Sécurité : Cisco Secure Access Control Server pour Windows

Secure ACS pour la Foire aux questions de Windows

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Questions


Introduction

Ce document répond à quelques forums aux questions au sujet du Cisco Secure Access Control Server (ACS) pour Windows.

Caractéristiques prises en charge

Q. Le système d'exploitation 64-bit fonctionne-t-il avec des Produits ACS ?

A. Oui. ACS 4.2.1 fournit le support 64-bit de Windows agent pour ACS Windows et ACS distant. Les versions antérieures à 4.2.1 ACS ne prend en charge pas le système d'exploitation 64-bit.

Q. La commande d'autorisation est-elle prise en charge dans ACS Express ?

A. Non. La commande d'autorisation est disponible seulement avec ACS (pas avec ACS exprès).

Q. Le serveur VMware ESX prend-il en charge Windows ACS 4.1 et 4.2 ?

A. ACS 4.1 et 4.2 ont été testés sur le serveur VMware ESX avec cette configuration :

  • VMWare ESX Server 3.0.0

  • 16 Go de RAM

  • Processeur AMD Opteron dual core

  • Disque dur de 300 Go

  • Quatre machines virtuelles

  • Windows 2003 Standard Edition

  • 3 Go de RAM pour le système d'exploitation client

Q. Quand la prise en charge du protocole de tunnellisation point à point (PPTP) avec génération de clé de chiffrement point à point de Microsoft (MPPE) a-t-elle été ajoutée à Cisco Secure ACS pour Windows ?

A. PPTP version 2.6 requiert l'authentification Microsoft Challenge Handshake Authentication Protocol (MS-CHAP) si la génération de clés MPPE (chiffrement) doit être faite. Dans les versions antérieures, l'authentification PPTP est possible. Cependant, la prise en charge de la génération de clés MPPE n'a pas été ajoutée avant ACS version 2.6.

Q. ACS prend-il en charge le protocole Microsoft Challenge Handshake Authentication Protocol (MS-CHAP) ?

A. ACS prend actuellement en charge MS-CHAP version 1. ACS version 3.0, et prendra ultérieurement en charge MS-CHAP versions 1 et 2.

Q. Est-il possible d'employer le rayon ACS afin de configurer l'authentification pour le Client VPN Cisco ?

A. Oui. Il est possible d'employer le rayon sur la version 5.2 ACS afin de configurer l'authentification pour le Client VPN Cisco. La version 5.0 ACS ne prend en charge pas l'utilisation du rayon de configurer l'authentification pour le Client VPN Cisco.

Q. Security Dynamics International (SDI) et ACS peuvent-ils être installés sur le même système ?

A. Oui, ACS et le serveur d'entrée de contrôle d'accès de SDI (ACE) peuvent être exécutés sur la même machine. La configuration de client-serveur avec un client ACS et ACE sur une machine et le serveur ACE sur une autre est également possible.

Q. Quelles sont les différences entre le protocole Password Authentication Protocol (PAP) et le protocole Challenge Handshake Authentication Protocol (CHAP) ? Pourquoi le protocole CHAP ne peut-il pas être utilisé avec la base de données NT ?

A. PAP envoie des mots de passe en clair entre l'utilisateur et le client ou le périphérique TACACS+ ou RADIUS. Si le mot de passe est correct, l'authentification est reconnue. Dans le cas contraire, la connexion prend fin.

CHAP envoie un message de défi à l'utilisateur distant. L'utilisateur distant répond avec une valeur calculée grâce à l'utilisation d'une fonction de hachage irréversible. Le client ou périphérique contrôle la réponse en la comparant à son propre calcul de la valeur de hachage attendue. Si les valeurs correspondent, l'authentification est reconnue. Dans le cas contraire, la connexion prend fin. Les mots de passe ne sont pas envoyés en clair.

CHAP ne peut pas être utilisé avec la base de données NT en raison des exigences RFC (1994) en matière de CHAP.leavingcisco.com Elle contient les exigences suivantes :

« CHAP requiert que le secret soit disponible en forme texte seul. Les bases de données de mot de passe chiffrées de manière irréversible et généralement disponibles ne peuvent pas être utilisées. »

Ceci exclut généralement l'utilisation de la base de données NT pour CHAP, avec Microsoft Challenge Handshake Authentication Protocol (MS-CHAP) comme solution.

Microsoft offre un correctif logiciel qui peut servir de solution pour les bases de données utilisateur Microsoft Windows NT. Il autorise l'enregistrement des mots de passe utilisateur au format texte seul. Pour plus d'informations, consultez la rubrique Mise à jour de l'authentification IAS (serveur RADIUS NT4.0) sur contrôleurs de domaine Windows NT4.0 .leavingcisco.com

Q. ACS sert-il de serveur proxy pour d'autres serveurs ?

A. Oui, ACS reçoit des requêtes d'authentification des serveurs d'accès au réseau (NAS) et les transfère à d'autres serveurs. Vous devez définir les autres serveurs. Afin de faire ceci, sélectionnez Network Configuration > AAA Servers sur la source. Le serveur source est défini en tant que NAS TACACS+ ou RADIUS sur la cible. Une fois que ceux-ci sont définis, configurez les paramètres système distribués de la configuration du réseau d'origine afin de définir les paramètres de proxy.

Q. Y a-t-il une limite sur le nombre de serveurs d'accès à distance qui sont pris en charge par ACS ?

A. Il n'y a aucune limite parce que le nombre est fonction du nombre pris en charge par le registre Windows NT. Ce nombre est estimé à des milliers de serveurs. Les informations NAS ne sont pas stockées dans la base de données. Elles sont enregistrées dans le registre. Par conséquent, quand vous émettez le csutil - commande d, vous ne sauvegardez aucune informations de NAS.

