Segurança : Cisco Secure Access Control System

Troubleshooting do sistema de controle de acesso seguro (ACS 5.x e mais tarde)

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento fornece a informação em como pesquisar defeitos o Cisco Secure Access Control System (ACS) e em como resolver Mensagens de Erro.

Para obter informações sobre de como pesquisar defeitos o Cisco Secure ACS 3.x e 4.x, refira o Troubleshooting do server do controle de acesso seguro (ACS 3.x e 4.x).

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

A informação neste documento é baseada na versão 5.x e mais recente do Cisco Secure Access Control System.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Problema: “Erro: Salvar a configuração running a % do arquivo manifesto da partida com sucesso não encontrado no pacote” na ferramenta ACS durante a elevação do dispositivo

O erro: Salvar a configuração running a % do arquivo manifesto da partida com sucesso não encontrado no erro do pacote aparece quando uma tentativa é feita para promover o ACS expresso de 5.0 a 5.0.1.

Solução

Termine estas etapas a fim promover a ferramenta ACS sem nenhuma edição:

  1. Transfira a correção de programa 9 (5-0-0-21-9.tar.gpg) e ADE-OS (ACS_5.0.0.21_ADE_OS_1.2_upgrade.tar.gpg) de: Cisco.com > > segurança do software do apoio > da transferência > Cisco Secure Access Control System 5.0 > software do sistema > 5.0.0.21 de controle de acesso seguro

  2. Depois que você instala os dois arquivos, instale a elevação ACS_5.1.0.44.tar.gz ACS 5.1. Isto está disponível do mesmo trajeto da etapa precedente.

  3. Use este comando a fim instalar a elevação:

    application upgrade <application-bundle> remote-repository-name
    

Isto termina o procedimento de upgrade.

Refira o melhoramento de um servidor ACS de 5.0 a 5.1 para obter mais informações sobre de como promover a ferramenta ACS.

Problema: Incapaz de reiniciar o servidor ACS 5.x do GUI

Esta seção explica porque você não pode reiniciar a versão 5.x do servidor ACS do GUI.

Solução

Não há nenhuma opção disponível para reiniciar o server ACS 5.x do GUI. O ACS pode somente ser reiniciado do CLI.

Problema: Autenticação do diretório ativo da fundação da edição com ACS 5.2

Ao estabelecer a autenticação do diretório ativo (AD) para um serviço novo de 5.2 ACS, este Mensagem de Erro é recebido:

Erro inesperado RPC: Alcance negado devido a configuração ou a erro de rede inesperado. Tente por favor --adinfo da opção eloquente ou da corrida “ --diag”.

Solução

O ACS precisa permissões escrita a fim autenticar com o AD. A fim resolver esta edição, forneça permissões escrita provisórias à conta de serviço.

Problema: Não pode ver mais de 100 páginas no relatório da contabilidade

Ao tentar gerar um relatório da contabilidade do costume AAA com versão de ACS 5.1, você não pode ver mais de 100 páginas. Isto não cobre diversos relatórios mais velhos. Como você muda este ajuste para ver todas as páginas?

Solução

Você não pode mudar o número de páginas no ACS porque o número máximo de páginas indicadas é somente 100 à revelia. A fim superar esta limitação e ver umas estatísticas mais velhas, você precisa de mudar as opções de filtragem de modo que uns fósforos mais específicos possam ser feitos. Por exemplo, se você tenta gerar o relatório para os últimos trinta dias, contém um de grande volume e as últimas 100 páginas puderam mostrar a atividade para somente a última hora. Aqui, usando as opções de filtragem é recomendado. Tomando a opção de filtragem como um usuário - a identificação e a especificação da tempo-escala renderão uns relatórios muito mais velhos.

Problema: Incapaz de gerar o relatório da autenticação da passagem/falha para um grupo de dispositivos

Esta edição ocorre ao tentar gerar o relatório da autenticação somente para um grupo de seis Roteadores/Switches, não para todos os dispositivos. A versão de ACS 4.x é usada.

Solução

Isto não é possível com ACS 4.x. Você precisa de migrar a ACS 5.x porque esta característica está disponível com essa versão. Você pode extrair relatórios para o grupo específico de dispositivos gerando os relatórios do catálogo.

Refira esta imagem para uma compreensão melhor:

http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113485-acs5x-tshoot-01.gif

Problema: A monitoração e o base de dados dos relatórios são indisponíveis no momento. Tentativa reconectar nos segundos 5.

Quando você clica a monitoração do lançamento e relata o visor de ACS 5.x, este Mensagem de Erro está recebido: A monitoração e o base de dados dos relatórios são indisponíveis no momento. Tentativa reconectar nos segundos 5. Se o problema persiste, satisfaça contactam seu administrador ACS.

Solução

Execute uma destas ações alternativas a fim resolver esta edição:

  • Reinicie os serviços ACS do CLI emitindo estes comandos:

    application stop acs
    application start acs
  • Elevação à correção de programa disponível a mais atrasada. Refira a aplicação de correções de programa da elevação para obter mais informações sobre disto.

Problema: Assunto 22056 não encontrado nas lojas aplicáveis da identidade

Os usuários AD não obtêm autenticados com versão de ACS 5.x e recebem este Mensagem de Erro: Assunto 22056 não encontrado nas lojas aplicáveis da identidade.

Solução

Este Mensagem de Erro ocorre quando o ACS não encontrou o usuário no primeiro base de dados alistado que é configurado na sequência da loja da identidade. Este é um mensagem informativa e não afeta o desempenho do ACS. A maneira que o ACS 5.x executa a autenticação para interno ou os usuários externos são diferente do que a versão 4.x precedente. Com a versão 5.x, há uma opção chamada sequência de Identidade Armazenagem para definir a sequência das bases de dados de usuário a ser autenticadas. Para mais informação, refira configurar sequências da loja da identidade.

