Solução

O ACS não é projetado controlar o delimeter do endereço MAC e não pode mudar ou adicionar o delimeter. O cliente ou o WLC controlam o delimitador.

Problema: “Não exportam a base de dados de usuário. Verifique por favor lá é o espaço de disco suficiente tornam a colocar em funcionamento então a instalação. Estabelecer retirará agora.”

O problema é o backup de base de dados não pode ser restaurado ao promover o ACS para Windows. Um Mensagem de Erro do espaço em disco insuficiente é recebido.

Solução

Termine esta ação alternativa:

  1. Recolha um backup de seu banco de dados.

  2. Desinstale o software ACS usando a utilidade limpa que está disponível nos pacotes FULL dos arquivos de instalação da versão de ACS.

  3. Reinstale o software com a mesma versão.

  4. Execute uma restauração do banco de dados.

  5. Promova a versão de ACS outra vez.

Problema: O ACS é incapaz de juntar-se ao domínio e ao usuário do diretório ativo incapazes de autenticar

O ACS não pode juntar-se ao domínio do diretório ativo e o usuário não pode autenticar. Um erro do enviesamento do pulso de disparo é recebido.

Solução

Esta edição pode ser resolvida mudando o fuso horário e o momento no ACS combinar o fuso horário e o tempo no diretório ativo.

Problema: Não podia gerar a senha válida para executar o teste do AUTH

Não podia gerar a senha válida para executar o Mensagem de Erro do teste do AUTH aparece no ACS.

Solução

A fim resolver esta edição, vá à configuração de sistema e clique o Gerenciamento da senha local. Certifique-se que o comprimento da senha não é mais do que os caráteres 9. Se é então certifique-se mudar o comprimento entre a 4 e 8 caráteres.

Problema: Não pode entrar a Cisco ACS, toda a administração que as portas são atualmentes em uso

Ao autenticar como um administrador, uma mensagem bem sucedida é recebida. Então, você é encaminhado rapidamente a uma página que mostre não possa entrar ao CiscoSecure ACS, toda a administração que as portas são atualmentes em uso. Contacte o administrador de sistema para mais detalhes. Isto ocorre em ACS 4.X.

Solução

Este Mensagem de Erro indica que a faixa de porta atribuída para o automóvel GUI reorienta totalmente está reservada e usada por outro. A fim resolver isto, termine este procedimento:

  1. Pare o serviço do csadmin e tente-o então entrar.

  2. Verifique a política de alocação da porta de HTTP para o administrador. O trajeto completo é mostrado aqui:

    O controle de administração > a política de acesso > a atribuição da porta de HTTP > restringem sessões da administração ao seguinte intervalo de porta da porta n para mover n

  3. Aumente a escala das portas conforme a exigência. Para mais informação, refira a Configuração HTTP.

  4. Especifique pouco quietude-tempo-para fora da sessão na política da sessão. O trajeto completo é mostrado aqui:

    Idle timeout da política do controle de administração > da sessão > da sessão

    Para mais informação, refira a política da sessão.

  5. Às vezes, recarregar o ACS pode igualmente ajudar a resolver esta edição.

Problema: Operação ODBC falhada com a informação seguinte: [Adaptive Server Anywhere] do [ODBC Driver] do [Sybase] do message= .....

Este erro é recebido na versão de ACS 4.X: Operação ODBC falhada com a informação seguinte: [Adaptive Server Anywhere] do [ODBC Driver] do [Sybase] do message= ......

Solução

A versão de ACS 4.0 não instala corretamente se o servidor de sybase é instalado na mesma máquina. Em certos casos, quando os CiscoWorks e o ACS são usados na mesma máquina, este Mensagem de Erro aparece e os problemas da instalação de ACS elevaram. Isto ocorre porque os CiscoWorks usam Sybase para um banco de dados. A fim evitar este erro, você precisa de assegurar-se de que não haja nenhum outro aplicativo que usa o SQL em qualquer lugar nesse PC a fim instalar com sucesso o software. Refira as notas que a seção à vista de instala ou promova o ACS para mais informação.