Q. Où les informations utilisateur sont-elles stockées dans ACS ?

A. ACS a sa propre base de données propriétaire. Elle est enregistrée dans plusieurs fichiers.

Q. L'élimination de domaine est-elle prise en charge par ACS ?

A. Oui. ACS prend en charge l'élimination de domaine. C'est utile quand un réseau privé virtuel à accès commuté (VPDN) et des utilisateurs non-VPDN cohabitent.

L'élimination de domaine est également utile quand la base de données externe NT est utilisée pour l'authentification. À la première connexion, le nom de l'utilisateur est auto-renseigné dans ACS. Puisqu'un utilisateur apparaît généralement comme DOMAIN_A\utilisateur ou comme utilisateur, les noms peuvent apparaître dans ACS en tant que « DOMAIN_A\utilisateur » ou en tant qu'« utilisateur. ». Par conséquent les deux entrées se trouvent dans la base de données. Les entrées en double peuvent être évitées avec l'utilisation de l'élimination de domaine. Il s'agit du cas où le domaine de préfixe avec le délimiteur \ peut être effacé afin d'avoir une base de données constante. Pour paramétrer cela, sélectionnez Network Configuration > Proxy Distribution Table.

Q. Qu'est-ce que la synchronisation du système de gestion de base de données relationnelle (RDBMS) ?

A. ACS prend en charge les bases de données RDBMS, telles qu'Oracle, afin de synchroniser la base de données entre deux systèmes qui utilisent n'importe quel RDBMS.

Q. Comment le logiciel CRYPTOCard est-il pris en charge dans les versions 3.0 et ultérieures d'ACS ?

A. Dans ACS versions 3.0 et ultérieures, le composant de serveur CRYPTOAdmin est supprimé d'ACS. Toutes les licences futures, gratuites ou non, doivent être obtenues directement de CRYPTOCard.

Q. Le relais DHCP est-il pris en charge sur ACS ?

A. Non Le relais DHCP n'est pas pris en charge sur l'ACS.

Q. Est-ce que je peux modifier le nom d'hôte du serveur ACS exécuté sur Windows ?

A. Non. Il n'est pas possible de changer l'adresse Internet de l'exécution de serveur ACS sur Windows. ACS est conçu par défaut pour prendre le nom de Windows Server comme nom de hôte.

Q. ACS est-il pris en charge sur les plates-formes de serveurs Windows 2008 ?

A. Oui. ACS est pris en charge sur les Windows Server 2008, et est fourni par le correctif 4 ACS 4.2 et plus tard. Consultez la section Scénarios pris en charge Windows et Active Directory 2008 dans les Notes de publication pour Cisco Secure ACS 4.2 pour plus d'informations.

Q. Le SNMP est-il pris en charge sur ACS pour Windows ?

A. Non Le SNMP est pris en charge seulement sur l'appliance ACS. Référez-vous à la section de support SNMP des périphériques et des Tableaux de logiciel interopérables pris en charge pour le document de version 4.2 de Cisco Secure ACS.

Q. L'IPv6 est-il pris en charge sur ACS ?

A. Non L'IPv6 n'est pas pris en charge sur ACS.

Q. La caractéristique PEAP-TLS est-elle prise en charge sur ACS ?

A. Non PEAP-TLS n'est pas pris en charge sur ACS.

TACACS+ et questions connexes de rayon

Q. ACS prend-t-il en charge RADIUS ?

A. Le degré de prise en charge de RADIUS dépend de la version d'ACS. Le Request For Comments (RFC) 2138leavingcisco.com et 2139leavingcisco.com sont toujours pris en charge, de même que les attributs de constructeur-particularité de logiciel de Ý de Cisco IOS (les VSAs). Pour obtenir une liste de la prise en charge de RADIUS dans une version particulière, sélectionnez Network Configuration > Network Device Groups > AAA Clients Area.

Q. ACS peut-il servir de proxy de traduction entre RADIUS et TACACS+ et inversement ?

A. ACS sert de proxy de RADIUS-à-RADIUS ou de TACACS+-à-TACACS+, mais pas entre des protocoles différents.

Q. Comment attribuer des adresses IP serveur Domain Naming System (DNS) et Windows Internet Naming Service (WINS) pour des connexions PPP d'ACS à l'aide de TACACS+ ?

A. Vous pouvez spécifier des adresses IP serveur DNS et WINS d'ACS pour chaque utilisateur ou pour un groupe d'utilisateurs et ajouter ces lignes en tant qu'attributs personnalisés de l'IP de PPP dans la configuration du groupe.

dns-servers = 10.1.1.1 10.1.1.3

wins-servers = 10.1.1.5 10.1.1.16

Q. Comment attribuer des adresses IP serveur Domain Naming System (DNS) et Windows Internet Naming Service (WINS) pour des connexions PPP d'ACS à l'aide de RADIUS ?

A. Vous pouvez spécifier des adresses IP serveur DNS et WINS d'ACS pour chaque utilisateur ou pour un groupe d'utilisateurs et ajouter ces lignes dans les attributs RADIUS Cisco et dans la paire AV dans la configuration du groupe.

ip:wins-server=123.1.1.1 123.1.1.2

ip:dns-servers=212.1.1.1 212.1.1.2

Q. Comment modifier le port dans lequel le serveur RADIUS consulte les paramètres de registre ?

A. Depuis la version 2.5, ACS procède à une écoute sur les ports RADIUS de protocole de datagramme utilisateur (UDP) 1645 et UDP 1812 pour l'authentification et sur les ports 1646 et 1813 pour les comptes.