Se você recebe este erro quando você está usando o ACS para autenticar pedidos contra um domínio infantil, a seguir você tem que adicionar um sufixo UPN ou um prefixo de NETBIOS ao username. Para mais informação, refira as notas na seção de Microsoft AD.

Problema: Incapaz de integrar o ACS com diretório ativo

Os usuários não podem integrar o ACS com diretório ativo, e o Mensagem de Erro do erro do status de porta do samba é recebido.

Solução

A fim resolver este problema, certifique-se que estas portas estão abertas apoiar a funcionalidade do diretório ativo:

  • Porta do samba - TCP 445

  • LDAP - TCP 389

  • LDAP - UDP 389

  • KDC - TCP 88

  • kpasswd - TCP 464

  • NTP UDP 123

  • Catálogo global - TCP - 3268

  • DNS - UDP 53

O ACS precisa de alcançar todos os DC no domínio para que a integração ACS-AD esteja completo. Mesmo se um dos DC não é alcançável do ACS, a integração não acontece. Refira a identificação de bug Cisco CSCte92062 (clientes registrados somente) para mais informação.

Problema: Incapaz de integrar o ACS com LDAP

Neste documento, o ACS 5.2 é usado como um server dos RADIUS AAA para a aplicação do 802.1X. o 802.1X pode com sucesso ser usado com ACS usando a loja do usuário interno, mas há umas edições que integram o ACS e o LDAP. Esta mensagem de erro é exibida:

Radius authentication failed for USER: example MAC:
UU-VV-WW-XX-YY-ZZ AUTHTYPE: PEAP(EAP-MSCHAPv2)
EAP session timed out : 5411 EAP session timed out

Solução

Nesta instância, o LDAP está sendo usado com o PEAP e o método de autenticação interna usado é EAP-MSCHAP v2. Isto falhará porque o LDAP não é apoiado para PEAP (EAP-MSCHAP v2). Recomenda-se usar o EAP-TLS ou o AD.

Problema: do “erro do acs_internal_operations_diagnostics csco: não podia escrever Mensagem de Erro ao arquivo do armazenamento local o”

Durante a replicação do ACS, o ACS preliminar não replicate corretamente e indica este Mensagem de Erro:

csco acs_internal_operations_diagnostics error: could
	 not write to local storage file

Solução

Reinicie os serviços ACS e certifique-se que o registro crítico está desabilitado. Para mais informação, refira a identificação de bug Cisco CSCth66302 (clientes registrados somente). Se isto não ajuda, para contactar o tac Cisco a fim obter a correção de programa a mais atrasada ACS apropriada resolver este problema.

Problema: Incapaz de integrar o ACS 5.1 com diretório ativo

Ao tentar executar a integração AD, este Mensagem de Erro é recebido:

Error while configuring Active Directory:Using writable
	 domain controller:test1.test.pvt Authentication error due unexpect
	 configuration or network error. Please try the --verbose option or run 'adinfo
	 -diag' to diagnose the problem. Join to domain 'test.pvt', zone 'null'
	 failed.

Solução

Termine esta ação alternativa a fim fixar este problema:

  1. Suprima da conta de máquina existente no AD.

  2. Crie um OU novo.

  3. Vá às propriedades do OU e desmarcar herdam permissões.

  4. Crie uma máquina nova esclarecem o ACS no OU novo.

  5. Permita que o AD replicate.

  6. Tente juntar-se ao AD do ACS GUI.

Em alguns casos, é igualmente útil se você contacta Microsoft e aplica o reparo quenteleavingcisco.com .

Problema: Incapaz de configurar ACS 5.x para reconhecer expressões regulares nas regras de seleção do serviço

Solução

Isto não é possível porque não é apoiado ainda em ACS 5.x.

Problema: O backup SFTP não está trabalhando ao usar Cisco trabalha como o servidor SFTP

Quando os recursos de rede estão no servidor ciscoworks, o planificador alternativo trabalha muito bem com outros clientes SFTP, mas não ACS 5.2. Especificamente, ao tentar conectar ao servidor SFTP do ACS, o incapaz de negociar um Mensagem de Erro do método das trocas de chave é recebido.

Solução

Neste caso, o servidor SFTP não é um dispositivo complacente FIP usando o DH 14 grupos. Server dos apoios ACS somente com apoio DH 14 porque é FIP complacentes. Para obter mais informações sobre desta edição, refira limitações conhecidas em ACS 5.2.

Problema: “Payload inválido EAP deixado cair”

O erro: O Mensagem de Erro deixado cair EAP payload inválido é recebido ao autenticar os usuários Wireless a ACS 5.0 remenda o 7.

Solução

Este é um comportamento observado e endereçado no Bug da Cisco ID CSCsz54975 (clientes registrados somente) e CSCsy46036 (clientes registrados somente).

A fim resolver esta edição, elevação à correção de programa 9 ACS 5.0, que é exigida como parte da elevação a 5.1 ou a 5.2. Refira o melhoramento do base de dados para detalhes completos. Isto igualmente inclui a informação em como promover para remendar o 9.

Problema: “O processo do tempo de execução ACS não está sendo executado neste exemplo neste tempo.”

Os usuários não podem entrar ao ACS GUI e este Mensagem de Erro é recebido:

“O processo do tempo de execução ACS não está sendo executado neste exemplo neste tempo. As mudanças podem ser feitas à configuração ACS (estes salvar no base de dados), mas as mudanças não tomarão o efeito até que o processo do tempo de execução esteja reiniciado.”