Problema: Incapaz de integrar o ACS com diretório ativo

Incapaz de integrar o ACS com diretório ativo, e o Mensagem de Erro do erro do status de porta do samba é recebida.

Solução

A fim resolver este problema, certifique-se que estas portas estão abertas apoiar a funcionalidade do diretório ativo:

  • Porta do samba - TCP 445

  • LDAP - TCP 389

  • LDAP - UDP 389

  • KDC - TCP 88

  • kpasswd - TCP 464

  • NTP UDP 123

  • Catálogo global - TCP - 3268

  • DNS - UDP 53

O ACS precisa de poder alcançar todos os DC no domínio para que a integração ACS-AD esteja completo. Mesmo se um dos DC não é alcançável do ACS, a integração não aconteceria. Refira a identificação de bug Cisco CSCte92062 (clientes registrados somente) para mais informação.

Problema: O ERRO de CSCOacs_Internal_Operations_Diagnostics não podia ligar o barramento da mensagem

Por que eu recebo o ERRO de CSCOacs_Internal_Operations_Diagnostics não poderia começar a mensagem de erro de barramento da mensagem no ACS?

Solução

Este é um erro cosmético e não é um problema grave enquanto nenhum do desempenho da autenticação/authorizations/ACS é afetado e indica somente que a conexão do barramento do mensagem interna está sendo restabelecida.

Problema: 13017 recebeu o pacote TACACS+ do dispositivo ou do cliente de AAA da rede desconhecida

Por que eu recebo o pacote recebido 13017 TACACS+ do Mensagem de Erro do dispositivo ou do cliente de AAA da rede desconhecida no ACS?

Solução

Este erro vem geralmente acima de quando ou a relação direita não é configurada como o cliente de AAA no ACS, ou quando o endereço IP de Um ou Mais Servidores Cisco ICM NT configurado no ACS está obtendo natted. Ou seja o endereço IP de Um ou Mais Servidores Cisco ICM NT direito não está contactando o ACS que está causando este erro. Isto pode igualmente vir acima se o comando da interface de origem <interface-name/id> dos tacacs IP é edições no roteador, mas algum outro endereço IP de Um ou Mais Servidores Cisco ICM NT está usado no ACS como o endereço do cliente de AAA. Também, desabilitando único-conecte em IO pôde ajudar a resolver este problema.

Problema: Incapaz de suprimir da história da autenticação (sucessos ou falhas do RAIO) e dos Syslog do ACS

Incapaz de suprimir da história da autenticação (sucessos ou falhas do RAIO) e dos Syslog do ACS.

Solução

Não é possível suprimir da história da autenticação do ACS. Também, os logs que são enviados porque os Syslog ao ACS próprios não podem ser suprimidos.

Problema: Processo de gerenciamento em não ser executado e em mostras “que são executado (o HTTP é nonresponsive)”

O processo de gerenciamento não está sendo executado e está sendo executado das mostras do processo de gerenciamento (o HTTP é nonresponsive).

Solução

Esta edição pode ser resolvida restaurando um backup mais velho da configuração seguida reimaging e recarregando o ACS.

Problema: Posso eu usar um token do Secure ID com backup SFTP o banco de dados ACS?

Solução

Não, isto não é possível. O SFTP precisa um nome de usuário/senha estáticos. Ao usar um Secure ID, não pode fornecer um nome de usuário/senha estáticos.

Problema: Incapaz de filtrar os relatórios usando o visor interativo

Ao tentar filtrar relatórios ACS usando o visor interativo; todos os botões são desabilitada para fora e as opções de menu clicar com o botão direito não são povoadas corretamente. O internet explorer 8 é o navegador usado.

