Sécurité : Cisco Secure Access Control Server pour Unix

Forum aux questions sur Cisco Secure ACS UNIX

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Questions


Introduction

Ce document apporte des réponses aux questions communes au sujet du Cisco Secure Access Control Server (ACS) pour UNIX (CSUnix).

Généralités

Q. Les données peuvent-elles être migrées entre CSUnix et Cisco Secure ACS pour Windows (ACS) ?

A. Il n'y a actuellement aucun outil pris en charge utilisé pour migrer des utilisateurs d'un produit vers un autre produit.

Q. CSUnix authentifie-il contre une base de données de NT, un LDAP, ou des NDS du Novell ?

A. Non, mais ces caractéristiques sont présents dans le Cisco Secure ACS pour Windows (ACS). Le Cisco Access Registrar prend en charge le Protocole LDAP (Lightweight Directory Access Protocol).

Autorisation et logiciel

Q. La version 2.3.6.2 de CSUnix est-elle prise en charge sur la version 9.2.0 d'Oracle ?

A. Les notes en version pour la version 2.6.3.2 de CSUnix déclarent que la version 9.0.1 8.0.x, 8i, et 9i de version Enterprise d'Oracle sont des versions prises en charge. Il est possible d'améliorer à la version 9.2.0 d'Oracle. Cependant, il est recommandé que vous sauvegarde votre base de données avant que vous amélioriez.

Q. Comment est-ce que je mets à jour une clé de licence expirée ?

A. Pour des détails sur la façon dont obtenir une clé de licence, référez-vous aux problèmes de licence pour Cisco Secure UNIX.

Q. Comment est-ce que je trouve ma version de Solaris et l'adresse IP de mon système ?

A. Afin de déterminer la version de Solaris que vous utilisation, émettez l'uname ? une commande.

Afin de déterminer l'adresse IP en service par votre système, émettez l'ifconfig ? une commande.

Q. Où peux-je obtenir des mises à niveau et correctif logiciel pour CSUnix ?

A. Des mises à niveau de logiciel peuvent être obtenues du site Web de logiciel de Cisco Secure Access Control Server (clients enregistrés seulement). Des correctifs logiciels peuvent être obtenus des correctifs logiciels Cisco Secures - site Web UNIX (clients enregistrés seulement).

Remarque: Vous devez écrire le cspatchunix dans le champ code d'Access spécial pour atteindre les correctifs logiciels Cisco Secures - site Web UNIX (clients enregistrés seulement).

Les utilisateurs qui n'ont pas un ID valide de Cisco peuvent obtenir des mises à niveau et correctif logiciel du support technique de Cisco par l'intermédiaire du courrier électronique et du téléphone. Référez-vous au site Web de Cisco Worldwide Contacts.

Q. Est-ce que je peux améliorer de CSUnix à Cisco Secure pour Windows ou le Cisco Access Registrar ?

A. Pour des informations sur la tarification et la Disponibilité des « mises à jour de partie latérale, » contactez votre équipe de compte Cisco locale.

Q. Comment est-ce que je détermine ma version de CSUnix ?

A. Émettez la commande suivante :

$BASE/CSU/CiscoSecure -v

$BASE représente le répertoire dans lequel CSUnix est installé.

Q. Comment est-ce que je réutilise (arrêté et début) les services de CSUnix ?

A. Il y a deux manières différentes de réutiliser les services.

  • Émettez la commande de /etc/rc0.d/K80CiscoSecure de s'arrêter, puis émettez la commande de /etc/rc2.d/S80CiscoSecure de redémarrer.

    OU

  • Émettez la commande $BASE/utils/kcs de s'arrêter, puis émettez la commande $BASE/utils/scs de redémarrer.

    $BASE représente le répertoire dans lequel CSUnix est installé.

Après que des services soient redémarrés, émettez la commande $BASE/utils/psg. Il affiche une entrée pour chaque service.

Q. Comment est-ce que je peux découvrir où CSUnix est installé sur mon ordinateur ?

A. Afin de déterminer l'emplacement d'installation de CSUnix, émettez le pkginfo - l commande de CSCEacs.

Q. Comment est-ce que je sais quelles valeurs ont été sélectionnées pendant l'installation ?

A. Le journal d'installation de CSUnix est enregistré dans $BASE/logfiles/cs_install.log, où $BASEREPRESENTS le répertoire dans lequel CSUnix est installé. Ce fichier répertorie toutes les valeurs sélectionnées pendant l'installation.

Q. Quel est le matériel et les logiciels nécessaires pour ma version de CSUnix ?

A. Les informations de conditions requises sont dans les instructions d'installation pour votre version de logiciel spécifique. Les informations de conditions requises sont également récapitulées dans la compatibilité du Cisco Secure ACS UNIX.

Q. Y a-t-il des restrictions à l'exportation sur CSUnix ?

A. Non, CSUnix est empaqueté avec la version exportable du serveur de Netscape Fast-Track.

Installation et configuration système

Q. Comment est-ce que je change l'adresse IP, l'adresse Internet, ou le nom de domaine complet (FQDN) du serveur de CSUnix ?

A. L'adresse IP, l'adresse Internet, et le FQDN pour le serveur sont enregistrés dans des plusieurs fichiers, basés sur la version de CSUnix en service. Pour cette raison, la méthode prise en charge utilisée pour changer une adresse IP, l'adresse Internet, ou le FQDN est de désinstaller le logiciel et puis de le réinstaller avec les configurations désirées. Cette exécution n'affecte pas la base de données. Des utilisateurs et les groupes sont retenus.