Si vous utilisez une version antérieure, modifiez les ports d'écoute. Pour ce faire, rééditez les valeurs d'attribut de la clé appropriée dans le registre Windows :

HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\CiscoAAAv2.3\CSRadius
"AuthenticationPort"=dword:1812
"AccountingPort"=dword:1813
This can also be changed in the newer version:
HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\CiscoAAAv3.0\CSRadius
AccountingPort = 1646
AccountingPortNew = 1813
AuthenticationPort = 1645
AuthenticationPortNew = 1812

Q. Puis-je modifier le port par défaut pour TACACS+ sur une valeur autre que TCP 49 ?

A. Modifiez la valeur par défaut du port pour les services TACACS+. Pour ce faire, modifiez les valeurs d'attribut de la clé appropriée dans le registre Windows :

HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\CiscoAAAv3.0\CSTacacs
"Port"=dword:59

Q. Je ne veux pas me charger du travail supplémentaire consistant à lister tous les serveurs d'accès au réseau (NAS) de mon réseau. En plus, ils ont tous les mêmes clés de serveur tacacs. Comment configurer une clé par défaut pour mes NAS ?

A. Ajoutez le NAS par défaut dans le secteur de configuration de NAS en indiquant aucun nom d'hôte ni aucune adresse IP. Indiquez seulement la clé. Cliquez sur Submit. Vous voyez ensuite others et *.*.*.?.

Remarque: Cette procédure fonctionne seulement pour TACACS+, et pas pour RADIUS.

Q. Je veux utiliser TACACS+ et RADIUS sur un périphérique avec authentification ACS. L'un servira pour la numérotation et l'autre pour la gestion des routeurs. Comment procéder ?

A. Configurez un serveur d'accès réseau par défaut (NAS) comme décrit dans la question précédente pour TACACS+, puis énumérez le NAS pour RADIUS. Le NAS envoie des demandes de numérotation RADIUS à ACS sur le port RADIUS si la commande aaa authentication ppp default if-needed RADIUS est émise.

Le NAS envoie des demandes d'administration de routeur TACACS+ à ACS sur le port TACACS+ si la commande aaa authentication login default TACACS+ est émise.

Questions connexes d'authentification

Q. Que dois-je vérifier quand les utilisateurs ne peuvent pas s'authentifier dans la base de données NT ?

A. Suivez ces étapes afin de résoudre ce problème :

  1. Vérifiez si vous pouvez authentifier l'utilisateur sur le domaine local. Pour vérifier ceci, sélectionnez Start > Shutdown > Close all programs and log on as a different user. Si vous ne pouvez pas authentifier l'utilisateur sur le domaine local, ACS ne fonctionne pas.
  2. Si vous avez activé l'option verify grant dialin permission for the users lors de la configuration de la base de données Cisco Secure, vérifiez si les droits de dialin sont autorisés pour cet utilisateur dans la base de données NT.
  3. S'il s'agit d'une connexion de numérotation, assurez-vous que le protocole Password Authentication Protocol (PAP) or Microsoft Challenge Handshake Authentication Protocol (MS-CHAP) (et non CHAP) est configuré sur le routeur et le PC.

Q. Que dois-je vérifier quand les utilisateurs ne peuvent pas s'authentifier dans la base de données Novell Directory Server (NDS) ?

A. Vérifiez si le nom d'arborescence, de contexte et le nom du conteneur sont spécifiés correctement. Commencez avec un conteneur où les utilisateurs sont présents. Vous pouvez ajouter plus de conteneurs plus tard.

Si vous réussissez, vérifiez le NAS pour voir si vous pouvez authentifier l'utilisateur du système essentiel (utilisateur Telnet). Assurez-vous également que, pour PPP, l'authentification du protocole d'authentification de mot de passe (PAP) est configurée sur l'interface asynchrone.

Q. Comment dépanner un problème d'authentification Security Dynamics International (SDI) ?

A. Effectuez ces étapes afin de dépanner un problème d'authentification SDI.

  1. Authentifiez l'utilisateur avec l'agent de test d'entrée de contrôle d'accès (ACE).
  2. Si ceci fonctionne, confirmez que la carte est synchronisée avec la base de données. Assurez-vous d'utiliser le chiffrement Data Encryption Standard (DES) sur le serveur de SDI quand la carte est initialisée. Certains SDI ne fonctionnent pas.
  3. Ouvrez le moniteur d'activité sur le serveur ACE lorsque vous tentez une authentification Telnet à un périphérique.
  4. Vérifiez s'il y a des erreurs sur le moniteur d'activité sur le serveur ACE.
  5. Si le serveur ACE fonctionne, et s'il y a un problème avec les utilisateurs de numérotation, vérifiez les paramètres sur les serveurs d'accès au réseau (NAS) afin de vous assurer que le protocole Password Authentication Protocol (PAP) est configuré. Essayez ensuite de vous connecter en tant qu'utilisateur non-SDI.
  6. Si ceci fonctionne, la connexion en tant qu'utilisateur SDI devrait fonctionner. Saisissez le nom de l'utilisateur dans l'onglet du nom de l'utilisateur et le code dans l'onglet du mot de passe dans Dial-up Networking.
  7. Si le client du lieu de numérotation est configuré pour ouvrir l'écran post-terminal après la numérotation, assurez-vous d'exécuter la commande authentication, authorization et accounting (AAA) sur le NAS :
    aaa authentication ppp default if-needed 
    tacacs+/Radius
    
    La clé doit être utilisée si nécessaire. Ceci signifie que l'utilisateur est déjà authentifié par l'émission de cette commande AAA :
    aaa authentication login default
    	 tacacs+/radius
    
    Par conséquent, vous ne devez pas authentifier l'utilisateur à nouveau lorsque vous utilisez le protocole PPP. Ceci s'applique également quand vous utilisez le mot de passe PAP normal.

Q. Mon authentification ACS ne fonctionne pas pour les services multilink. Que dois-je dois faire ?

A. Sélectionnez Interface Configuration > Tacacs+ (Cisco) > Add New Service. Attribuez ppp en tant que service et multilink comme protocole.