Solução

Este podia ser um problema relacionado do navegador. Tente outros navegadores como Firefox a fim conseguir isto trabalhar. Você poderia igualmente tentar permitir de “a opinião Compatitibility” em IE8 de fazer coisas aparecer corretamente.

Problema: A alerta da autenticação aparece somente para a primeira conexão e não para conexões subsequente

Quando um host de Windows XP envia através do pedidos do 802.1x ao ACS através de um 3750G Switch, há uma alerta da autenticação somente a primeira vez que o dispositivo tenta conectar ao interruptor. Todas as conexões subsequente são feitas sem uma autenticação. Por que isto acontece e como pode a alerta da autenticação ser feita para aparecer cada vez que uma conexão é feita?

Solução

A fim resolver a edição, para ir às conexões de rede > à conexão de área local > às propriedades > à autenticação, e para certificar-se da informação sobre o usuário do esconderijo para conexões subsequente a esta opção de rede é desmarcada.

Problema: A alerta da autorização aparece ao usar dispositivos de Apple com ACS

Por que uma alerta da autorização valida o certificado aparece ao usar dispositivos de Apple com ACS? Posso eu parar esta alerta da autorização de aparecer?

Solução

A alerta da autorização é gerada por iDevices de Apple e não pelo ACS. Não há nenhuma maneira de configurar o ACS de tal maneira que o dispositivo de Apple parará de mostrar a alerta da autorização.

Problema: Mensagem de Erro ACS - Não todos os grupos do diretório ativo do usuário são recuperados com sucesso…

Porque é não todos os grupos do diretório ativo do usuário são recuperados com sucesso. Uns ou vários do nome canônico do grupo não eram Mensagem de Erro recuperado visto no ACS?

Solução

Esta edição ocorre porque os caráteres do unicode são usados no nome do grupo no AD. Desde que o ACS vê grupos AD como o texto de ASCII, os caráteres do unicode não são traduzidos corretamente. Em consequência, a membrasia do clube não é recuperada. Remova o caráter do unicode da configuração AD a fim resolver esta edição.

Problema: O ACS não registra pedidos da autenticação de proxy

O ACS não registra pedidos da autenticação de proxy mesmo que o raio que proxying seja permitido.

Solução

O ACS não registra pedidos da autenticação de proxy. O ACS toma-o somente o pedido e para a frente ao servidor proxy. Os logs serão somente visíveis no servidor Radius do proxy. O ACS não contribui qualquer coisa ao processamento da autenticação/contabilidade do pacote. Em consequência, nenhuma mensagem é ACS entrado para pacotes proxied.

Problema: O ACS perde a configuração quando o repositório é criado do GUI

O ACS perde a configuração quando o repositório está criado do GUI depois que as alterações estão feitas no CLI.

Solução

Se você cria o repositório do GUI, depois que as alterações estão feitas usando o CLI, o ACS perde a configuração e este é o comportamento esperado. Quando você para e começa o ACS, o repositório estará recreado baseou na configuração armazenada pelo GUI. As alterações feitas no CLI a um repositório criado pelo GUI não serão transportadas à configuração do aplicativo ACS.

Problema: Incapaz de usar uma sessão SSH para o atributo “Início de uma sessão-serviço” do RAIO IETF

Incapaz de usar uma sessão SSH para o atributo “Início de uma sessão-serviço” do RAIO IETF.

Solução

Não é possível usar uma sessão SSH para o atributo “Início de uma sessão-serviço” do RAIO IETF porque os atributos ACS IETF são um padrão por-RFC e não há nenhuma maneira que todas as mudanças podem ser feitas nele.

Problema: O erro “valor demasiado por muito tempo (nome de servidor ACS, TacacsAuthentication), os detalhes do alarme é “considera por favor o log do coletor para o "" dos detalhes

O valor demasiado por muito tempo (server Name>, TacacsAuthentication <ACS), detalhes do alarme é “considera por favor que o log do coletor para Mensagem de Erro dos detalhes” está recebido.