Terminez-vous ces étapes pour apporter des modifications aux configurations sur votre serveur de CSUnix :

  1. Arrêtez le logiciel.
  2. Sauvegardez la base de données. Oracle ou Sybase peut être sauvegardé par le gestionnaire de base de données. Copiez le csecure.db et les fichiers de csecure.log sur un endroit sûr afin de sauvegarder SQLAnywhere. C'est une précaution seulement, car les tables ne sont pas lâchées pendant le processus d'uninstallation et de réinstallation. En outre, gardez une copie du fichier $BASE/config/CSU.cfg. Ce fichier contient l'information sur le périphérique. $BASEREPRESENTS le répertoire dans lequel CSUnix est installé.
  3. Émettez la commande de CSCEacs de pkgrm de désinstaller le programme. Cette commande laisse les fichiers csecure.db et de csecure.log en place.
  4. Assurez-vous que la résolution de noms fonctionne. Afin de faire ceci, émettez l'adresse Internet, le nslookup, et les commandes d'ifconfig suivant les indications de cette sortie.
    # hostname
    
    rtp-evergreen
    
    # nslookup rtp-evergreen
    
    Server: redclay2.cisco.com
    Address: 172.18.125.3
    Non-authoritative answer:
    Name: rtp-evergreen.cisco.com
    Address: 172.18.124.114
    
    # nslookup rtp-evergreen.cisco.com
    
    Server: redclay2.cisco.com
    Address: 172.18.125.3
    Non-authoritative answer:
    Name: rtp-evergreen.cisco.com
    Address: 172.18.124.114
    
    # nslookup 172.18.124.114
    
    Server: redclay2.cisco.com
    Address: 172.18.125.3
    Name: rtp-evergreen.cisco.com
    Address: 172.18.124.114
    
    # ifconfig -a
    
    lo0: flags=849<UP,LOOPBACK,RUNNING,MULTICAST> mtu 8232
    inet 127.0.0.1 netmask ff000000
    le0: flags=863<UP,BROADCAST,NOTRAILERS,RUNNING,MULTICAST> mtu 1500
    inet 172.18.124.114 netmask ffff0000 broadcast 172.18.255.255
    ether 8:0:20:76:79:f9
  5. Installez le logiciel. Émettez le pkgadd - commande de path_to_software d et indiquez que c'est une installation de mise à niveau suivant les indications de cette sortie.
    New CiscoSecure install             no
    .
    .
    .
    SQLAnywhere DB directory            original_path
    
    !--- Use the path in which the csecure.* files are located.
    
    Drop existing database tables       no
  6. Après que l'installation soit complète, commencez le logiciel et assurez à cela le passage de services.

Q. J'ai des problèmes avec le Système de noms de domaine (DNS) sur mon réseau. Comment est-ce que je désactive le résolution DNS ip-to-hostname sur le système de CSUnix de sorte qu'il n'essaye pas de résoudre des noms ?

A. Par défaut, les essais de CSUnix pour résoudre l'IP entrant du périphérique de client à un nom de domaine complet (FQDN) et compare alors le FQDN aux entrées dans le fichier CSU.cfg. Si les DN dans le réseau ne fonctionne pas correctement, ceci peut poser l'authentification et les problèmes inhabituels lents. Afin d'empêcher CSUnix de tenter la résolution, sauvegardez le fichier $BASE/config/CSU.cfg (où $BASEREPRESENTS le répertoire dans lequel CSUnix est installé). Ensuite, modifiez-le en ajoutant cette ligne à la section de début avec l'autre NUMBERENTRIES :

NUMBER config_get_names_from_dns = 0;

Sauvegardez le fichier modifié, puis réutilisez le serveur.

Q. Comment est-ce que je place le nombre d'échecs de tentative de connexion acceptable ?

A. Terminez-vous ces étapes afin de placer cette valeur sur une base globale pour tous les utilisateurs.

  1. Ouvrez le fichier $BASE/config/CSU.cfg ($BASEREPRESENTS le répertoire dans lequel CSUnix est installé).
  2. Ajoutez cette ligne à la section de début avec les autres entrées de numéro :
    NUMBER config_max_failed_authentication = n;
    Remplacez n par le nombre d'essais ratés permis.

Terminez-vous ces étapes afin de placer cette valeur sur une base de par-utilisateur ou de par-groupe dans version 2.3.5.1 de CSUnix ou plus tard :

  1. Ouvrez le fichier $BASE/config/CSU.cfg.
  2. Ajoutez cette ligne à la section de début avec les autres entrées de numéro :
    NUMBER config_allow_global_max_failed_login_session_enable = 0;
    Puisque le système utilise les paramètres généraux par défaut, la ligne de tis est utilisée pour arrêter les authentifications erronées maximum globales et pour permettre des maximum de par-utilisateur ou de par-groupe à placer.
  3. Dans le profil d'utilisateur ou de groupe, ajoutez cette ligne :
    set server max-failed-login-count = n;
    Remplacez n par le nombre d'essais ratés permis.

Q. Comment est-ce que je change le port par défaut (9900) sur lesquels la base de données écoute ?

attention Attention : CSUnix n'a pas été testé pour l'Interopérabilité avec l'autre logiciel. Des applications multiples qui fonctionnent sur le même serveur n'est pas prises en charge. Ceci peut entraîner des problèmes de performances et des conflits de port sur des ports autres que le port de serveur de données.

Si vous souhaitez exécuter des multiples instances de la base de données, arrêtez les processus de CSUnix et modifiez ces fichiers pour utiliser un port autre que 9900 :

  • $BASE/CSU/libdb.conf

  • $BASE/FastAdmin/turbo.conf

  • $BASE/config/CSConfig.ini

$BASE représente le répertoire dans lequel CSUnix est installé.

Q. Comment est-ce que je visualise le groupe ou les profils utilisateurs à l'interface de ligne de commande ?

A. Émettez ces commandes à la demande de répertoire $BASE/CLI/, où $BASE représente le répertoire dans lequel CSUnix est installé.

  • Entrez dans ./ViewProfile - p 9900 - nom d'utilisateur u afin de visualiser un profil utilisateur.

    Remplacez le nom d'utilisateur par le nom d'utilisateur pour le profil utilisateur que vous voulez visualiser.

  • Entrez dans ./ViewProfile - p 9900 - groupname g afin de visualiser un profil de groupe.

    Remplacez le groupname par le nom pour le profil de groupe que vous voulez visualiser.

Q. Comment est-ce que je place la page Web de CSUnix pour m'exécuter sur un port autre que le port 80 ?

attention Attention : CSUnix n'a pas été testé pour l'Interopérabilité avec l'autre logiciel. Des applications multiples qui fonctionnent sur le même serveur n'est pas prises en charge. Ceci peut entraîner des problèmes de performances et des conflits de port sur des ports autres que le port de serveur de données.

Si vous souhaitez exécuter de plusieurs web server, arrêtez les processus de CSUnix et modifiez ces fichiers pour utiliser un port autre que le port 80 :

  • Dans le fichier $BASE/ns-home/httpd-servername/config (où $BASE représente le répertoire dans lequel CSUnix est installé), port 80 de modification pour mettre en communication n, où n est le nouveau port sur lequel vous voulez qu'il fonctionne.

