Segurança : Cisco Secure Access Control System

Sistema de controle de acesso seguro 5.x e FAQ mais atrasado

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Perguntas


Introdução

Este documento responde às perguntas mais frequentes (FAQ) relativas ao Cisco Secure Access Control System (ACS) 5.x e versões posteriores.

Problemas relacionados da autenticação

Q. Podem alguns usuários/grupos do base de dados interno ACS 5.x ser excluídos da política da senha do usuário (a administração do sistema > usuários > ajustes da autenticação)?

A. À revelia, cada usuário do base de dados interno deve seguir com a política da senha do usuário. Atualmente, nenhuns usuários/grupo do base de dados interno ACS 5.x pode ser excluído.

Q. Podem alguns administradores GUI de ACS 5.x ser excluídos da política administrativa da senha do usuário (a administração do sistema > administradores > ajustes > autenticação)?

A. À revelia, cada usuário administrativo GUI deve seguir com a política administrativa da senha do usuário. Atualmente, nenhum usuário administrativo de ACS 5.x pode ser excluído.

Q. O ACS 5.x fornece o apoio para ferramentas de VMware?

A. Não. Atualmente, as ferramentas de VMware não são apoiadas com versão de ACS 5.x. Refira a identificação de bug Cisco CSCtg50048 (clientes registrados somente) para mais informação.

Q. Que são os protocolos de autenticação de EAP apoiados para ACS 5.x quando o LDAP é configurado como a loja da identidade?

A. Quando o LDAP é usado como a loja da identidade, o ACS 5.2 apoia protocolos PEAP-GTC, EAP-FAST-GTC, e de EAP-TLS somente. Não apoia o MSCHAPv2 EAP-FAST, o EAP-MSCHAPv2 PEAP, e o EAP-MD5. Para mais informação, refira a compatibilidade do protocolo de autenticação e da base de dados de usuário.

Q. Por que a autenticação para o WLC com o raio do uso no ACS falhou, e por que o ACS não mostrou nenhuma falhas de tentativa?

A. Uma edição existe com Interoperabilidade ACS 5.0 e WLC antes que a correção de programa 8 da transferência da correção de programa 4., e aplica a correção de programa no CLI. Não use o TFTP a fim fixar esta edição.

Q. Por que mim são incapaz de restaurar tar.gz os arquivos que foram suportados com o comando do backup-log em ACS 5.2?

A. Você não pode restaurar os arquivos de registro que são suportados com o comando do backup-log. Você pode restaurar somente aqueles arquivos suportados para a configuração ACS e o ADE-OS. Refira o backup e os comandos dos backup-logs no guia de referência CLI para o Cisco Secure Access Control System 5.1 para mais informação.

Q. Posso eu limitar o número de tentativas mal sucedidas da senha em ACS 5.2?

A. Não. Esta característica não está disponível em ACS 5.2, mas espera-se ser integrado em ACS 5.3. Refira a seção não apoiada das características dos Release Note para o Cisco Secure Access Control System 5.2 para mais informação.

Q. Eu sou incapaz de usar a opção para mudar a senha no início de uma sessão seguinte para usuários internos em ACS 5.0. Como eu resolvo esse problema?

A. A opção para mudar a senha no início de uma sessão seguinte não é apoiada em ACS 5.0. O apoio para esta característica está disponível em ACS 5.1 e em umas versões mais atrasadas.

Q. Que este alarme no ACS significa?
Cisco Secure ACS - Alarm Notification 
Severity: Warning 
Alarm Name delete 20000 sessions 
Cause/Trigger active sessions are over limit 
Alarm Details session is over 250000

A. Este erro significa aquele quando a opinião ACS alcança um limite de 250,000 sessões, ele joga um alarme para suprimir de 20,000 sessões. O base de dados da opinião ACS armazena todas as sessões precedentes da autenticação e quando alcança 250,000, dá um alarme para cancelar o esconderijo e para suprimir de 20,000 sessões.

Q. Como faço eu resolva este Mensagem de Erro: Autenticação falhada: A autenticação de usuário 24407 contra o diretório ativo falhou desde que o usuário é exigido mudar sua senha?