Solução

Verifique cada um destes artigos a fim resolver este problema:

  • Verifique que a porta de Console do ACS tem um cabo conectado a ela.

  • Remova todos os cabos desnecessários.

  • Assente o cabo se é conectado a um servidor terminal.

Problema: A mudança da senha de usuário local ACS 4.x não trabalha com os dispositivos de IOS que executam SSH v1

Quando um usuário conecta com o SSH ao sistema e usa uma senha de TACACS expirada, estão alertados para mudar sua senha. Contudo, esta mudança da senha não está trabalhando corretamente.

Solução

A fim fixar esta edição, você precisa de ter SSH v2 com do “autenticação interativa teclado” para o SSH v2 ajustado. A identificação de bug Cisco CSCin91851 (clientes registrados somente) discute este comportamento.

Problema: O logging remoto não está trabalhando para ACS 4.2

O agente remoto ACS é incapaz aos mensagens de registro da solution engine ACS, e este Mensagem de Erro é recebido:

CSLogAgent - Não pode obter o número máximo de maxNumberOfConnections das conexões usando o padrão 32

Solução

Tente desinstalar o agente remoto do servidor membro, e reinstale-o com a conta de usuário de domínio.

Um dispositivo de IOS usando o TACACS+ para autenticar os usuários do ACS reserva a seu banco de dados local

Em que encenação um dispositivo do IO usando o TACACS+ autenticaria os usuários da reserva ACS a seu banco de dados local?

Solução

Um dispositivo de IOS usando o TACACS+ a fim autenticar os usuários do ACS reserva a seu banco de dados local nestas duas encenações:

  • Quando o server ACS (TACACS+) não responder. Nos IO debugar mensagens, você verá o “intervalo” em contactar o server TACACS+. Neste caso, se uma reserva é configurada a um banco de dados local, os IO querem a reserva aos usuários do banco de dados local.

  • Quando o server TACACS+ enviar um Mensagem de Erro em resposta a um pedido de autenticação.

Problema: Erro da configuração: O valor ilegal “nome” da enumeração na chave CiscoACS\Dictionaries\005\002\Enumerations - tipo incorreto, deve ser int

Este Mensagem de Erro é considerado ao adicionar um UDV novo e seus VSA no CSUTIL de utilização ou na sincronização de RDBMS ACS 4.1:

Config Error: Illegal
  enumeration value 'Name' in key CiscoACS\Dictionaries\005\002\Enumerations -
  wrong type, must be int

Solução

Esta edição ocorre quando os VSA são adicionados em ACS 4.1.4.13. Refira a identificação de bug Cisco CSCsq36428 (clientes registrados somente) para mais informação.

Problema: O serviço do Microsoft Windows server podia permitir a execução de código remota

A solution engine 4.2.0.124 ACS foi feita a varredura e encontrada para ser vulnerável à vulnerabilidade MS08-67, descrita como: O serviço do Microsoft Windows server podia permitir a execução de código remotaleavingcisco.com .

Solução

Aplique o nome de arquivo appl_w2K3_hotfix_kb958644.zip da correção de programa (clientes registrados somente) na solution engine ACS. Refira a identificação de bug Cisco CSCsy71711 (clientes registrados somente) para mais informação.

Problema: Erro: Não pode inicializar SchemeLayer

Não pode inicializar o Mensagem de Erro de SchemeLayer é recebido ao executar CSUtil.exe - u.

Solução

Conclua estes passos:

  1. Rebatize o dobrador sob a conta admin que instalou o aplicativo atual nos documentos do lugar e no settings\administrator\applicationdata\Microsoft\Crypto\RSA\S-1-5xxxxxxxxxx.

  2. Reinicie os serviços ACS.

Isto cria um outro dobrador e fixa o api cripto quebrado. Refira a identificação de bug Cisco CSCse90116 (clientes registrados somente) para mais informação.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 99449