Solução

Manualmente reiniciar o processo do tempo de execução do CLI e recarregar o dispositivo resolvem esta edição. Esta é uma edição menor e não cria nenhum problema de desempenho para o ACS. Há dois erros menores arquivados para observar este comportamento. Para mais informação, refira o Bug da Cisco ID CSCtb99448 (clientes registrados somente) e CSCtc75323 (clientes registrados somente).

A fim reiniciar manualmente os processos do tempo de execução, emita estes comandos do ACS CLI:

  • tempo de execução da parada dos acs

  • tempo de execução do começo dos acs

Problema: Incapaz de exportar os usuários com a senha

Você pode exportar e importar a base de dados de usuário a um outro ACS 5.x com um arquivo CSV, mas não inclui o campo de senha do usuário (parece vazio). Como você move a loja da identidade de um usuário local de um ACS para outro que inclui a informação de senha?

Solução

Isto não é por mais possível que esta se torne uma ruptura de segurança. Neste caso, uma ação alternativa é executar um backup e procedimento de restauração. Contudo, a limitação a esta ação alternativa é que o alternativo e a restauração trabalham somente para um outro ACS com uma configuração similar.

Problema: Os usuários internos ACS são desabilitados intermitentemente

Os usuários ACS são desabilitados intermitentemente com uma senha expiraram mensagem. A política da expiração de senha é ajustada por 60 dias, mas estes usuários devem manualmente ser permitidos para que obtenham o acesso.

Solução

Este comportamento é observado e arquivado na identificação de bug Cisco CSCtf06311 (clientes registrados somente). Esta edição pode ser resolvida aplicando a correção de programa 3 a ACS 5.1. A fim ver todas as questões solucionadas sob a correção de programa 3, refira questões solucionadas na correção de programa cumulativa ACS 5.1.0.44.3. Para a informação relacionada em como promover a correção de programa, refira a aplicação de correções de programa da elevação.

Problema: Da “pedido autenticação TACACS+ terminado com erro”

O relatório da autenticação de ACS mostra o pedido da autenticação TACACS+ terminado com Mensagem de Erro do erro.

Solução

Isto ocorre quando a autenticação TACACS tem o tipo de serviço ajustado ao PPP. Refira a identificação de bug Cisco CSCte16911 (clientes registrados somente) para mais informação.

Problema: Da “o pedido autenticação RADIUS rejeitou devido ao erro de registro crítico”

A autenticação RADIUS é rejeitada com o rejeitado pedido da autenticação RADIUS devido ao Mensagem de Erro crítico do erro de registro.

Solução

Este erro é detalhado na identificação de bug Cisco CSCth66302 (clientes registrados somente).

Problema: As mostras dos “elevação da relação da opinião ACS dados falharam” na parte superior da página quando o ACS é promovido de 5.2 a 5.3

A elevação dos dados das mostras da relação da opinião ACS falhou na parte superior da página quando o ACS é promovido de 5.2 a 5.3.

Solução

Este erro é detalhado na identificação de bug Cisco CSCtu15651 (clientes registrados somente).

Problema: Edição com da “senha mudança em acs seguintes do início de uma sessão” em Cisco ACS 5.0

Solução

Em ACS 5.0, a função da expiração de senha (o usuário deve mudar a senha no fazer logon seguinte) no usuário local - a loja identificação é selecionável, mas não trabalha. A requisição de aprimoramento CSCtc31598 fixa a edição na versão de ACS 5.1.

Problema: “% da upgrade de aplicativo falharam, erro - -999. Verifique por favor logs ADE para ver se há detalhes, ou re-run com - debugar o aplicativo instalam - permitido” na ferramenta ACS durante a elevação

Os % da upgrade de aplicativo falharam, erro - -999. Verifique por favor logs ADE para ver se há detalhes, ou o re-run com - debugar o aplicativo instalam - erro permitido aparece quando uma tentativa é feita para promover um ACS expresso de 5.0 a 5.0.1.

Solução

Este erro ocorre quando o repositório usado é TFTP e o tamanho do arquivo é maior do que 32MB. O ACS expresso não pode segurar os arquivos maiores do que 32MB. Use o FTP como o repositório a fim resolver esta edição mesmo se o tamanho do arquivo é mais do que 32MB.

Problema: Autenticação do erro “falhada: Resultado enviado 12308 clientes TLV que indica a falha”

A autenticação falhada: O resultado enviado 12308 clientes TLV que indica o erro da falha ocorre no ACS quando você tenta autenticar pela primeira vez. A autenticação trabalha muito bem a segunda vez.

Solução

Este erro pode ser resolved quando você desabilita reconecta rapidamente. Uma elevação para remendar 2 da versão de ACS 5.2 ajuda a resolver a edição sem o rápido reconecta a desabilitação.

Este erro pode igualmente ser resolved quando você desabilita cryptobinding forçado no suplicante. Refira a identificação de bug Cisco CSCtj31281 (clientes registrados somente) para mais informação.

Problema: Os servidores ative directory do erro "24495 não estão disponíveis”

A autenticação começa falhar com este erro: 24495 servidores ative directory não estão disponíveis. nos logs ACS 5.3.

Solução

Verifique o arquivo de ACSADAgent.log com o CLI do ACS 5.x para ver se há mensagens como: 11 de março 00:06:06 xlpacs01 adclient[30401]: <bg da INFORMAÇÃO: conexão perdida do bindingRefresh> base.bind.healing ao xxxxxxxx. Ser executado no modo desligado: solte. Se você vê o corredor no disconnectedmode: solte o Mensagem de Erro, isto significa que o ACS 5.3 não pode manter uma conexão estável com o diretório ativo. A ação alternativa é a um ou outro interruptor ao LDAP ou degrada o ACS à versão 5.2. Refira a identificação de bug Cisco CSCtx71254 (registeredcustomersonly) para mais informação.

