Sécurité : Dispositif Cisco NAC (Clean Access)

Clean Access Agent - Forum Aux Questions

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Questions


Introduction

Ce document répond aux questions les plus fréquentes (FAQ) liées à Cisco Clean Access Agent (autrefois Perfigo SmartEnforcer).

Les noms de produit ont été modifiés. Ce tableau présente les anciens et les nouveaux noms :

Ancien nom Nouveau nom
SmartManager Clean Access Manager
SecureSmart Server Clean Access Server
SmartEnforcer Clean Access Agent
CleanMachinesAPIs Clean Access API

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Caractéristiques prises en charge

Q. Quels systèmes d'exploitation sont pris en charge ?

A. Des agents sont pris en charge sur ces systèmes d'exploitation.

Plates-formes Windows

  • Windows 2000

  • Windows XP

  • Windows Vista

  • Windows 7

Plates-formes Macintosh

  • Mac OS X 10.4.11 « Tiger »

  • Mac OS X 10.5.8 « Leopard »

  • Mac OS X 10.6.4 « Snow Leopard »

Consultez la section Tableau de prise en charge de l'agent du dispositif Cisco NAC/SO/Navigateur pour plus d'informations sur les navigateurs et les version de Java pris en charge.

Q. Cisco prend-il en charge les API personnalisées ?

A. Non.

Q. Cisco prend-il en charge l'agent sur VMware ou les pilotes partagés ?

A. Voici ce qui est pris en charge ou n'est pas pris en charge par l'agent NAC sur VMware :

  • VMware dans le mode NAT

    L'agent NAC n'est pas pris en charge que ce soit avec la bande entrante ou l'OOB, car en mode NAT de VMware, toutes les VM apparaissent avec la même IP et la même adresse MAC. Par conséquent, vous ne pouvez pas différencier les différentes VM à des fins de position/authentification.

  • VMware dans le mode Bridge (séparation L2 entre les images, les différentes adresses IP/MAC)

    • L'agent NAC est pris en charge en mode de bande entrante parce que des adresses IP et MAC uniques pour les VM peuvent être obtenues.

    • L'agent NAC n'est pas pris en charge en mode OOB parce qu'avec le mode OOB, vous devez restreindre une adresse MAC par switchport. Plusieurs adresses MAC derrière un switchport ne sont pas prises en charge avec OOB. (Les téléphones IP et les PC connectés aux téléphones IP sont pris en charge.)

Par conséquent, en résumé l'agent NAC est pris en charge sur VMware si :

  • Le NAC est en mode de bande entrante.

  • VMware est en mode ponté.

Pour tous autres modes, il n'est pas pris en charge.

Q. NAC 4.5 ou ultérieur prend-il en charge Trend Micro OfficeScan 10.x ?

A. Le NAC prend en charge OfficeScan Trend Micro 10.x à partir de la version 4.7.1.

Messages d'erreur

Q. Cisco Clean Access Agent affiche le l'un ou l'autre le SecureSmart n'est pas disponible sur le réseau ou aucun serveur de SecureSmart ne fondent sur le message d'erreur réseau. J'ai redémarré le serveur Cisco Clean Access et ai travaillé sur lui pendant un moment. Comment résoudre ce problème ?

A. Cette erreur est entraînée par l'incapacité de Cisco Clean Access Agent de communiquer avec le serveur Cisco Clean Access par le protocole SWISS (la transmission chiffrée via le port UDP 8905).

Cela peut être dû à :

  • Les fichiers de journal sont devenus trop volumineux.

  • Vérifiez si en raison des entrées Apache les journaux atteignent une taille de 2 Go. Ce problème est réparé dans la version 3.3.x et ultérieure.

  • Le certificat SS est non valide. Si le certificat du serveur Clean Access est non valide/incorrect, alors la connexion HTTPS ne peut pas être établie correctement. Vérifiez dans la fenêtre de certificat que les deux cases du certificat temporaire au bas de la fenêtre sont cochées ou que les trois cases du certificat CA-signé sont cochées.

  • L'heure du client est incorrecte. Si en raison de l'heure de l'ordinateur client le certificat du serveur est considéré comme non fiable (par exemple, l'heure du client est définie sur une période qui précède l'heure du serveur), alors l'heure du certificat est à une date future, du point de vue du client. Vérifiez l'heure sur le serveur Clean Access et assurez-vous que le protocole NTP sur un serveur temporel est autorisé.

  • Il y a plusieurs cartes réseau sur l'ordinateur client. Si l'ordinateur client a plusieurs cartes, alors il est possible que Windows utilise une carte incorrecte pour envoyer les informations. Désactivez la carte réseau qui est non utilisée afin de contourner ce problème.

  • Essayez d'effacer le cache sur l'Enforcer PC.