  • Dans le fichier $BASE/FastAdmin/turbo.conf, modification NS_PATH =server/cs/au =server de NS_Path : n/cs, où n est le numéro de port introduit dans le fichier.

Q. J'ai oublié mon mot de passe. Comment est-ce que je peux remettre à l'état initial le profil Administrateur ?

A. Émettez ces commandes afin de remettre à l'état initial le mot de passe administrateur :

$BASE/CLI/DeleteProfile -p 9900 -u superuser
$BASE/CLI/AddProfile -p 9900 -u superuser 
           -a 'member = administrator \n privilege = web "password" 15 '

Remarque: La deuxième commande doit être sur une ligne.

Remplacez le mot de passe dans la deuxième commande par votre nouveau mot de passe. $BASE représente le répertoire dans lequel CSUnix est installé.

Q. Comment est-ce que je peux dire quelles versions des serveurs de point culminant Fast-Track, de gestion de Netscape, et de Netscape Communications sont en service avec Cisco Secure ?

A. Cisco Secure utilise une version modifiée de la version 1.7 en date de novembre 13 de serveur de point culminant, 1996.

Afin de déterminer les versions serveur de Netscape, émettez ces commandes (où $BASE représente le répertoire dans lequel CSUnix est installé) :

$BASEDIR/ns-home/admserv/ns-admin -v
Netscape Communications Corporation Netscape-Administrator/2.14,sec=e

$BASEDIR/ns-home/bin/httpd/ns-httpd -v
Netscape Communications Corporation Netscape-FastTrack/2.01c

Bases de données

Q. Combien d'utilisateurs 500ï l'espace disque requis de Mo de ½ du ¿  prend en charge-il utilisant une base de données SQLAnywhere ?

A. 500ï l'espace disque requis de Mo de ½ du ¿  prend en charge un maximum de 5,000 utilisateurs.

Q. Quand le csdblog_yy-mm-dd est-il fichier créé ?

A. Le fichier de csdblog_yy-mm-dd est créé la première fois que DBServer démarre et est puis régénéré toutes les 24 heures (temps approximatif).

Q. Quel est le nombre le plus élevé d'utilisateurs qui peuvent raisonnablement être mis à jour sur un serveur de CSUnix avec SQLAnywhere, serveur Oracle, ou serveur Sybase ?

A. SQLAnywhere est officiellement pris en charge pour jusqu'à 5,000 utilisateurs. Oracle et Sybase ont été testés avec jusqu'à million d'utilisateurs, chacun avec dix paires de l'attribut-valeur (poids du commerce). Avec le ce beaucoup d'utilisateurs, maintenance est plus rapide avec les utilitaires de l'interface de ligne de commande (CLI) au lieu de l'interface HTML ou de l'interface graphique utilisateur avancée basée sur Java. Notez que le furetage par l'intermédiaire du GUI peut être très lent. Il peut parfois être plus rapide pour utiliser l'option de découverte dans l'interface graphique utilisateur avancée ou l'option d'éditer > de vue dans l'interface HTML.

Q. Comment est-ce que je commence manuellement la base de données SQLAnywhere ?

A. Terminez-vous ces étapes afin de mettre en marche manuellement l'engine de SQLAnywhere :

  1. Placez les variables d'environnement nécessaires pour l'utilisateur de base. Dans cet exemple, le C-shell est utilisé. En outre, émettez ces commandes :
    setenv SQLANY $BASE/SYBSsa50
    setenv LD_LIBRARY_PATH $SQLANY/lib
    set PATH=($path $SQLANY/bin)
    
  2. Émettez cette commande afin de commencer la base de données :
    dbeng50 -n csecure $BASE/SQLANY/csecure.db
    
    Remplacez $BASE/SQLANY par l'emplacement de la base de données de base de données SQLAnywhere.

Q. Quelle valeur est-ce que je dois placer pour les connexions à un serveur de base de données ?

A. Dans la version 2.3 de CSUnix, la valeur par défaut est 10. Les Connexions de la base de données sont partagées avec d'autres applications comme les utilitaires de l'interface de ligne de commande (CLI) et le GUI quand elles exécutent et accèdent à la base de données. En règle générale, le nombre de besoins de Connexions de la base de données d'égaler les authentifications maximales par seconde, plus au moins 3 pour d'autres tâches ACS, et approximativement 25 pour cent pour la croissance.

Il y a d'autres facteurs qui doivent être considérés. Si vous utilisez le CLI en ligne, alors vous devez ajouter le nombre de connexions CLI parallèles qui sont utilisées. Pour chaque connexion CLI parallèle, ajoutez une Connexion de la base de données supplémentaire. Avec CSUnix 2.3, la mise en mémoire tampon de comptabilité utilise jusqu'à huit Connexions de la base de données une fois activée.

Remarque: Le nombre de Connexions de la base de données est basé sur la façon dont CSUnix est utilisé. Utilisez ces informations seulement comme instruction.

Q. Y a-t-il une manière que je peux visualiser la base de données utilisant le SQL ?

A. Oui, vous pouvez utiliser l'interface utilisateur graphique de SQLAnywhere (ISQL) ou la commande d'ExecSql à la ligne de commande. Référez-vous en employant ISQL pour visualiser la base de données Cisco Secure pour des détails supplémentaires. Ce document explique la structure de base de données, donne un exemple des enregistrements, montre des requêtes typiques, et affiche comment exécuter les requêtes utilisant ISQL ou utiliser la commande d'ExecSql par l'interface de ligne de commande (CLI). Il discute également les commandes de ViewProfile et de DBClient.

Q. Comment est-ce que je réplique la base de données utilisant le logiciel de base de données par défaut (SQLAnywhere) qui est livré avec CSUnix ?

A. La réplication de base de données avec SQLAnywhere n'est pas prise en charge. Cisco prend en charge seulement la réplication avec le Sybase Adaptive Server et l'Oracle 7.3.4 et plus tard.

Deux méthodes utilisées pour tirer une copie d'une base de données SQLAnywhere sont affichées ici.