Problema: Sessão do erro "5411 EAP cronometrada para fora”

5411 Mensagens de Erro para fora cronometrados sessão EAP são recebidos em ACS 5.x.

Solução

Os timeouts de sessão EAP são bastante comuns com PEAP onde o suplicante reinicia a autenticação depois que o pacote inicial sai ao servidor Radius e, na maioria das vezes, não é indicativo de um problema.

O fluxo que é geralmente - considerado é:

Supplicant ------------- Authenticator -------------- ACS
Connect
<------------------Request for Identity
-----------------------> Response Identity ------------->
<--------------   EAP Challenge <-----------------
EAPOL-Start ------------->
normal flow ending in successful authentication.......

Na extremidade a autenticação é bem sucedida. Contudo, há uma linha deixada aberta no ACS devido ao reinício abrupto da sessão EAP do suplicante que causa uma autenticação bem sucedida seguida pela mensagem do timeout de sessão EAP. Muitas vezes isto é devido ao direcionador em nível da máquina. Certifique-se de que os direcionadores NIC/Wireless são atualizados na máquina cliente. Você pode capturar no cliente e no filtro no EAP || EAPOL a fim ver o que o cliente recebe ou envia ao conectar.

Problema: a autenticação do 802.1x não trabalha se as limitações do fazer logon são configuradas no diretório ativo

a autenticação do 802.1x não trabalha se os usuários têm as limitações do fazer logon configuradas no diretório ativo.

Solução

Se você tem o diretório ativo ajustado limitações do fazer logon para uma única máquina e tenta uma autenticação do 802.1x. A autenticação falha porque na perspectiva do diretório ativo que a autenticação está vindo do ACS, não a máquina que a limitação do fazer logon está ajustada a. Para que a autenticação seja bem sucedida, as limitações do fazer logon podem ser ajustadas para incluir as contas de máquina ACS.

Problema: Erro: “Você não está autorizado ver a página pedida” quando o ACS 5.x admin com papel de ChangeUserPassword muda a senha

O usuário admin ACS 5.x GUI com o papel de ChangeUserPassword não pode mudar a senha do usuário AAA armazenado no base de dados interno. Após ter mudado a senha, o usuário recebe este Mensagem de Erro do PNF-acima: Você não é autorizado ver a página pedida.

Solução

Isto pode ocorrer quando o base de dados ACS 5.x é migrado de ACS 4.x. Use o privilégio de SuperAdmin a fim mudar a senha do usuário. Refira a identificação de bug Cisco CSCty91045 (clientes registrados somente) para mais informação.

Problema: Obtendo o erro em ACS 5.x para servidores ative directory da autenticação falha "24495 não esteja disponível.”

Solução

Você precisa de verificar a integração do ative directory com ACS 5.x. Se é uma instalação distribuída, assegure-se de que o ACS preliminar e secundário 5.x na instalação esteja integrado corretamente com diretório ativo.

Problema: Incapaz de conectar à ferramenta ACS usando o BMC

Quando o cliente BMC (uma ferramenta do nível de hardware) é usado para obter nos servidores IBM ACS 1121, observa-se que o cliente BMC tem dois endereços IP de Um ou Mais Servidores Cisco ICM NT.

Solução

Este comportamento foi identificado e entrou a identificação de bug Cisco CSCtj81255 (clientes registrados somente). A fim resolver isto, você precisa de desabilitar o BMC DHCP Client no ACS 1121.

Problema: Um alarme de advertência “supressão 20000 sessões” com causa “sessões ativa está sobre o limite”, apareça no monitor e relate o painel geral.

Há um limite ao número de registro que um diretório da sessão pode sustentar. Porque os pedidos de sondagem são pesados na instalação de cliente, o limite é alcançado rapidamente. Após ter alcançado o limite, pelo projeto, a ACS-vista suprime de um determinado número de registros (por exemplo, 20k) do diretório da sessão e envia um alerta. Você pode aumentar este limite, mas não ajuda muito exceto a prolongar o alerta.

Solução

A fim resolver isto, execute o seguinte:

  • Sugere-se para desabilitar a ordem de abertura para ver o base de dados.

    1. Vão ao Cisco Secure ACS > à administração do sistema > à configuração > à configuração do log > as categorias de registro > global > “autenticações passadas” > alvo remoto do Syslog e removem LogCollector dos alvos selecionados.

    2. Vão ao Cisco Secure ACS > à administração do sistema > à configuração > à configuração do log > as categorias de registro > global > “falhas de tentativa” > alvo remoto do Syslog e removem LogCollector dos alvos selecionados.

    3. Vão ao Cisco Secure ACS > à administração do sistema > à configuração > à configuração do log > as categorias de registro > global > editam: Do “a contabilidade RAIO” > alvo remoto do Syslog e remove LogCollector dos alvos selecionados.

  • Você pode ignorar os pedidos de autenticação de sondagem porque estes não são pedidos de autenticação reais. Execute o seguinte:

    Vá ao Cisco Secure ACS > ao filtro do > Add da configuração de Configuration > System da monitoração e crie o filtro. Criar o filtro baseado no nome de usuário é mais apropriada porque os pedidos de sondagem são compreendidos ser enviado com um nome de usuário-teste. Se você cria uma política de acesso separada no ACS para processar estes pedidos de sondagem, a seguir os filtros podem ser criados com base no serviço do acesso também.