    • Tapez les commandes au choix ipconfig ou dnsflush dans l'invite de commande.

      OU

    • Dans Internet Explorer, sous Tools > Internet Options > Advanced, désélectionnez Check for server certificate revocation.

  • La connectivité réseau n'est pas établie.

  • Vérifiez que vous avez une adresse IP appropriée.

  • Le PC ou la machine locale peuvent avoir un certain problème après une nouvelle installation d'agent de Cisco Clean Access.

  • Redémarrez le PC. Tapez la commande service perfigo restart sur le serveur Clean Access.

  • Le port de destination 8905 sur le serveur Cisco Clean Access est bloqué par un pare-feu de réseau ou un pare-feu personnel.

  • Assurez-vous que le port 8905 est ouvert.

  • Un logiciel tiers gêne Cisco Clean Access Agent. Essayez de désactiver ce logiciel pour voir si Clean Access Agent fonctionne.

  • Essayez de désactiver les pare-feux personnels, désactiver le logiciel VPN, ou désactiver les bloqueurs de spam.

  • Un défaut logiciel est identifié et réparé dans le serveur Cisco Clean Access 3.2.6.

  • Effectuez une mise à niveau vers le manager de Cisco Clean Access et vers le serveur 3.2.6 de Cisco Clean Access.

Q. Cisco Clean Access Agent reçoit le message d'erreur d'erreur réseau tandis qu'il ouvre une session. Pourquoi cela ?

A. Cisco Clean Access Agent montre cette erreur quand il ne peut pas communiquer avec le serveur Cisco Clean Access utilisant HTTPS. Cela peut s'expliquer par de nombreuses raisons :

  • Le certificat SS est non valide. Si le certificat du serveur Cisco Clean Access est non valide/incorrect, alors la connexion HTTPS ne peut pas être établie correctement.

    Vérifiez dans la fenêtre de certificat que les deux cases du certificat temporaire au bas de la fenêtre sont cochées ou que les trois cases du certificat CA-signé sont cochées.

  • L'heure du client est incorrecte. En raison de l'heure sur l'ordinateur, le client ne fait pas confiance au certificat du serveur. Par exemple, l'heure du client est définie sur une période qui est antérieure à l'heure du serveur. De ce fait, l'heure du certificat est située dans le futur, selon le client.

    Vérifiez l'heure sur le serveur Cisco Clean Access et assurez-vous que le protocole NTP est autorisé à un serveur temporel.

  • Plusieurs cartes réseau sur l'ordinateur client. Si l'ordinateur client a plusieurs cartes, alors il est possible que Windows utilise une carte incorrecte pour envoyer les informations.

    Désactivez la carte réseau qui est non utilisée afin de contourner ce problème.

  • Le logiciel vendu par un éditeur indépendant gêne la transmission entre Cisco Clean Access Agent et le serveur Cisco Clean Access. Il est possible que le logiciel client vpn de ½ tel que de Client VPN Cisco, de CheckPointï ¿ Â, et pare-feu personnels affectent probablement la transmission.

  • Essayez de désactiver ce logiciel pour voir si Cisco Clean Access Agent fonctionne.

  • Effacez le cache.

    • Tapez la commande ipconfig /dnsflush dans l'invite de commande, ou dans Internet Explorer dans Internet Options > Advanced, désélectionnez Check for server certificate revocation.

Q. Que la cette mise à jour ne peut-elle pas fait-elle être exécutée pour un message d'erreur de compte de non-administrateur sur Cisco Clean Access Agent pendant un moyen de mise à jour de Windows ?

A. Le problème est que Clean Access Agent n'effectue pas la mise à jour de Windows pour ceux qui ne sont pas administrateurs. L'agent Stub est nécessaire pour qu'un non-administrateur lance les services de mise à jour de Windows Server (WSUS). Le service Stub est requis pour prendre en charge ces fonctionnalités pour des utilisateurs non-administrateurs :

  • Téléchargez et installez l'agent

  • Mettez à niveau l'agent

  • Lancez un exécutable

  • Lancez les mises à jour de WSUS

  • Accédez à la détection de modification d'authentification VLAN

  • Exécutez l'actualisation d'IP ou renouvelez-la

Q. Ce qui fait cette version du client est vieille et non compatible. Ouvrez une session s'il vous plaît du navigateur Web pour voir le lien de téléchargement pour le message d'erreur de nouvelle version sur le moyen de Cisco Clean Access Agent ?

A. Le problème est que la version de Clean Access Agent est différente de la version du serveur. Essayez de faire correspondre la version de Clean Access Agent avec celle du serveur.