  • Les bases de données de base de données SQLAnywhere (csecure.db et csecure.log) peuvent être copiées d'un serveur à l'autre après que les services soient arrêtés sur le serveur source et le serveur de cible. Les autorisations et la propriété des fichiers doivent être identiques sur le serveur source et le serveur de cible.

  • La commande de dbbackup peut être émise tandis que le serveur source est créent jusqu'à des bases de données de base de données de sauvegarde (csecure.db et csecure.log). Ces fichiers peuvent alors être copiés sur le serveur de cible après que des services sur le serveur de cible soient arrêtés. Les autorisations et la propriété des fichiers doivent être identiques sur le serveur source et le serveur de cible.

Q. Comment est-ce que je sauvegarde la base de données SQLAnywhere utilisant la commande de dbbackup tandis que CSUnix s'exécute ?

A. Terminez-vous ces étapes afin d'émettre la commande de dbbackup de sauvegarder la base de données SQLAnywhere tandis que CSUnix fonctionne toujours.

Remarque: Cette procédure suppose que vous utilisez le C-shell. Si vous utilisez un shell différent, la commande ENV te permet pour vérifier que les variables d'environnement sont placées comme affiché ici.

  1. Émettez ces commandes afin de placer les variables d'environnement :
    setenv SQLANY $BASE/SYBSsa50
    setenv LD_LIBRARY_PATH $SQLANY/lib
    set path=($path $SQLANY/bin)
    setenv SATMP $SQLANY/tmp
    
  2. Émettez cette commande afin d'exécuter l'utilitaire dbbackup :
    
    dbbackup -c "ENG=csecure; UID=DBA; PWD=SQL" -x target_directory
    
    
    Remplacez target_directory par l'emplacement où vous voulez les sauvegardes csecure.db et de csecure.log à enregistrer.

Q. Est-ce que je peux avoir les serveurs primaires de CSUnix et de sauvegarde de sorte que les périphériques puissent se connecter au serveur de sauvegarde si le serveur primaire est en panne ?

A. Oui, cette connexion de Basculement à un serveur de sauvegarde est déterminée au niveau de périphérique. La plupart des périphériques de Cisco tiennent compte du Basculement quand le serveur primaire de CSUnix est indisponible. Pour des Routeurs, les entrées de hôte de tacacs-server host ou de rayon-serveur sont configurées avec le nom ou les adresses IP des divers serveurs. Les informations utilisateur doivent être à la disposition des divers serveurs en cas d'un Basculement.

Q. Est-ce que je peux installer CSUnix dans un environnement distribué, avec toute la gestion faite à un lieu d'exploitation principal et à la base de données distribués aux serveurs de CSUnix de gens du pays ?

A. Oui, vous pouvez installer un environnement distribué avec CSUnix utilisant Oracle ou des bases de données Sybase.

Q. Comment CSUnix se connecte-t-il par interface à la base de données ? Permet-il la création dynamique de comptes qui peut alors être ajoutée à la base de données de CSUnix ?

A. CSUnix fournit une interface de ligne de commande (CLI) et un GUI utilisé pour gérer des utilisateurs et des groupes. Utilisez le CLI ou le GUI pour accéder à la base de données pour gérer des profils, plutôt que n'importe quel accès direct à la base de données par le SQL.

Q. J'ai actuellement un type de base de données dans Cisco Secure, et je veux migrer des données d'utilisateur ou de groupe vers un type de base de données différent (par exemple, Oracle à Sybase, à SQLAnywhere à Oracle). Comment est-ce que je fais ceci ?

A. Terminez-vous ces étapes pour exporter les utilisateurs à un fichier plat et pour les importer dans CSUnix à partir de ce fichier.

Remarque: Avant la version 2.3.6.1, cette procédure importe seulement des profils TACACS+. En date de la version 2.3.6.1, cette procédure fonctionne également pour des profils RADIUS.

  1. Émettez cette commande afin d'exporter les utilisateurs dans un fichier plat :
    $BASEDIR/utils/CSexport -p file_path -d export_file_name
    
    
    $BASE représente le répertoire dans lequel CSUnix est installé.
  2. Émettez ces commandes afin d'importer les utilisateurs à partir de ce fichier plat :
    $BASEDIR/utils/CSimport -t -p file_path -s import_file_name
    
    
    !--- Run CSimport in test mode.
    
    $BASEDIR/utils/CSimport -c -p file_path -s import_file_name
    
    
    !--- Commit the changes to the database.
    
    
    Dans ces commandes, l'export_file_name est le nom du fichier exporté, l'import_file_name est le nom du fichier importé, et le file_path est le répertoire dans lequel le fichier se trouve.

Q. Comment est-ce que je détermine le nombre d'utilisateurs qui existent dans la base de données pour chaque serveur de CSUnix ? Quelle syntaxe de commande SQL est-ce que je dois utiliser ?

A. Émettez cette commande à partir du répertoire $BASE/utils/bin (où $BASE représente le répertoire dans lequel CSUnix est installé) :

$BASE/utils/bin/ ./ExecSql "select count(distinct profile_id) from cs_profile"

Cette commande compte tous les profils d'utilisateur et de groupe. Si vous voulez compter seulement des profils utilisateurs, remplacez cs_profile par cs_user_profile.

Q. Quels bases de données ou clients de base de données sont compatibles avec ma version de CSUnix ?

A. Pour les informations sur la compatibilité, référez-vous aux instructions d'installer pour votre version spécifique ou au résumé dans la compatibilité du Cisco Secure ACS UNIX.

Q. J'ai une base de données existante (ou tout système de gestion de base de données relationnelle [RDBMS]) indépendant de Cisco Secure qui contient mes informations utilisateur. CSUnix fournit-il un outil d'importation qui peut me permettre pour importer ces informations utilisateur ?

A. CSUnix ne fournit pas un outil que vous pouvez utiliser pour importer des utilisateurs d'une base de données non-Cisco-sécurisée existante. Puisque toutes les bases de données ont un certain mécanisme pour visualiser et modifier des données, les « informations utilisateur » peuvent être extraites utilisant le SQL. Les informations questionnées de la base de données existante peuvent être collectées dans un fichier plat et être converties en format de syntaxe de CSUnix qui peut alors être importé dans CSUnix avec la commande de CSimport (pour TACACS+) ou la commande de CSmigrate (pour le RAYON).