Problema: Pacote de informação de RADIUS do erro "11013 ACS 5.x já no processo”

Em um desenvolvimento ACS 5.3, autenticação do dot1x da falha dos usuários. O base de dados usado é um diretório ativo. O código de falha do RAIO é mostrado aqui:

Requisição RADIUS deixada cair: Pacote de informação de RADIUS 11013 já no processo

Solução

O ACS ignorou este pedido porque é uma duplicata de um outro pacote que fosse processado atualmente. Isto pode ocorrer devido ao qualquer um:

  • A estatística média da latência da requisição RADIUS é próxima a ou excede o intervalo da requisição RADIUS do cliente do cliente.

  • A loja externo da identidade pode ser muito lenta.

  • O ACS foi sobrecarregado.

Execute estas etapas a fim resolver:

  1. Aumente o intervalo da requisição RADIUS do cliente do cliente.

  2. Use uma loja externo mais rápida ou adicional da identidade.

  3. Siga as maneiras de reduzir a sobrecarga no ACS.

Problema: A autenticação RADIUS falhada com o pacote de informação de RADIUS do erro "11012 contém o encabeçamento inválido”

Solução

O encabeçamento do pacote de informação de RADIUS entrante não analisou gramaticalmente corretamente. A fim resolver isto, verifique o seguinte:

  • Verifique o dispositivo de rede ou o cliente de AAA para ver se há problemas de hardware.

  • Verifique a rede que conecta o dispositivo ao ACS para problemas de hardware.

  • Verifique se o dispositivo de rede ou o cliente de AAA tenham quaisquer problemas de compatibilidade conhecidos do RAIO.

Problema: A autenticação RADIUS/TACACS+ falhada com erro "11007 não podia encontrar o dispositivo de rede ou o cliente de AAA”

Este Mensagem de Erro está recebido no ACS quando um ASA envia uma mensagem da solicitação de acesso do raio:

11007 não podia encontrar o dispositivo de rede ou o cliente de AAA

Solução

Isto ocorre porque há uma má combinação entre o IP do cliente ACS e o IP da relação que envia realmente o pedido. Às vezes o Firewall executa uma tradução de endereços a este cliente de AAA. Verifique se o cliente de AAA é configurado corretamente com o endereço IP de Um ou Mais Servidores Cisco ICM NT traduzido correto neste trajeto:

Recursos de rede > dispositivos de rede e clientes de AAA

Problema: Autenticação RADIUS falhada com o deixado cair requisição RADIUS do erro "11050 devido à sobrecarga do sistema”.

Os usuários não podem alcançar a rede devido às falhas de autenticação. Este Mensagem de Erro do ACS é recebido:

11050 deixados cair requisição RADIUS devido à sobrecarga do sistema

Solução

Cisco ACS deixa cair estes pedidos de autenticação devido à sobrecarga. Isto pode ser causado pela replicação de muitos pedidos paralelos do auhentication. A fim evitar isto, execute o qualquer um:

  • Altere os ajustes do cliente da rede Device/AAA de modo que use a opção do apoio da conexão única do legado TACACS+. Com isto, o cliente reutilizará a mesma sessão para todos os pedidos em vez de criar muitas sessões.

  • Abstenha-se os usuários de invocar pedidos de autenticação novos para algum momento.

  • Reinicie o servidor ACS.

Problema: A autenticação RADIUS falhou com atributo incorreto do RAIO MS-CHAP v2 do erro "11309.”

Solução

Este erro ocorre devido ao comprimento inválido ou ao valor incorreto de um dos atributos MSCHAP v2 (MS-RACHADURA-desafio, MS-RACHADURA-resposta, MS-CHAP-CPW-2, ou MS-RACHADURA-NT-Enc-picowatt) no pacote de solicitação de acesso recebido do RAIO.

Problema: O ACS relata a utilização de memória sobre 90%. Alarme

O ACS relata a utilização de memória sobre 90%.Alarm tal como o seguinte: Cisco Secure ACS - Alarme NotificationSeverity: Nome ACS do alarme crítico - O sistema HealthCause/alarme do disparador causado pelo ACS - thresholdAlarm das saúdes de sistema detalha a utilização I/O do disco da utilização de memória da utilização CPU do exemplo ACS (%) (%) (%) /opt usado o espaço de disco (%) /localdisk usado o espaço de disco: O espaço de disco (de %) usou-se/(%) KOM-AAA02 0.41 90.14 0.02 9.57 5.21 25.51

Solução

Esta edição é considerada geralmente em ACS 5.2. A fim fixar esta edição, recarregue o ACS a fim livrar a memória ou a elevação a correção de programa a 7 ACS 5.2 ou a mais tarde. Refira a identificação de bug Cisco CSCtk52607 (clientes registrados somente) para mais informação.

Problema: erro: com.cisco.nm.ac s.mgmt.msgbus.FatalBusException: Não ligam Nós

Em uma instalação distribuída após umas tarefas de manutenção (que se juntam a uma replicação completa preliminar, da força, remendando), o exemplo A ACS relata o exemplo B ACS como off line dentro a tela distribuída do desenvolvimento, quando B for realmente em linha e relatar o exemplo A como em linha. Nos logs do Gerenciamento, você vê o erro: com.cisco.nm.ac s.mgmt.msgbus.FatalBusException: Não ligam Nós.

Solução

Isto pode ocorrer se um exemplo precedente do serviço da gerência da replicação está limitado ainda à porta 2030 quando o exemplo novo vem acima e tenta ligar a essa porta. Do CLI do exemplo B ACS, seja executado: os acs-logs do sho arquivam ACSManagement. log | mim serviço da replicação. Você verá mensagens tais como a replicação prestar serviços de manutenção falhado.: Porta já no uso: 2030. Atualmente, a ação alternativa é reiniciar o exemplo B ACS (esse que relata o outro como em linha). Refira a identificação de bug Cisco CSCtx56129 (clientes registrados somente) para mais informação.