Remarque: PPP et multilink sont en minuscules.

Q. Quelle est la politique de licence du serveur d'authentification CRYPTOAdmin pour les clients Cisco ?

A. Une description complète des conditions générales de licence et des futures mises à jour peuvent être obtenues en envoyant un courriel à sales@cryptocard.com. Le code produit de référence est CA5.1SC. Un package d'évaluation du logiciel CRYPTOAdmin Server, qui inclut une licence temporaire et des jetons de logiciel, peut être obtenue sur la page de téléchargement de CRYPTOCard .leavingcisco.com

Q. Quand j'active l'authentification « enable » dans le commutateur ou le routeur avec des commandes telles que « aaa authentication enable default tacacs+ » ou « set authentication login tacacs enable telnet primary », je ne peux pas accéder au mode « enable » et je reçois le message d'erreur Error in authentication sur le routeur. Que dois-je dois faire ?

A. Vérifiez les journaux des échecs de tentative dans ACS. Si le journal indique CS password invalid, peut-être qu'aucun mot de passe spécifique à « enable » n'a été défini pour l'utilisateur. Ceci est requis quand vous configurez l'authentification « enable ». Si vous ne voyez pas les paramètres avancés TACACS+ dans les options utilisateur, sélectionnez Interface Configuration > Advanced Configuration Options > Advanced TACACS+ Features et sélectionnez cette option afin que les paramètres TACACS+ apparaissent dans les paramètres utilisateur. Sélectionnez ensuite Max privilege for any AAA Client (habituellement 15) et saisissez le mot de passe TACACS+ Enable Password que vous voulez que l'utilisateur utilise pour « enable ».

Q. Comment est-ce que je détermine ce que le « Authen a manqué » type de message signifie ?

A. Notez la date et l'heure du message, accédez au fichier journal CSAuth et recherchez la date et l'heure. Une explication plus détaillée du message est alors présentée.

Q. L'utilisateur ne peut pas s'authentifier dans le sous-domaine avec ACS Express. Pourquoi est-ce que ceci se produit ?

A. Ce problème se produit quand l'utilisateur ne fournit aucun nom de domaine. Si le nom de domaine n'est pas fourni, ACS expriment des attemps pour ajouter le nom de domaine du domaine que l'ACS exprès est joint. Si un utilisateur réside dans un sous-domaine, et si ACS Express est associé à un domaine parent, alors l'utilisateur doit fournir un nom de domaine complet dans l'authentification de nom de l'utilisateur.

Q. ACS prend en charge-il QoS dans l'authentification de sorte que le RAYON puisse être donné la priorité au-dessus de TACACS ?

A. Non ACS ne prend en charge pas QoS dans l'authentification. ACS ne donnera pas la priorité à des demandes d'authentification de RAYON au-dessus des demandes TACACS ou TACACS au-dessus du RAYON.

Questions connexes de comptabilité

Q. La gestion des comptes ACS affiche le message NAS reset. Pourquoi ce message apparaît-il ?

A. Les messages NAS reset peuvent être générés par un redémarrage du périphérique ou par l'émission de la commande tacacs-server host #.#.#.# single-connection sur le logiciel Cisco IOS XE. Si le périphérique ne redémarre pas, émettez la commande tacacs-server host #.#.#.# afin de modifier la configuration pour éliminer les messages.

Q. Puis-je envoyer les informations de compte à un autre système et en garder une copie sur le système local ?

A. Oui. Choisissez la configuration système > commande logging on pour configurer cette option.

Q. Cisco recommande-t-il une application logicielle qui peut être utilisée pour les activités de rapport sur les journaux relatifs aux comptes disponibles dans ACS ?

A. Les journaux de compte ACS sont enregistrés dans l'un des deux formats proposés :

  • Fichiers CSV : le format de fichier de valeurs séparées par des virgules (CSV) enregistre les données dans les colonnes séparées par des virgules. Ce format est facilement importé dans un grand choix d'applications tierces, telles que Microsoft Excel ou Microsoft Access. Après l'importation des données à partir d'un fichier CSV dans de telles applications, préparez des tableaux ou effectuez des requêtes, par exemple pour déterminer combien d'heures un utilisateur est connecté au réseau au cours d'une période donnée.

  • Tables de bases de données compatibles ODBC : la journalisation de l'interface universelle de connexion aux bases de données (ODBC) vous permet de configurer ACS pour qu'il consigne les informations directement dans une base de données relationnelle compatible ODBC, où les informations sont stockées dans des tables, une table par journal. Après l'exportation des données vers la base de données relationnelle, utilisez les données comme vous le souhaitez.

Avec l'une ou l'autre de méthode, le logiciel utilisé pour analyser des journaux est communément disponible. Cependant, Cisco ne recommande pas de fournisseur particulier.

Q. Les informations de compte ACS (en cas de modification) accèdent-elles au système de surveillance, analyse et réponse (MARS) ?

A. Malheureusement, MARS ne prend actuellement pas en charge la fonction d'analyse d'autres éléments que les journaux Failed Attempts, Passed Authentications et RADIUS Accounting.

Dans ACS 5.0, l'affichage ACS, plus que MARS, constitue l'interface de la surveillance et du rapport ACS.

Questions connexes de sauvegarde

Q. Comment sauvegarder ACS ?

A. Vous pouvez sauvegarder ACS via l'interface graphique utilisateur avec l'aide de l'onglet de configuration système, ou utilisez l'interface de ligne de commande (CLI). Si vous utilisez l'interface graphique utilisateur, les utilisateurs, groupes et paramètres de registre sont sauvegardés. Si vous utilisez le CLI, émettez ces commandes :

Pour un vidage mémoire des utilisateurs et des groupes :

$BASE\utils\csutil -d

Pour une sauvegarde des utilisateurs, des groupes et des paramètres de registre :

$BASE\utils\csutil -b

Pour plus d'informations sur la façon exécuter une sauvegarde ACS, référez-vous comment à la sauvegarde le Cisco Secure ACS pour la base de données de Windows.