GUI et administration par le Web

Q. Je ne peux pas visualiser toutes les options dans le GUI ACS. Comment est-ce que je corrige ce problème ?

A. Activez l'agent distant se connectant sous la configuration d'interface > a avancé des options. Vérifiez toutes les options dont vous avez besoin.

Q. Comment est-ce que j'accède au serveur administratif de Netscape Fast-Track ?

A. Le serveur administratif accéléré est habituellement accédé à par un navigateur Web. Utilisez cette procédure :

  1. Allez à cet URL :
    http://server_name:64000
    Remplacez le server_name par le nom ou l'adresse IP du serveur administratif accéléré.
  2. Écrivez votre nom d'utilisateur et mot de passe comme affiché ici.
    Username: admin
    Password: password
    
  3. Si le mot de passe ne fonctionne pas, terminez-vous ces étapes afin de le remettre à l'état initial.
    1. Éditez le fichier $BASE/ns-home/amdpw (où $BASE représente le répertoire dans lequel CSUnix est installé).
    2. Trouvez cette ligne dans le fichier :
      admin:GuBqifMleNxmY
    3. Enlevez le texte de mot de passe chiffré après les deux points et sauvegardez le fichier. Vous pouvez maintenant ouvrir une session comme admin utilisant un mot de passe vide.
  4. Si vous recevez un message d'erreur non autorisé d'hôte, terminez-vous ces étapes.
    1. Éditez le fichier ns-admin.conf dans le répertoire $BASE/ns-home/admserv/ou $BASE/ns-home/admin-serv/(où $BASEREPRESENTS le répertoire dans lequel CSUnix est installé).

      Remarque:  Il peut être possible qu'un de ces fichiers ne soit pas présent.

    2. Supprimez les hôtes et adressez des lignes dans le fichier.

      attention Attention : Soyez sûr de supprimer seulement les lignes des adresses (fin en es). Ne supprimez pas la ligne d'adresse (aucune fin es).

    3. Enregistrez le fichier.
    4. Redémarrez le serveur de gestion en émettant la commande d'arrêt-admin et puis la commande de commencement-admin au répertoire $BASE/ns-home/.

Q. Quels navigateurs sont compatibles avec ma version de CSUnix ?

A. Pour les informations sur la compatibilité, référez-vous aux instructions d'installer pour votre version spécifique ou au résumé dans la compatibilité du Cisco Secure ACS UNIX.

Serveurs de jetons

Q. Est-ce que je peux ajouter le serveur ACE incorporé par dynamics de Sécurité (SDI) après que j'installe CSUnix ?

A. Oui, vous pouvez activer le serveur ACE de SDI avec cette procédure.

Remarque: Avant que vous tentiez une intégration avec CSUnix, c'est une bonne idée de faire un test d'authentification de client de SDI afin de s'assurer que le SDI fonctionne par lui-même.

  1. Arrêtez CSUnix.
  2. Ajoutez ces lignes au fichier $BASE/config/CSU.cfg (où $BASEREPRESENTS le répertoire dans lequel CSUnix est installé).
    AUTHEN config_external_authen_symbols = { 
    {
    "./libsdi.so",
    "sdi"
    }
  3. Reprise CSUnix.

Vous pouvez également activer le serveur ACE de SDI à l'aide du GUI de CSUnix, comme affiché ici.

Remarque: Avant que vous tentiez une intégration avec CSUnix, exécutez un test d'authentification de client de SDI pour s'assurer que le SDI fonctionne par lui-même.

  1. Sur le menu GUI, choisissez l'AAA > le général.
  2. Dans la région de méthodes d'authentification de l'onglet Général, cliquez sur la case d'option dynamique sécurisée (de serveur ACE).

Le pour en savoir plus, se rapportent à configurer Cisco Secure UNIX et sécurisent l'ID (client de SDI).

Q. Est-ce que je peux installer un serveur ACE et un CSUnix incorporés par dynamics de Sécurité (SDI) sur la même chose ordinateur ?

A. Oui, si TACACS+ et RAYON sont désactivés sur le serveur ACE de SDI. Les erreurs peuvent se produire si le serveur ACE de SDI et les TACACS+ ou le RAYON fonctionnent en même temps. C'est parce que le serveur ACE de SDI peut utiliser les mêmes Protocoles d'authentification relatif aux mêmes ports.

Q. Est-ce que je peux utiliser l'authentification de protocole d'authentification CHAP (Challenge Handshake Authentication Protocol) avec un serveur ACE incorporé par dynamics de Sécurité (SDI) ?

A. Oui, mais le code de passage est entré d'une manière différente. Le pour en savoir plus, se rapportent à configurer Cisco Secure UNIX et sécurisent l'ID (client de SDI).

Q. Quelle est jeton-mise en cache et comment je l'active ?

A. Avec l'authentification basée sur jeton, les jetons ne sont souvent bons que durant une période seulement limitée et ne peuvent pas être réutilisés au cours de cette période. Ces restrictions peuvent poser des problèmes pour des utilisateurs RNIS ou de multilink. L'authentification de jeton initial est réussie, mais les ré-authentifications ultérieures peuvent échouer parce que l'interface utilisateur ne permet pas à des utilisateurs pour entrer les jetons supplémentaires.

Quand la jeton-mise en cache est utilisée, les demandes de ré-authentification sont encore envoyées à CSUnix. Alors CSUnix renvoie un PASSAGE si les conditions de session ou de délai d'attente sont remplies.

Terminez-vous ces étapes afin d'utiliser la jeton-mise en cache.

  1. La mise en cache symbolique doit être activée dans le profil d'utilisateur ou de groupe en ajoutant cette ligne :
    set server token-caching=enable
  2. Émettez cette commande afin de placer la condition ou les conditions dans lesquelles le mot de passe expire et donc combien de temps le mot de passe demeure valide.
    set server token-caching-expire-method= [session | timeout | both]
    
    • la session maintient le mot de passe en cache valide pour la durée de la session initiale.

    • le délai d'attente maintient le mot de passe en cache valide pour la durée spécifiée.

    • chacun des deux maintiennent le mot de passe en cache valable pour la session et une quantité spécifique d'heure.