Problema: erro: com.cisco.nm.ac s.mgmt.msgbus.FatalBusException: Não ligam Nós

Em uma instalação distribuída após umas tarefas de manutenção (que se juntam a uma replicação completa preliminar, da força, remendando), o exemplo A ACS relata o exemplo B ACS como off line dentro a tela distribuída do desenvolvimento, quando B for realmente em linha e relatar o exemplo A como em linha. Nos logs do Gerenciamento, você vê o erro: com.cisco.nm.ac s.mgmt.msgbus.FatalBusException: Não ligam Nós.

Solução

Promova a correção de programa a fim fixar a 6 ACS 5.2 ou a mais tarde esta edição. Refira a identificação de bug Cisco CSCto47203 (clientes registrados somente) para mais informação.

Nota: O backup do viewDB falhará uma vez que o uso do "" do "" /opt excede 30%. Exige-se configurar a plataforma NFS para executar um backup quando o "" do "" /opt excede o uso de 30%.

Problema: o erro 11026 o dACL pedido não é encontrado

A autenticação RADIUS falha com este Mensagem de Erro: 11026 o dACL pedido não são encontrados.

Solução

O pedido é rejeitado porque a versão do ACL baixável pedido na solicitação de acesso do RAIO não é encontrada. O pedido para o ACL baixável ocorrido por muito tempo após a solicitação de acesso original. Devido a isto, a versão do ACL baixável estava já não disponível. Encontre a razão para este atraso no pedido para o ACL baixável do cliente RADIUS.

Problema: o erro 11025 a solicitação de acesso para o dACL pedido está faltando um atributo do Cisco-av-pair com o valor aaa: event=acl-download. O pedido é rejeitado

A autenticação RADIUS falha com este Mensagem de Erro: 11025 a solicitação de acesso para o dACL pedido estão faltando um atributo do Cisco-av-pair com o valor aaa: event=acl-download. O pedido é rejeitado.

Solução

Cada solicitação de acesso para a obrigação ACL baixável tem um atributo do Cisco-av-pair com o valor aaa: event=acl-download. Neste caso, esse atributo está faltando o pedido e o ACS falhou o pedido. Verifique se o dispositivo de rede ou o cliente de AAA tenham quaisquer problemas de compatibilidade conhecidos do RAIO.

Problema: o erro 11023 o dACL pedido não é encontrado. Este é um nome desconhecido do dACL

A autenticação RADIUS falha com este Mensagem de Erro: 11023 o dACL pedido não são encontrados. Este é um nome desconhecido do dACL.

Solução

Verifique a configuração ACS para verificar que o ACL baixável especificado no perfil da autorização existe na lista de ACL carregável. Este é um misconfiguration do lado ACS.

Problema: Autenticação do Administrador falhada com erro interno do erro 10001. Versão da configuração incorreta

A Autenticação do Administrador falha com este erro: Erro interno 10001. Versão da configuração incorreta.

Solução

Este erro pode ser causado por um base de dados ACS corrompido, ou por um problema nos dados de configuração subjacentes. Contacte o tac Cisco (clientes registrados somente) para mais informação.

Problema: Autenticação do Administrador falhada com erro interno do erro 10002: Falha carregar o serviço apropriado

A Autenticação do Administrador falha com este erro: Erro interno 10002: Falha carregar o serviço apropriado.

Solução

O ACS 5.x não pode carregar o serviço de configuração AAC. Isto pode ser causado por um base de dados ACS corrompido, ou por um problema nos dados de configuração subjacentes. Pode igualmente ocorrer quando os recursos de sistema são esgotados. Contacte o tac Cisco (clientes registrados somente) para mais informação.

Problema: Autenticação do Administrador falhada com erro interno do erro 10003: A Autenticação do Administrador recebeu o nome vazio do administrador

A Autenticação do Administrador falha com este erro: Erro interno 10003: A Autenticação do Administrador recebeu o nome vazio do administrador.

Solução

Ao alcançar o GUI do ACS 5.x, o ACS recebe um nome de usuário vazio. Verifique a validez do nome de usuário transmitido ao ACS. Se é válido, contacte o tac Cisco (clientes registrados somente) para mais informação.

Problema: Razão da falha: Um erro relacionado de 24428 conexões ocorreu em LRPC, em LDAP ou em KERBEROS

Este Mensagem de Erro é recebido no ACS:

Razão da falha: Um erro relacionado de 24428 conexões ocorreu em LRPC, em LDAP ou em KERBEROS que este problema de conexão RPC pode ser porque o stub recebeu dados incorretos

Solução

A fim resolver esta edição, promova o ACS à versão 5.2.

Problema: A autorização de autenticação proxy TACACS+ não está trabalhando em um roteador que executa IO 15.x do server ACS 5.x

A autorização de autenticação proxy TACACS+ não está trabalhando em um roteador que execute o Cisco IOS Software Release 15.x de um server ACS 5.x.

Solução

O Autêntico-proxy TACACS+ é apoiado somente depois que elevação da correção de programa 5. ACS 5.3 seu ACS 5.x, ou RAIO do uso para o Autêntico-proxy.