Q. Puis-je utiliser l'utilitaire de sauvegarde sur ACS, puis restaurer les informations sur un autre serveur ?

A. Non. L'utilitaire de sauvegarde est destiné pour sauvegarder l'utilisateur, le groupe, et les informations de registre d'une case ACS et pour les restaurer dans la même case ACS qui exécute la même version du logiciel. Si vous devez cloner une boîte ACS, la réplication est disponible à la place.

Si vous devez copier seulement des utilisateurs et des groupes d'un serveur à un autre, émettez la commande csutil -d. Le nouveau fichier texte de vidage mémoire (.txt) est alors copié dans la boîte de destination. Après ceci, émettez la commande csutil - n - l afin d'initialiser la base de données et d'importer les utilisateurs et les groupes.

Q. Le message d'erreur CSBackupRestore(OUT) cannot save reg key s'affiche lorsque j'essaye de sauvegarder les données sur ACS. Quelle est la raison de cette erreur ?

A. Cette erreur se produit quand le disque sur lequel l'ACS est installé est complètement plein ou protégé en écriture. Assurez-vous qu'il y a asse'espace disque libre et il n'est pas protégé en écriture de sorte que l'erreur ne se produise pas de nouveau.

Questions connexes de mot de passe

Q. Avec Cisco Secure, vous pouvez obliger les utilisateurs à modifier leurs mots de passe après un délai donné. Cette opération est-elle possible lorsque la base de données Windows NT sert pour l'authentification ?

A. Cette fonctionnalité est disponible dans toutes les versions, quand vous utilisez la base de données Cisco Secure pour l'authentification. Les versions 3.0 et ultérieures prennent en charge le protocole Microsoft Challenge Handshake Authentication Protocol (MS-CHAP) version 2 et MS-CHAP Password Aging. Ceci fonctionne avec le client Microsoft Dial-Up Networking, le client Cisco VPN (versions 3.0 et ultérieures), et n'importe quel client de bureau qui prend en charge MS-CHAP. Cette fonctionnalité vous invite à modifier votre mot de passe après une connexion où le mot de passe a expiré. La fonction « MS-CHAP password-aging » prend en charge les utilisateurs qui s'authentifient avec une base de données d'utilisateur Windows. Elle est proposée en plus de la fonction « Password aging » prise en charge par la base de données utilisateur Cisco Secure. Cette fonctionnalité est ajoutée dans ACS 3,0, mais elle doit également être prise en charge par le périphérique ou le client. Cisco Systems ajoute graduellement la prise en charge de ce type de périphériques ou de client à divers matériels.

Q. Comment les utilisateurs modifient-ils leurs propres mots de passe ?

A. Les utilisateurs sont avisés de l'expiration des mots de passe de la base de données Cisco Secure sur des connexions de numérotation si l'agent Cisco Secure Authentication Agent est sur le PC. Une fois que les utilisateurs sont dans le réseau, ils utilisent le logiciel de mot de passe modifiable par l'utilisateur, qui fonctionne avec Microsoft IIS. Quand les utilisateurs sont sur le réseau, ils indiquent dans leurs navigateurs le chemin vers le système où le point de contrôle utilisateur (UCP) est installé et modifient leurs mots de passe.

Q. Quel algorithme de chiffrement est utilisé pour stocker les mots de passe ACS ?

A. Des mots de passe sont chiffrés avec Crypto API Microsoft Base Cryptographic Provider version 1.0, l'algorithme RC2 et une clé 40 bits. Pour de plus amples informations, consultez la rubrique Bases de données utilisateur - À propos de la base de données utilisateur Cisco Secure.

Q. Les configurations par défaut permettent aux utilisateurs de modifier leurs mots de passe en se connectant au routeur via Telnet. Comment désactiver cette option ?

A. Afin d'empêcher des utilisateurs de modifier leurs mots de passe via Telnet, exécutez ces étapes.

  1. Sauvegardez le registre local.
  2. Accédez à la clé du registre HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\CiscoAAAv< votre_version >\CSTacacs
  3. Sélectionnez CSTacacs. Cliquez avec le bouton droit de la souris et sélectionnez NEW-DWORD afin d'ajouter une valeur de registre.
  4. Quand la nouvelle clé apparaît sur le côté droit de la fenêtre, saisissez disablechangepassword dans la nouvelle fenêtre de clé.
  5. La valeur par défaut pour la nouvelle clé est 0. Ceci permet aux utilisateurs de modifier le mot de passe. Cliquez avec le bouton droit sur la nouvelle clé et sélectionnez Modify. Modifiez alors la valeur de la clé en 1 afin de désactiver la capacité à modifier le mot de passe.
  6. Après l'ajout de cette nouvelle clé, redémarrez les services CSTacacs et CSAuth.

Q. La règle TACACS+ Password Aging Rule ne fonctionne pas avec le SSH quand Apply password change rule est défini. Comment régler ce problème ?

A. Utilisez Telnet pour l'authentification.

Le mot de passe utilisateur TACACS+ peut changer, par exemple avant l'expiration. Pendant la connexion, n'utilisez pas le SSH. Le problème concerne le serveur TACACS+ AAA et SSH afin d'établir la session. Ceci ne s'applique pas aux sessions RADIUS ou Telnet.

TACACS+ propose une fonctionnalité dans laquelle, si aucun mot de passe n'est fourni au serveur AAA, une séquence de modification de mot de passe est déclenchée. Par exemple, des demandes d'anciens mots de passe sont suivies par de nouveaux mots de passe. Ceci dépend de la réussite ou de l'échec et de l'échec ou de l'acceptation du nouveau mot de passe.