  3. Si le délai d'attente ou chacun des deux était choisi dans l'étape 2, utilisez cette commande de placer la durée pendant laquelle le mot de passe demeure valide.
    set server token-caching-timeout=120
    

Q. La fonctionnalité offerte par CRYPTOAdmin remplace-t-elle le soutien de CRYPTOCards qui sont incorporés à nos Produits de CSUnix ? Comment diffèrent-ils ?

A. Le serveur de CRYPTOCard empaqueté avec CSUnix fournit seulement la prise en charge de carte à jeton, tandis que CRYPTOAdmin est un outil de gestion convivial utilisé pour installer des jetons et des utilisateurs. CRYPTOAdmin fonctionne avec CSUnix et fournit un GUI de client qui n'est pas livré empaqueté avec CSUnix. CSUnix contient la boîte à outils de CRYPTOCard. Par conséquent, CRYPTOAdmin complète efficacement CSUnix. Référez-vous au site Web de CRYPTOCardleavingcisco.com pour plus d'informations sur CRYPTOAdmin.

Profils utilisateurs et mots de passe

Q. Comment est-ce que j'ajoute des profils utilisateurs pour TACACS+ dans ACS (UNIX) ?

A. Afin d'ajouter ce type de profil par la commande d'AddProfile, le client peut utiliser l'AddProfile - option s [- s [nom du fichier]]. Les attributs peuvent être mis dans un fichier et ils peuvent ajouter l'utilisateur comme vu ici.

*$BASEDIR/CLI* ./AddProfile -p 9900 -u userA -s script

Ces attributs sont mis dans le fichier script.

*$BASEDIR/CL>* *vi script*

password = clear "userA"
default service=permit
service=Sandvine {
set Sandvine-HomeDir = "/tmp"
set Sandvine-Group = "sv_operator,sv_admin"
set Sandvine-Shell = "/bin/sh"
}

$BASEDIR est le répertoire où Cisco Secure est installé.

Q. Queest-ce qu'on permet le minimum et le nombre maximal de caractères dans un mot de passe dans CSUnix ?

A. La base de données enregistre des mots de passe jusqu'à 255 caractères. L'interface gui impose le minimum et le maximum. Le pour en savoir plus, se rapportent à l'option d'aide dans le GUI de CSUnix. Ceci décrit les règles de mot de passe.

Q. CSUnix me permet-il pour changer mon mot de passe ?

A. Oui, vous pouvez changer votre mot de passe par la procédure de connexion terminale (de shell) ou par le GUI de CSUnix. Afin de changer votre mot de passe par la procédure de connexion terminale (de shell), terminez-vous ces étapes.

Remarque: Seules modifications de cette procédure votre mot de passe de libellé.

  1. Utilisez la commande telnet d'accéder au routeur.
  2. Une fois incité, écrivez votre nom d'utilisateur assigné.
  3. Une fois demandé votre mot de passe, laissez-le pour masquer et l'appuyez sur entrent. L'ordre de mot de passe de modification de message apparaît.
  4. Entrez votre ancien mot de passe, puis suivez les demandes pour entrer et confirmer votre nouveau mot de passe.

Afin de changer votre mot de passe utilisant le GUI de CSUnix (interface HTML), terminez-vous ces étapes.

Remarque: Cette procédure change automatiquement tous vos mots de passe assignés. Il n'y a aucune manière de changer seulement certains de vos mots de passe.

  1. Ajoutez cette ligne à votre profil utilisateur :
    privilege = web "new_password" 1
    Remplacez le new_password par le nouveau mot de passe que vous voudriez utiliser.
  2. Dans un navigateur Web, allez à cet emplacement :
    http://host_name/cs
    Remplacez le host_name par le nom ou l'adresse IP du serveur de CSUnix.
  3. Ouvrez une session avec votre nom d'utilisateur assigné et le mot de passe utilisé dans l'étape 1.

Q. CSUnix prend en charge-il le vieillissement de mot de passe ?

A. Oui, mais seulement par l'interface Telnet. Vérifiez ces éléments :

  • Le profil utilisateur a jusqu'à ce que date fixée pour le mot de passe.

  • Le fichier CLI.cfg a les lignes qui définissent ces valeurs :

    config_warning_period x
    config_expiry_period y
    

Si tous ces éléments sont vrais, alors l'utilisateur reçoit un message d'expiration par des jours du telnet X avant jusqu'à la date. Quand l'utilisateur commence l'ordre de modification de mot de passe laisser leur blanc de mot de passe et en l'appuyant sur pour entrer, jusqu'à ce que la date soit incrémentée par des jours y. Un profil utilisateur d'échantillon est affiché dans cette sortie, avec une brève explication.

> ./ViewProfile -p 9900 -u abcde123

!--- In this example, abcde123 is used in place of an actual user name.

User Profile Information
user = abcde123{
profile_id = 21 
profile_cycle = 1 
password = clear "********" until "8 Aug 2001" 
}

Dans cet exemple, si le fichier CSU.cfg a les lignes le config_warning_period 5 et le config_expiry_period 30, puis l'utilisateur a nommé des débuts de "abcde123" pour recevoir des avertissements de telnet de l'expiration du mot de passe le 3 août (cinq jours avant le 8 août). Si l'utilisateur change le mot de passe dans l'interface Telnet le 6 août, l'untildate dans le profil est remis à l'état initial pour 30 jours plus tard. Ceci a comme conséquence une nouvelle date d'expiration du 5 septembre.

Q. Y a-t-il un attribut qui expire un utilisateur après qu'un nombre spécifié de jours de l'inactivité sur un compte ?

A. Le vieillissement de mot de passe est l'option la plus étroite. Voyez la question de vieillissement de mot de passe dans ce document pour plus de détails. Si un utilisateur n'ouvre pas une session d'ici la date à l'où le mot de passe expire, alors le compte expire.

Remarque: Puisque la modification de mot de passe n'est pas prise en charge utilisant le PPP, ceci signifie que l'expiration des utilisateurs fonctionne seulement pour la procédure de connexion de mode terminal.

Q. CSUnix impose-t-il des restrictions sur les choix de mot de passe ? En d'autres termes, rejette-t-il des mots de passe « faciles » ou « crackable » ?

A. Non CSUnix n'impose aucune stratégie de restriction de mot de passe, y compris vérifier un dictionnaire ou se souvenir des mots de passe plus anciens. La restriction principale est que les mots de passe doivent être une longueur minimale de six caractères alphanumériques afin d'être reçu. Les seuls caractères valides pour des mots de passe sont les lettres alphabétiques (A à Z et à a par z) et chiffres (0 à 9). Référez-vous au guide utilisateur pour plus d'informations sur des restrictions de mot de passe.