A. Este Mensagem de Erro aparece quando há um problema com o gerenciamento de senha durante a Autenticação SDI. O ACS 5.x é usado enquanto um proxy RADIUS e os usuários devem ser autenticados por um server RSA. O proxy RADIUS ao RSA trabalhará somente sem gerenciamento de senha. A razão é que o valor OTP deve ser recuperável pelo proxy do servidor Radius o valor de senha ao server RSA. Quando o gerenciamento de senha é permitido no grupo de túneis, a requisição RADIUS está enviada com atributos MS-CHAPv2. O RSA não apoia o MS-0CHAPv2; apoia somente o PAP.

A fim resolver esta edição, gerenciamento de senha do desabilitação. Para mais informação, refira a identificação de bug Cisco CSCsx47423 (clientes registrados somente).

Q. É possível restringir ACS admin para controlar somente determinados dispositivos dentro de ACS 5.1?

A. Não, não é possível restringir ACS admin para controlar somente determinados dispositivos dentro de ACS 5.1.

Q. O ACS apoia QoS na autenticação de modo que o RAIO possa ser dado a prioridade sobre o TACACS?

A. Não, ACS não apoia QoS na autenticação. O ACS não dará a prioridade a pedidos da autenticação RADIUS sobre pedidos TACACS ou TACACS sobre o RAIO.

Q. Podem o proxy TACACS ACS 5.x e as autenticações RADIUS a outros TACACS ou servidores Radius?

A. Sim, todas as versões ACS 5.x enlatam o proxy as autenticações RADIUS a outros servidores Radius. ACS 5.3 e proxy mais atrasado da lata as autenticações TACACS a outros servidores de TACACS.

Q. Pode o ACS 5.x verificar os atributos do discado de um usuário de diretório ativo a fim conceder o acesso?

A. Sim, em ACS 5.3 e mais atrasado você pode permitir, negar, e controlar o acesso das permissões de discagem de entrada de um usuário. As permissões são verificadas durante autenticações ou perguntas do diretório ativo. É ajustado no dicionário dedicado diretório ativo.

Q. O ACS 5.x apoia a RACHADURA ou a autenticação MSCHAP datilografa para o TACACS+?

A. Sim, a RACHADURA TACACS+ e os tipos da autenticação MSCHAP são apoiados nas versões de ACS 5.3 e mais atrasado.

Q. Posso eu ajustar o tipo de senha de um usuário interno ACS a algum base de dados externo?

A. Sim, em ACS 5.3 e mais atrasado você pode ajustar o tipo de senha de um usuário interno ACS. Esta característica estava disponível em ACS 4.x.

Q. Pode mim passa/falha uma autenticação baseada no tempo em que o usuário foi criado na loja interna da identidade ACS?

A. Sim, em ACS 5.3 e mais atrasado você pode usar o número de horas desde que atributo da criação do usuário a fim criar suas políticas. Este atributo contém o número de horas desde que o usuário foi criado na loja interna da identidade à época do pedido de autenticação atual.

Q. Posso eu usar convites a fim adicionar uma entrada de host nova no base de dados interno ACS?

A. Sim, o ACS 5.3 e mais atrasado permite que você use convites quando você adiciona anfitriões novos na loja interna da identidade. Igualmente permite que você entre em convites (depois que você inscreve os primeiros três octetos) a fim especificar todos os dispositivos do fabricante identificado.

Q. Posso eu configurar associações do endereço IP de Um ou Mais Servidores Cisco ICM NT no ACS 5.x e atribui-las do ACS?

A. Não, não é atualmente possível criar associações do endereço IP de Um ou Mais Servidores Cisco ICM NT no ACS 5.x.

Q. Posso eu ver o endereço IP de Um ou Mais Servidores Cisco ICM NT do cliente de AAA aonde o pedido veio no relatório da AUTENTICAÇÃO FALHA?

A. Não, não é possível ver o endereço IP de Um ou Mais Servidores Cisco ICM NT do cliente de AAA de onde o pedido entrou.

Q. Que é recuperação de mensagem do View Log em ACS 5.3?

A. O ACS 5.3 fornece uns novos recursos para recuperar todos os logs que forem faltados quando a vista está para baixo. O ACS recolhe estes logs faltados e armazena-os em seu base de dados. Usando esta característica, você pode recuperar os logs faltados do base de dados ACS ao base de dados da vista depois que a vista é apoio. A fim usar esta característica, você deve ajustar a configuração da recuperação do mensagem de registro a sobre. Para mais detalhes ao configurar a recuperação de mensagem do View Log, refira a monitoração & as operações de sistema do visor do relatório.