Utilisez Telnet si le mot de passe doit être modifié avant l'expiration. Pour les mots de passe expirés, le comportement SSH convient car il déclenche une séquence de modification de mot de passe.

Si Telnet est utilisé avec un routeur, l'utilisateur peut simplement taper sur Entrée à l'invite pour le mot de passe : afin de lancer la séquence de modification de mot de passe. L'utilisateur peut également être notifié si son mot de passe expire ou a expiré. Cette fonctionnalité ne fonctionne pas quand vous vous connectez au routeur par le SSH.

Q. Comment récupérer le mot de passe pour le serveur Cisco Secure ACS ?

A. Pour connaître la procédure pas à pas pour récupérer le mot de passe pour le serveur Cisco Secure ACS, consultez la rubrique Procédure de récupération de mot de passe pour le moteur de solution Cisco Secure ACS qui explique le processus de récupération en détail.

Questions distantes d'agent

Q. Parfois, le délai d'attente se termine lors de la tentative de communication avec l'agent distant. Pourquoi ?

A. Assurez-vous que la version du logiciel sur le serveur ACS et l'agent distant sont identiques. Par exemple, si votre ACS SE exécute la version 4.1 du logiciel, vous devez utiliser la version 4.1 de l'agent distant dans l'AD. Si les versions du logiciel ne sont pas identiques, la configuration ne fonctionnera pas et vous pourriez recevoir ce message d'erreur : External DB user invalid or bad password.

Q. Comment supprimer ou retirer les agents distants dans ACS ?

A. Exécutez ces étapes afin de retirer ou de supprimer les agents distants dans ACS :

  1. Accédez à Services dans Windows Server et arrêtez le service de l'agent ACS.
  2. Accédez à ACS et arrêtez les services de connexion. Choisissez System Configuration > login > Remote Login setup et choisissez Do not log Remotely.
  3. Essayez de supprimer l'agent distant. Consultez la rubrique Suppression d'une configuration d'agent distant pour obtenir plus d'informations sur la suppression d'un agent distant.

Q. Quand des agents distants sont ajoutés à ACS, cette erreur se produit : Failed to commit all Fields. Comment est-ce que je peux résoudre cette erreur ?

A. Le message d'erreur Failed to commit all Fields s'affiche souvent quand un correctif n'est pas installé correctement ou est corrompu. La nouvelle création d'images d'ACS et la restauration de la configuration résout l'erreur.

Questions de réplication

Q. Si la réplication échoue, que dois-je rechercher ?

A. Dans l'interface de la ligne de commande, émettez la commande net stopcsauth afin d'arrêter le service sur chaque serveur. Émettez alors la commande csauth - z -p afin d'exécuter la source et la cible dans le débogage, puis recherchez les messages dans la fenêtre. Le résultat est également enregistré dans le fichier $BASE\CSAuth\Logs\auth.log. Souvent un ou plusieurs des serveurs AAA (authentication, authorization et accounting) sont mal configurés. Recherchez par conséquent les messages sur la cible qui signalent des requêtes d'hôtes illégaux ou inconnus. Si la source a plusieurs adaptateurs réseau, alors la cible voit la mauvaise adresse IP et la cible est refusée parce qu'inconnue.

Q. J'utilise ACS avec des serveurs dans des zones géographiquement dispersées, et les services sont perturbés en cas de réplication. Comment régler ce problème ?

A. Assurez-vous que les périphériques d'authentification sont configurés pour le basculement. En d'autres termes, assurez-vous qu'il y a au moins deux serveurs définis pour la sauvegarde si un serveur est inaccessible. (C'est une bonne idée, que la réplication soit impliquée ou non.) Par exemple, si la configuration a un ACS aux États-Unis qui se réplique en un deuxième ACS en Australie, il n'est probablement pas judicieux de configurer les périphériques d'authentification pour qu'ils tentent la connexion aux États-Unis d'abord, puis en Australie. Installez un deuxième serveur local (aux États-Unis) et répliquez-le à partir du maître des États-Unis vers l'esclave des États-Unis. L'esclave des États-Unis se réplique ensuite en un esclave en Australie.

Messages de journalisation

Q. Les journaux sont-ils transférés au format natif ACS ou sont/peuvent-ils être convertis par Syslog ?

A. Non, ce sont des fichiers Syslog natifs.

Q. Comment générer un fichier journal quotidiennement sur Cisco Secure ACS SE ?

A. Pour chaque journal CSV, Cisco Secure ACS génère un fichier journal distinct. Quand un fichier journal atteint une taille de 10 Mo, Cisco Secure ACS commence un nouveau fichier journal. Cisco Secure ACS conserve les 7 fichiers journaux les plus récents pour chaque journal CSV. Pour plus d'informations sur la génération d'un journal, consultez la rubrique Activation ou désactivation un journal CSV.

Messages d'erreur

Q. Comment corriger l'erreur « User Access Filtered » ?

A. Désactivez les restrictions d'accès au réseau (NAR) ou configurez-les pour l'utilisation.

Q. Quand je configure l'authentification, je reçois le message d'erreur Chpass is currently disabled. lorsque j'essaye de m'authentifier. Comment faire pour résoudre ce problème ?

A. Le mot de passe du compte utilisateur doit être défini sur change on login. Afin de modifier le mot de passe, sélectionnez Configuration système > Local Password Management > Disable TELNET. Modifiez le mot de passe pour ACS et renvoyez le message suivant à la session Telnet « Chpass is currently disabled. » et désélectionnez la case. Ceci vous permet de modifier le mot de passe.

Q. Quand j'essaye de télécharger la base de données avec la commande csutil.exe -d, j'obtiens le message d'erreur « Failed to initialize crypto API ». Qu'est-ce que cela signifie ?