Q. Si un profil utilisateur est « verrouillé, » comment est-ce que je peux déverrouiller le profil de la ligne de commande ?

A. Terminez-vous ces étapes afin d'émettre la commande de DBClient de déverrouiller manuellement un profil :

  1. Émettez cette commande à la ligne de commande :
    $BASEDIR/DBClient/DBClient -p 9900
    
    $BASE représente le répertoire dans lequel CSUnix est installé.
  2. Écrivez ces valeurs quand vous êtes incité.
    username: 
    admin_name
    
    
    !--- Enter your administrator user name in place of admin_name.
    
    password: 
    admin_password
    
    
    !--- Enter the administrator password in place of admin_password.
    
    
  3. Le type déverrouillent et appuient sur entrent.
  4. Utilisateur = user_name de type. Remplacez l'user_name par le profil de nom d'utilisateur que vous voulez déverrouiller.
  5. La presse entrent deux fois.
  6. La sortie de type et appuient sur entrent pour fermer la fenêtre d'invite de commande.

Comptabilité

Q. CSUnix fournit-il des rapports d'utilisation par comptes d'utilisateur ?

A. CSUnix ne fournit pas de tels états, mais ces informations peuvent être extraites de la base de données. L'information de comptabilité de la manière prévue par le serveur d'accès à distance (NAS) est stockée et peut être extraite dans un fichier texte utilisant l'utilitaire d'AcctExport. Une fois que les informations du compte sont extraites de la base de données, un script peut être créé pour analyser les données et pour générer l'état nécessaire de par-utilisateur. Quand vous émettez la commande de cible d'AcctExport, elle retire des enregistrements des comptes de la base de données et les place dans la cible.

Q. Que se produit si CSUnix génère de nouveaux enregistrements des comptes tandis que la commande d'AcctExport fonctionne ?

A. Les nouveaux records ne sont pas affectés puisque la commande d'AcctExport recueille les numéros d'ID maximum dans les tables avant qu'elle commence son exécution d'exportation.

Q. Comment est-ce que je sais si la commande d'AcctExport est réussie ?

A. Si vous émettez la commande d'AcctExport de la ligne de commande, elle renvoie le message avec succès fait. Si vous accédez à la commande d'AcctExport d'un programme, code de sortie de 0 indique le succès, alors que code de sortie de 1 indique la panne.

Q. Si j'active la comptabilité des commandes, CSUnix enregistre-t-il la commande entrée précise dans le routeur ? Par exemple, enregistre-t-il une commande spécifique comme l'artère 135.52.0.0 255.255.0.0 1.1.1.1 d'IP ?

A. Quand vous émettez la commande arythmique de la commande 15 tacacs+ d'aaa accounting sur le routeur, la syntaxe complète des commandes est enregistrée dans le serveur d'AAA. Ces informations peuvent être récupérées de la base de données avec la commande d'AcctExport.

Quelques enregistrements d'exemple des commandes de traçabilité sont affichés ici.

lab-i52.cisco.com dphillip tty18 170.69.200.7 start server=ciscosecure-sun 
     time=10:09:56 date=05/19/97 task_id=74	service=shell

lab-i52.cisco.com dphillip tty18 170.69.200.7 stop server=ciscosecure-sun 
     time=10:09:58 date=05/19/97 task_id=75 service=shell	
     priv-lvl=15 cmd=configure terminal <cr>

lab-i52.cisco.com dphillip tty18 170.69.200.7 stop server=ciscosecure-sun 
     time=10:10:03 date=05/19/97 task_id=76 service=shell 
     priv-lvl=15 cmd=ip route 1.1.1.1 255.255.255.255 Serial 0 <cr>

Q. CallerID est-il capturé en comptabilité ?

A. Oui, CallerID est enregistré dans le domaine de rem_addr. Il peut contenir identification de ligne d'appel (CLID) et le service d'informations composé de nombre (DNIS), qui sont séparés par un slash en avant (/).

Erreurs et élimination des imperfections

Q. Comment corriger l'erreur « User Access Filtered » ?

A. Désactivez les restrictions d'accès au réseau (NAR) ou configurez-les pour l'utilisation.

Q. Comment est-ce que je détermine ce que le type de message « Authen a manqué » signifie ?

A. Notez la date et l'heure du message, accédez au fichier journal CSAuth et recherchez la date et l'heure. Une explication plus détaillée du message est alors présentée.

Q. Tandis que le CSUnix installe sur le noyau 8 de Solaris, il génère des erreurs. Pourquoi cela ?

A. Vérifiez que les fichiers de package ne manquent pas du noyau installent :

/usr/lib/libX11.so.4, a symlink pointing to /usr/openwin/lib/libX11.s0.4
/usr/lib/libXext.so.0, a symlink pointing to /usr/openwin/lib/libXext.so.0
/usr/ucblib/libucb.so.1 

Q. CSUnix ERREUR reçoit de Syslog message '- incapable d'obtenir le nom du NAS 134.' ce qui fait ce moyen ?

A. S'il y a un serveur de commutation de contenu impliqué, allez à lui et enlevez les tacacs du serveur. Ajoutez les tacacs que la fréquence 0 ajoutent alors des tacacs de nouveau à ce serveur. C'est semblable à une attaque et un de ces derniers résout ce problème.

Émettez ces commandes afin de désactiver le Keepalives TACACS sur le serveur CSS :

CSS(config)# no tacacs-server 10.152.4.24 49 
CSS(config)# tacacs-server frequency 0 
CSS(config)# tacacs-server 10.152.4.24 49 primary 

Q. Quand je mets au point sur mon routeur, je reçois un message d'erreur déformé « par protocole ». Qu'est-ce que cela signifie ?

A. Vous n'avez pas probablement une clé de licence valide dans le fichier CSU.cfg. Sans clé, quand CSUnix atteint quatre ports, il écrit une erreur au fichier $BASE/logfiles/cs_startup.log (où $BASEREPRESENTS le répertoire dans lequel CSUnix est installé). Il envoie alors un Licensednumber de message de dépassement de ports au routeur. Le routeur interprète ce message comme protocolgarbled. Pour plus de détails sur autoriser, référez-vous à LicensingIssues pour Cisco Secure UNIX.