Problema: Obtendo a falha da loja de Mensagem de Erro (acs-XXX, TacacsAccounting) de ACS 5.x

Solução

O relatório da contabilidade ACS 5.1 TACACS falta alguns atributos tais como o username, o nível de privilégio, e o Pedido-tipo quando recebe um pacote deformado da contabilidade do cliente. Em alguns casos, isto conduz à geração da “de alarme da falha loja (acs-XXX, TacacsAccounting)” na vista. A fim resolver isto, verifique o seguinte:

  • O pacote explicando enviado pelo cliente tem um argumento deformado TACACS (por exemplo, combine mal de comprimento e valor de algum do argumento enviado pelo cliente de AAA).

  • Assegure-se de que o cliente envie um pacote válido da contabilidade com comprimento apropriado e valor para os argumentos.

Refira a identificação de bug Cisco CSCte88357 (clientes registrados somente) para mais informação.

Problema: A autenticação de usuário falhada com erro "11036 o atributo RADIUS do Mensagem-autenticador é inválida.”

Solução

Verifique o seguinte:

  • Verifique se os segredos compartilhados no cliente de AAA e no servidor ACS combinem.

  • Assegure-se de que o cliente de AAA e o dispositivo de rede não tenham nenhum problema de hardware ou problema com compatibilidade do RAIO.

  • Assegure-se de que a rede que conecta o dispositivo ao ACS não tenha nenhum problema de hardware.

Problema: A contabilidade do RAIO falhou com o pedido deixado cair "11037 da contabilidade do erro recebido através de porta unsupported.”

Solução

O pedido explicando foi deixado cair porque foi recebido através de um número de porta unsupported UDP. Verifique o seguinte:

  • Assegure a isso a configuração de número da porta de relatório no cliente de AAA e no fósforo do servidor ACS.

  • Assegure-se de que o cliente de AAA não tenha nenhum problema de hardware ou problema com compatibilidade do RAIO.

Problema: A contabilidade do RAIO falhada com o encabeçamento do Contabilidade-pedido do RAIO do erro "11038 contém o campo inválido do autenticador.”

O ACS não pode validar o campo do autenticador no encabeçamento do pacote do Contabilidade-pedido do RAIO. O campo do autenticador não deve ser confundido com o atributo RADIUS do Mensagem-autenticador. Assegure-se de que o RAIO compartilhe do segredo configurado nos fósforos do cliente de AAA que configuraram para o dispositivo de rede selecionado no servidor ACS. Também, assegure-se de que o cliente de AAA não tenha nenhum problema de hardware ou problema com compatibilidade do RAIO.

Erro: "24493 ACS tem os problemas que comunicam-se com o diretório ativo usando suas credenciais da máquina.”

Solução

Verifique o ACS para ver se há a Conectividade AD, e assegure-se de que a conta de máquina ACS esteja ainda atual no AD.

Problema: “Ao criar nomes de perfil do shell com os caracteres especiais goste “do ½ do ¿  ï”, ACS pode causar um crash.”

Solução

Este comportamento foi identificado e entrou a identificação de bug Cisco CSCts17763 (clientes registrados somente). Você precisa de promover 5.3.40 à correção de programa 1 ou 5.2.26 a correção de programa 7.

Problema: Obtendo o “erro de análise na linha 2: bem-não formado (token inválido)” ao executar “a mostra seja executado” no ACS 5.x CLI.

Solução

Certifique-se de que a comunidade SNMP configurada no ACS tem caracteres válidos. Somente os caráteres alfanuméricos (letras e números somente) são permitidos ser usados no nome da comunidade.

Problema: A separação ACS 5.x /opt enche-se acima muito rapidamente

Solução

O ACS 5.x é executado fora do espaço de disco devido ao espaço insuficiente na separação de /opt. Isto ocorre devido ao alto número de dados de registro que inundam a opinião ACS. Como uma ação alternativa, você precisa de substituir frequentemente o base de dados da vista. Porque a opinião ACS não pode lidar com as gigas byte dos dados cada dia, você precisa de organizar os dados de registro. Quando você precisa todos os logs, use um servidor syslog externo em vez da opinião ACS. Quando você precisa de usar somente parte dos dados de registro, use a administração do sistema > a configuração > a configuração do log > categorias de registro > global a fim enviar somente os logs exigidos ao log-coletor da opinião ACS.

Problema: Perguntando o domínio desejado

Pode o ACS 5.x perguntar os controladores de domínio desejados (DC) ao se juntar a um domínio do diretório ativo?

Solução

Não. Atualmente, o ACS pergunta o DNS com o domínio a fim obter uma lista de todos os DC no domínio. Então, tenta comunicar-se com o todo. Se a conexão mesmo a um DC falha, a seguir a conexão ACS ao domínio está declarada como falhada.

Problema: Pai e domínios infantil ao mesmo tempo

Há uma maneira de estabelecer ao mesmo tempo ACS 5.x no pai e nos domínios infantil?

Solução

Não. Atualmente, o ACS 5.x pode somente ser parte de um um domínio. Contudo, o ACS 5.x pode autenticar usuários/máquinas dos domínios confiável múltiplos.

Problema: Registro ao base de dados remoto

Posso eu registrar os dados da opinião ACS 5.x a um base de dados remoto?

Solução

Sim, o ACS 5.x permite que você registre os dados da opinião ACS ao Microsoft SQL servers e aos servidores SQL do Oracle.

Problema: Apoio de VMware

Solução

O ACS 5.x pode ser instalado em uma máquina virtual. A versão a mais atrasada, ACS 5.3, pode ser instalada nestas versões de VMware:

  • VMware ESX 3.5

  • VMware ESX 4.0

  • VMware ESX i4.1

  • VMware ESX 5.0

Problema: Requisitos de espaço em disco

Que são os requisitos de espaço em disco para a versão de avaliação ACS 5.x?

Solução

Um mínimo de 60 GB de espaço de disco é exigido para a versão de avaliação. 500 GB são exigidos para a instalação da produção.