A. Vous recevez ce message d'erreur quand vous vous connectez à un serveur de Cisco Secure ACS avec un compte autre que le compte d'administration. Ainsi, la commande de csutils ne peut plus être exécutée.

Une autre raison pour cette erreur est que les mots de passe et les clés AAA dans la base de données ACS sont chiffrés avec l'API Microsoft Crypto. Seuls les administrateurs locaux et le système réel peuvent accéder aux informations importantes requises afin de déchiffrer ces mots de passe et clés.

Q. Quand j'essaye de mettre à niveau Cisco Secure ACS pour Windows 3.0.3 en 3.2, je reçois le message d'erreur « ACS FOLDER IS LOCKED BY ANOTHER APPLICATION ». Que dois-je dois faire ?

A. Procédez comme suit :

  1. Exécutez l'utilitaire Filemon afin de rechercher toute « violation de partage » lors de la tentative d'installation.

    Remarque: N'utilisez pas les services terminaux afin de promouvoir et désactiver le service temporairement.

  2. Effectuez la modification via Configuration système > Service Control > Manage Directory uniquement pour garder les sept derniers fichiers.

Q. Quand j'essaie d'ouvrir l'interface graphique utilisateur, une erreur Invalid administration control se produit. L'installation est réussie et les services fonctionnent. Quel est le problème ?

A. Ce problème apparaît habituellement quand le navigateur fait configurer un serveur proxy. Pour résoudre ce problème, désactivez le serveur proxy complètement et ouvrez l'écran de gestion ACS.

Q. Je constate des choses étranges dans l'interface graphique utilisateur ACS. Par exemple, les mêmes utilisateurs apparaissent dans plusieurs groupes et je ne peux pas supprimer les utilisateurs de la base de données. Comment réparer ce genre de corruption ?

A. Exécutez ces étapes afin d'ajouter un utilisateur :

  1. Ajoutez un nouvel enregistrement à la fin du fichier.
  2. Créez un chemin d'index vers le nouvel enregistrement.

S'il y a une interruption des services CSAuth pendant ce processus, il est possible que l'enregistrement soit dans la base de données. Cependant, il ne peut pas être modifié parce qu'il utilise une recherche via le code d'indexation.

Afin de nettoyer la base de données, accédez à l'interface de la ligne de commande et émettez la commande $BASE\utils\csutil -q -d -n -l dump.txt.

$BASE est le répertoire où le logiciel est installé. Cette commande entraîne le déchargement et le rechargement de la base de données afin d'effacer les compteurs.

Q. Je ne peux pas démarrer les services pour RADIUS après avoir réinstallé le logiciel plusieurs fois. L'erreur d'événement indique que le service a été terminé avec service specific error 11.

A. Il y a plusieurs et différentes raisons pour lesquelles vous ne pouvez pas démarrer le service CSRadius. Le problème le plus courant est l'exécution de Windows avec un Service Pack non pris en charge, ou un conflit de logiciel avec une autre application. Les plates-formes et les Service Pack pris en charge sont spécifiés dans la documentation relative à l'installation.

Afin de rechercher les conflits de port, accédez à l'interface de ligne de commande du serveur et émettez les commandes netstat -an | findstr 1645 et netstat -an | findstr 1644 pour voir si un autre service utilise ces ports de protocole de datagramme utilisateur (UDP). Si un autre service utilise ces ports, le résultat est semblable au résultat suivant :

UDP 0.0.0.0:1645 *:*

UDP 0.0.0.0:1646 *:*

Une autre cause possible du message d'erreur est que les services Microsoft Server n'ont probablement pas commencé. Afin de vérifier ceci, sélectionnez Panneau de configuration > Services et assurez-vous que les options de service du serveur Started et Automatic sont sélectionnées.

Q. L'installation ACS échoue et je constate une erreur à propos de NSLDAPSSL32V30.dll qui indique que le fichier ne peut pas être écrasé. Quelle est la raison de ce problème et comment le résoudre ?

A. Cette erreur peut être provoquée par un conflit avec une installation de Cisco Secure VPN Client version 1.1. Résolvez le conflit avec la suppression du client VPN du système.

Divers

Q. Je ne peux pas connecter l'ACS Solution Engine (SE) avec une base de données externe Windows. Pourquoi ?

A. La raison pour cette question est la base de données externe de Windows est un système d'exploitation 64-bit. Les Produits ACS avec la version antérieure à 4.2.1 ACS ne fonctionnent pas avec le système d'exploitation 64-bit. Dans la version 4.2.1 et ultérieures ACS le système d'exploitation de 64 bits est pris en charge et par conséquent vous pouvez connecter les ACS Solution Engine (expert en logiciel) à une base de données externe de Windows.

Q. Comment activer IETF pair # 80 - framed-pool sur Cisco Secure ACS ?

A. Vous ne pouvez pas directement modifier cet attribut parce que l'interface graphique utilisateur ACS a déjà une option qui permet de définir cette valeur.

Dans la section « affectation d'adresses IP » de la modification de groupe, vous avez trois options : « no ip address assignment », « assigned by dialup client » et « Assigned from AAA client pool ». Il y a une quatrième option, « Assigned from AAA server pool », si les pools sont attribués.

Vous devez utiliser la troisième option (« Assigned from AAA client pool »). La définition de cette option et du nom du pool permettra de renvoyer cette valeur pour l'attribut 88. Les paramètres côté utilisateur sont les suivants si vous devez effectuer la configuration au niveau de chaque utilisateur. En outre, vous devez définir le client AAA pour pouvoir procéder à une authentification avec RADIUS (IETF).

Q. Des outils peuvent-ils être utilisés pour accéder à des fichiers et/ou les trier ?

A. Aucun outil n'est fourni avec ACS. Pour obtenir des informations supplémentaires, consultez la rubrique Cisco recommande-t-il une application logicielle qui peut être utilisée pour les activités de rapport sur les journaux relatifs aux comptes disponibles dans ACS ?