Q. Queest-ce que je dois faire si je reçois un message de « erreur de sécurité » quand je me connecte à l'interface graphique utilisateur avancée ?

A. Éditez le fichier $BASE/config/CSConfig.ini (où $BASEREPRESENTS le répertoire dans lequel CSUnix est installé), et changez la ligne ValidateClients = rectifient à ValidateClients = faux. Réutilisez les services de sorte que la modification la prenne effet. Cette configuration indique CSUnix ne pas vérifier l'adresse IP de l'administrateur entrant.

S'il y a un besoin de vérifier des adresses IP, de laisser le ValidateClients = ligne vraie inchangée et d'inclure les lignes dans le fichier qui sont semblables à cette sortie :

[Valid Clients]
100=chicago.cisco.com
102=1.2.3.4

Q. Queest-ce que je dois faire si je reçois de « un message d'erreur trop de fichiers ouverts dans le journal de démarrage ?

A. Ces messages d'erreur indiquent qu'il y a trop peu de descripteurs de fichier de Solaris disponibles.

Jan 21 19:44:54 secs1 : (Too many open files)
Jan 21 19:53:17 secs1 CiscoSecure: ERROR - error on accept: (Too many open files)

Afin de corriger et empêcher ces erreurs, modifiez les fichiers de configuration de CSUnix suivant les indications de ces étapes.

  1. Augmentez la valeur d'ulimit à 4096 dans le fichier $BASE/bin/DBServer.sh (où $BASEREPRESENTS le répertoire dans lequel CSUnix est installé), à mesure qu'affiché ici.
    ulimit -n 4096
  2. Augmentez la valeur d'ulimit à 256 dans le fichier $BASE/bin/AcmeServer.sh, à mesure qu'affiché ici.
    ulimit -n 256
  3. Placez la valeur d'ulimit à illimité dans le fichier de /etc/rc2.d/S80CiscoSecure, comme affiché ici.
    ulimit -n unlimited

Q. Queest-ce que je dois faire si je ne peux pas commencer CSUnix et je vois un message d'échouer de seminit (libsec « .8187) » dans le fichier de cs_startup.log ?

A. Vérifiez les autorisations sur le répertoire de /tmp. Ils doivent être placés pour lire, écrire, et exécuter (rwx) pour des utilisateurs, des groupes, et autre. La sortie du LS - commande LD /tmp renvoie quelque chose semblable à ceci :

drwxrwxrwt 6 sys sys 317 Jul 8 12:00 /tmp

Remarque: Le message d'échouer de seminit (libsec .8187) est un message d'erreur de Netscape.

Q. Ce qui font je devez faire si j'essaye d'utiliser CSUnix et je reçois un « TAC+ : Réceptions de données malformées message d'erreur de serveur » ?

A. Ceci signifie qu'il y a ou une non-concordance principale entre le serveur d'accès à distance (NAS) et CSUnix ou il y a un problème avec le Système de noms de domaine (DNS) ou le service d'information réseau (NIS).

Afin de tester votre configuration, remplacez le NAS adresse IP ou nom par des guillemets vides ("") dans le fichier CSU.cfg. Ce remplacement permet à CSUnix de communiquer avec n'importe quel client avec une clé correcte. Un exemple des lignes dans le CSU.cfgfile avant et après le remplacement est affiché ici.

  • Avant :

    NAS config_nas_config = {
    {
    "192.91.124.172", /* NAS name can go here */
  • Ensuite :

    NAS config_nas_config = {
    {
    "", /* NAS name can go here */

Également essai pour désactiver des DN dans le fichier CSU.cfg en ajoutant cette ligne à la section de début avec l'autre NUMBERENTRIES :

NUMBER config_get_dns_names = 0

Référez-vous au guide utilisateur pour plus de détails.

Q. Queest-ce que je dois faire si la console du serveur Cisco Secure est inondée avec « ne peut pas le message d'erreur localiser profil de serveur » ?

A. Ce message d'erreur est habituellement cosmétique et est susceptible de se produire quand la base de données est copiée d'un serveur à l'autre. S'il y a un profil de serveur sur le serveur source mais aucun profil de serveur sur le serveur de cible, ce message est généré.

Afin d'empêcher cette erreur, vous pouvez ajouter le profil pour le serveur de CSUnix lui-même dans le GUI avancé. Ou, si vous n'utilisez pas le RAYON, vous pouvez désactiver le RAYON avec cette procédure :

  1. Sauvegarde le fichier de /etc/rc2.d/S80CiscoSecure.

  2. Éditez le fichier de /etc/rc2.d/S80CiscoSecure par l'insertion - R dans la ligne affichée ici.

    cd $BASE/CSU; $BASE/CSU/CiscoSecure -R -f $BASE/config/CSU.cfg 
    >>$BASE/logfiles/cs_startup.log 2>&1
  3. Redémarrez les services de CSUnix.

Q. Comment est-ce que je descends les informations de journalisation de protocole et plus de débogage détaillé au niveau de l'octet ? J'ai déjà changé la valeur de « config_logging_configuration » dans le fichier CSU.cfg, mais je n'obtiens toujours pas se connecter de protocole.

A. Protocol mettent au point les informations n'est pas envoyé au Syslog. Au lieu de cela, ces informations sont écrites à l'erreur standard. Dans la configuration normale, le serveur de CSUnix clôture le descripteur de fichier d'erreurs standard, qui entraîne le protocole met au point pour obtenir jeté dans la position de bit.

Afin de voir niveau de la Protocol met au point, vous doivent mettre en marche le serveur de CSUnix avec - c - les options de ligne de commande x. Ceci fait fonctionner le serveur d'AAA dans le premier plan et garde sa sortie standard et les descripteurs de fichier d'erreurs standard s'ouvrent. Vous voyez alors que le protocole met au point sur la console. Ceux-ci met au point peuvent également être capturés à un fichier utilisant la redirection d'erreur standard UNIX.

Q. Comment est-ce que je découvre le nombre de fichiers qu'un processus a ouvert ?

A. Émettez cette commande à la ligne de commande :

/usr/proc/bin/pfiles process_ID

Remplacez le process_ID par le nombre d'ID de processus.


Informations connexes


Document ID: 4186