Q. Posso eu comprimir o base de dados ACS 5.x emitindo o comando da base de dados-compressa da solution engine CLI? Esta característica estava disponível em ACS 4.x.

A. Sim, em ACS 5.3 e mais atrasado, o comando da base de dados-compressa reduz o tamanho do base de dados ACS com uma opção para suprimir dos administradores da transação table.ACS ACS pode emitir este comando a fim reduzir o tamanho de base de dados. Isto ajuda a reduzir o tamanho de base de dados e o momento tomados para backup e a sincronização completa que é precisada para a manutenção.

Q. Posso eu procurar uma entrada do cliente de AAA baseada em seu endereço IP de Um ou Mais Servidores Cisco ICM NT?

A. Sim, o ACS 5.3 e mais atrasado permite que você procure um dispositivo de rede usando seu endereço IP de Um ou Mais Servidores Cisco ICM NT. Você pode igualmente usar convites e a escala a fim procurar um grupo específico de dispositivos de rede.

Q. Posso eu criar uma circunstância baseada no tempo em que o usuário foi criado na loja interna da identidade ACS?

A. Sim, em ACS 5.3 e mais atrasado você pode usar o número de horas desde que o atributo da criação do usuário que o permite de configurar as condições da regra da política, com base no tempo em que o usuário foi criado na loja interna da identidade ACS. Por exemplo: SE group=HelpDesk&NumberofHoursSinceUserCreation>48 rejeitam então. Este atributo contém o número de horas desde que o usuário foi criado na loja interna da identidade à época do pedido de autenticação atual.

Q. Posso eu verificar dentro que a loja da identidade o usuário foi autenticada na seção da autorização de uma política de serviços?

A. Sim, em ACS 5.3 e mais atrasado você pode usar o atributo da loja da identidade da autenticação, que o permite de configurar as condições da regra da política baseadas na loja da identidade da autenticação. Por exemplo: SE AuthenticationIdentityStore=LDAP_NY rejeita então. Este atributo contém o nome da loja da identidade usada e é atualizado com o nome relevante da loja da identidade após a autenticação bem sucedida.

Q. Quando o ACS vai à loja seguinte da identidade definida na sequência da loja da identidade?

A. O ACS vai à loja seguinte da identidade definida na sequência da loja da identidade nestas encenações:

  • Um usuário não é encontrado na primeira loja da identidade

  • Uma loja da identidade não está disponível na sequência

Q. Que é a política da incapacidade da conta em ACS 5.3?

A. A política da incapacidade da conta permite que você desabilite os usuários da loja interna da identidade quando a data configurada se realiza além da data permitida, o número configurado de dias realiza-se além dos dias permitidos, ou o número de tentativas de login mal sucedidas consecutivas excede o ponto inicial. O valor padrão para a data excede está a 30 dias da data atual. O valor padrão por dias não deve estar a mais de 60 dias do dia atual. O valor padrão para falhas de tentativa é 5.

Q. Posso eu mudar a senha de um usuário do base de dados interno do ACS sobre o telnet?

A. Sim, é permitido você mudar a senha de um usuário do base de dados interno que usa o TACACS+ sobre o telnet. Você precisa de selecionar permite a senha de alteração Telnet sob o controle de alterações da senha em ACS 5.x.

Q. O exemplo preliminar ACS 5.x atualiza automaticamente os exemplos alternativos periodicamente, ou deve ele somente acontecer quando uma configuração mudou?

A. O ACS 5.x replicate imediatamente ao ACS secundário sempre que você faz mudanças no ACS preliminar. Além, se você não faz nenhuma mudanças ao ACS preliminar então, fará uma replicação da força cada 15 minutos. Neste momento, não há uma opção para controlar o temporizador de modo que o ACS possa replicate a informação após umas horas específicas.

Q. Pode mim vê/exportação um relatório em ACS 5.x de todos os usuários que atualmente são entrados e autenticados do ACS em clientes diferentes NAS?

A. Sim, é possível. Há dois relatórios separados para o RAIO e o TACACS+. Você pode encontrá-los sob a monitoração & os relatórios > os relatórios > o catálogo > o diretório da sessão > as sessões ativa do RAIO e as sessões ativa TACACS. Ambos os relatórios são baseados na informação de contabilidade dos clientes NAS desde que permite que você siga quando o usuário conecta e registra para fora. A história da sessão permite mesmo que você obtenha a informação desde o início e pare mensagens durante um dia específico.


Informações Relacionadas


Document ID: 113495