Q. La configuration d'ACS a été modifiée pour exiger un nom d'utilisateur et un mot de passe pour se connecter localement. Tous les comptes sont verrouillés maintenant. Comment résoudre ce problème ?

A. La solution au problème dépend de la version du logiciel en place. Quelle que soit la version du logiciel dont vous disposez, assurez-vous de sauvegarder le registre NT d'abord.

Dans les premières versions ACS, le nom de l'utilisateur et le mot de passe exigés pour la connexion locale peuvent être modifiés dans le registre. Émettez la commande regedit et recherchez allow AutoLocalLogin. Modifiez la valeur du registre en 1 afin d'autoriser la procédure de connexion locale, puis recyclez les services.

Dans ACS version 2.6 et ultérieures, émettez la commande regedit et supprimez les utilisateurs de cet emplacement :

HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\CiscoAAA##\CSAdmin\Administrators

Sous les clés administrateur, consultez tous les administrateurs que vous avez créés. Supprimez les utilisateurs et quittez le registre. Quand vous accédez à ACS, aucun nom d'utilisateur ni mot de passe n'est demandé. Une fois que vous êtes dans l'interface graphique utilisateur, ajoutez des administrateurs.

Q. Le chapitre de la documentation ACS sur l'utilitaire de la base de données en ligne de commande Cisco Secure ACS explique comment importer par lot un grand nombre d'utilisateurs dans ACS avec la commande csutil -i. Comment importer des serveurs d'accès au réseau (NAS) par lot ?

A. La procédure utilisée pour importer par lot des NAS est semblable à celle de l'importation des utilisateurs. Ce fichier plat est un exemple :

ONLINE 
ADD_NAS:sam_i_am:IP:10.31.1.51:KEY:cisco:VENDOR:CISCO_T+ 
ADD_NAS:son_of_sam:IP:10.31.1.52:KEY:cisco:VENDOR:CISCO_R

Les NAS peuvent également être importés dans un groupe de périphériques réseau particulier. Ce fichier plat est un exemple :

ADD_NAS:koala:IP:10.31.1.53:KEY:cisco:VENDOR:CISCO_R:NDG:my_ndg

Q. Comment obtenir ACS 3.2 afin de mettre à niveau vers une version antérieure ?

A. Pour plus d'informations, consultez la rubrique Q et A pour Cisco Secure ACS Version 3.2 pour Windows 2000 et NT.

Q. Comment configurer la base de données Novell Directory Server (NDS) ?

A. Si vous sélectionnez NDS Server Support, effectuez ces étapes :

  1. Contactez votre administrateur Novell NetWare afin d'obtenir les noms et autres informations pour l'arborescence, le conteneur et le contexte.
  2. Cliquez sur NDS Server Support.
  3. Saisissez un nom pour la configuration. Ce nom est à des fins d'information seulement.
  4. Saisissez le nom de l'arborescence.
  5. Saisissez la liste des entrées des contextes complète mais séparée par des points (.). Séparez les entrées des listes multiples de contexte par une virgule et un espace. Par exemple, si votre organisme est une société, son nom est Chicago, et si vous voulez saisir deux noms de contexte (marketing et services techniques), saisissez ces informations :
    Engineering.Chicago.Corporation, 
    Marketing.Chicago.Corporation
    Vous n'avez pas besoin d'ajouter des utilisateurs dans la liste de contexte.
  6. Cliquez sur Submit. Les modifications prennent effet immédiatement. Vous n'avez pas besoin de redémarrer ACS.

    attention Attention : Si vous cliquez sur Delete, vos paramètres de base de données sont supprimés.

Q. Comment trouver le numéro de version exact de mon logiciel ACS ?

A. Deux méthodes permettent de vérifier la version.

  • Quand vous ouvrez le navigateur, recherchez ceci au bas de la page :

    Cisco Secure ACS v2.3 for Windows NT
     
    Release 2.3(2)
  • Ouvrez l'invite de commande DOS sur la machine Cisco Secure et lancez l'exécution :

    D:\Program Files\Cisco Secure ACS v2.3\Utils>csutil
    CSUtil v2.3(2.4), Copyright 1997, Cisco Systems Inc.

Q. Mon rapport des utilisateurs connectés ACS fonctionne avec certains périphériques, mais pas avec d'autres. Quel est le problème ?

A. Pour que les rapports des utilisateurs connectés fonctionnent (ceci s'applique également à la plupart des autres fonctionnalités qui impliquent des sessions), les paquets doivent inclure au moins ces champs :

Paquet de requête d'authentification

nas-ip-address
nas-port

Paquet de début de compte

nas-ip-address
nas-port
session-id
framed-ip-address

Paquet de fin de compte

nas-ip-address
nas-port
session-id
framed-ip-address

Les attributs (tels que nas-port et nas-ip-address) qui apparaissent dans plusieurs paquets doivent contenir la même valeur dans tous les paquets.

Si une connexion est si brève qu'il y a peu de temps entre les paquets de début et de fin (par exemple, HTTP via PIX), alors les utilisateurs connectés ne travaillent pas.

ACS versions 3.0 et ultérieures permettent au périphérique d'envoyer les informations nas-port ou nas-port-id.

Q. Quand j'accède à l'interface graphique utilisateur ACS via un pare-feu, l'adresse du serveur dans le champ URL passe d'une adresse IP globale à une adresse locale. Que se passe-t-il ?

A. Dans la version actuelle d'ACS 3.0, ce problème est résolu. L'adresse IP globale ne change pas quand vous passez à des pages suivantes après la connexion initiale.

Q. Un utilisateur peut-il être dans plus d'un groupe à la fois ?

A. Non. Un utilisateur ne peut pas être dans plus d'un groupe à la fois.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 8539