Problema: "24401 não podia estabelecer a conexão com o agente do diretório ativo ACS.”

Solução

A fim resolver este erro, verifique o seguinte:

  • Verifique se a máquina ACS é juntada ao domínio do diretório ativo.

  • Verifique o estado da Conectividade entre a máquina ACS e o servidor ative directory.

  • Verifique se o agente do diretório ativo ACS está sendo executado.

Refira a identificação de bug Cisco CSCtx71254 (clientes registrados somente) para mais informação.

Problema: O processo do “Runtime” mostra o estado falhado “execução”

Ao atualizar Cisco ACS com uma correção de programa, o processo do Runtime obtém colado na “execução falhada” o estado e esta mensagem estão registrados:

"local0 erram erram ERRO do logforward 83 2012-06-12T12:11:08+0200 192.168.150.74 ACS ACS: /opt/CSCOacs/runtime/bin/run-logforward.sh: linha 18: Falha da segmentação 7097 (núcleo despejado). /$daemon - b - f $logfile”

Solução

Esta pode ser uma edição com a correção de programa MD5 da última correção de programa. Verifique a soma de verificação MD5 da última correção de programa aplicada a Cisco ACS. Transfira isso outra vez, a seguir aplique-o corretamente.

Problema: Autenticação de ACS falhada quando o UCS forçar a reautenticação

O server UCS é configurado para autenticar um cliente das Javas de Cisco ACS. O processo de autenticação envolve o uso do servidor de tokens RSA. As primeiras passagens da autenticação. Contudo, quando o UCS refresca e força o cliente das Javas a autenticar novamente, falha porque o RSA não reserva reutilizar nenhum token. Consequentemente, a autenticação falha.

Solução

Esta é uma limitação do persepective do server UCS, mas não de Cisco ACS. O server UCS segue uma autenticação de dois fatores que seja uns recursos não suportados para Cisco ACS quando usada com tokens RSA. Atualmente, não é apoiado. Como uma ação alternativa, você é recomendado usar todo o servidor de base de dados, tal como o AD ou o LDAP, a não ser o servidor de tokens RSA.

Problema: A operação do diretório ativo "24444 falhou devido a um erro não especificado no ACS”

Solução

Um erro unmapped ocorreu em uma operação relativa AD. Refira a integração ACS 5.x com exemplo de configuração de Microsoft AD e configurar a integração AD com o ACS corretamente. Se tudo é configurado corretamente conforme o documento, a seguir tac Cisco do contato para o Troubleshooting mais adicional.

Problema: Incapaz de autenticar usuários ACS 5.1 com o server R2 AD 2008

Solução

Isto ocorre devido às questões de incompatibilidade. A integração R2 AD 2008 é apoiada da versão ACS 5.2 somente. Promova seu ACS a 5.2 ou mais atrasado. Refira a identificação de bug Cisco CSCtg12399 (clientes registrados somente) para mais informação.

Erro: Assunto 22056 não encontrado nas lojas aplicáveis da identidade.

Quando os usuários SSL VPN estão tentando obter autenticados de um dispositivo RSA, este Mensagem de Erro é recebido do servidor ACS Cisco:

Razão da falha: Assunto 22056 não encontrado nas lojas aplicáveis da identidade.

Solução

Verifique se o usuário este presente no base de dados onde o ACS é apontado para procurar. Em caso a loja da identidade RSA e de RAIO, assegura-se de que a opção da rejeição do deleite esteja selecionada como a autenticação falhou. Isto está sob o guia avançada da configuração da loja da identidade.

Problema: ipt_connlimit: Oops: Estado inválido ct?

O ipt_connlimit: Oops: Estado inválido ct? o Mensagem de Erro aparece no console quando o ACS 5.x é executado em VMware.

Solução

Este é um mensagem de cosmético. Refira a identificação de bug Cisco CSCth25712 (clientes registrados somente) para mais informação.

Problema: Os AC 5.x/ISE não veem o atributo chamar-estação-identificação do raio em uma requisição RADIUS do Cisco IOS Software Release 15.x NAS

Os AC 5.x/ISE não veem o atributo chamar-estação-identificação do raio em uma requisição RADIUS do Cisco IOS Software Release 15.x NAS.

Solução

Use o atributo 31 do raio-server enviam o comando do nas-porta-detalhe no Cisco IOS Software Release 15.x a fim permitir a emissão do atributo.

Problema: As contas de usuário obtêm fechados no primeiro exemplo de credenciais erradas mesmo se configurado para 3 tentativas

Quando o ACS 5.3 é integrado com diretório ativo a nível R2 funcional de Windows 2008, as contas de usuário que são ajustadas com parâmetros do fechamento (3 tentativas incorretas) lockouted prematuramente depois que o usuário incorpora as credenciais erradas apenas uma vez.

Solução

Refira a identificação de bug Cisco CSCtz03211 (clientes registrados somente) para mais informação.

Problema: Unbale para salvar o apoio do ACS

Durante uma tentativa de salvar um backup do ACS, a causa: Detalhes não configurados do backup incremental: O backup incremental não é configurado. Configurar o backup incremental é necessário fazer a remoção do base de dados bem sucedida. Isto ajudará a evitar edições do espaço de disco. O tamanho de base de dados da vista é 0.08GB e fá-lo sob medida ocupa no disco duro é o aviso 0.08GB aparece.

Solução

Você não pode simultaneamente executar um backup incremental, apoio completo, e os dados removem. Se qualquens um trabalhos estão sendo executado, você deve esperar um período de 90 minutos antes que você possa começar o trabalho seguinte.


Informações Relacionadas


Document ID: 113485