Q. Je viens d'installer le système Windows 98. Quand je vais installer le client de Cisco Clean Access Agent 3.2.0 sur la machine, je suis invité à mettre à jour l'installateur. Cependant, dès que Cisco Clean Access Agent tentera de mettre à jour l'installateur j'obtenez le C exécutable fourni de mise à jour d'instmsi le ': Windows \ Internet provisoire Files\Content.IE5\KXERWHYB\InstMSIA[2].exe est message d'erreur non valide. Comment résoudre ce problème ?

A. Installez la version complète de Cisco Clean Access Agent 3.1.3 ou 3.2.0 (plus considérablement mi-bande que 5).

Q. J'ai téléchargé Cisco Clean Access Agent sur mon serveur Cisco Clean Access. Cependant, le serveur Cisco Clean Access ne le publie pas. J'obtiens vérifier le fichier client téléchargé de SmartEnforcer…. Fichier client de SmartEnforcer non trouvé. . Comment résoudre ce problème ?

A. Téléchargez le fichier .exe, pas le fichier .zip. Veillez à extraire le fichier .exe du répertoire zip avant que vous le téléchargiez. En outre, ne modifiez pas le nom du fichier initial .exe.

Q. Pourquoi est-ce que je reçois le message d'erreur Access to network is blocked by the administrator sur Cisco Clean Access Agent quand j'essaye de me connecter ?

A. Si vous utilisez les réseaux de câble et sans fil en même temps, ce message d'erreur peut se produire. Essayez d'utiliser soit le réseau de câble soit le réseau sans fil, ce qui pourrait résoudre le problème. En outre, essayez d'utiliser la version 4.1.3 de CCA. Cela pourrait aider à résoudre le problème.

Q. Pourquoi je reçois l'avertissement : The current Trusted Certificate Authority 'www.perfigo.com' is suited for lab environments only. Cisco recommends importing a third-party Certificate Authority. Please check your Clean Access Server(s) and standby Clean Access Manager for similar messages. après avoir mis à niveau le dispositif NAC ?

A. Ce message d'erreur est dû aux certificats de Perfigo. Ce problème peut être résolu en supprimant le Perfigo CA de la liste de confiance des CA.

Q. Que signifie le message d'erreur Revocation information for the security certificate for this site is not available. Que signifie le message d'erreur Do you want to proceed sur l'agent de Cisco Clean Access ?

A. Ce problème est dû à l'indisponibilité des informations de révocation pour le certificat de sécurité. Il y a deux résolutions disponibles pour cette question. Les résolutions sont fournies ci-dessous :

  1. Quand vous utilisez un certificat ssl Ca-signé de CAS, vérifiez le gisement de points de distribution CRL du certificat, qui inclut l'intermédiaire ou la racine CA, et ajoutez les hôtes URL à la stratégie permise d'hôte de rôles Unauthenticated/provisoires/quarantaine. Ceci permet à l'agent pour chercher le CRLs en ouvrant une session.

  2. Complétez ces étapes dans votre navigateur Internet afin de résoudre ce problème :

    1. Importez le certificat au stock de confiance de racine du système client.

    2. Choisissez Tools > Internet Options > Advanced tab > Security et désélectionnez Check for server certificate revocation (prend effet après le redémarrage).

    3. Maintenant fermez le navigateur existant et redémarrez-le pour que les modifications prennent effet.

Un autre contournement à retirer de ce message d'erreur est disponible. Vous pouvez ajouter <AllowCRLChecks>0</AllowCRLChecks> au fichier NACAgentCFG.xml dans ce répertoire : Agent de C:\ProgramFiles\Cisco\Cisco NAC

Remarque: Le certificat ssl Rév d'erreur réseau a manqué 12057 que le message d'erreur sur Cisco Clean Access Agent génère en raison de ce problème.

Référez-vous à ces documents pour plus d'informations :

Q. Quand je lance l'agent de Web sur l'ordinateur de Windows 7, il échoue avec le code 3. de message d'erreur. Comment est-ce que je répare cette question ?

A. Code d'erreur 3 est un message qui indique que l'agent a été téléchargé mais pas installé. Ce sont des contournements possibles :

  1. Vérifiez qu'UAC (contrôle de compte utilisateur) est activé.

  2. Vérifiez que l'Internet Explorer s'exécute en mode d'administrateur.

  3. Vérifiez si un certain fucnction actif X échoue et essayez de remettre à l'état initial tous les IE et autorisations actives X de se transférer.

  4. Vérifiez si n'importe quel autre anti logiciel du virus (poids du commerce) empêche l'IE de lancer son exécutable à partir de son répertoire provisoire.

Q. Je reçois une erreur de script d'Internet Explorer quand les essais d'agent NAC pour commencer. Comment faire pour résoudre ce problème ?

A. Le message d'erreur est affiché ci-dessous.

http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/63591-ca-mgr-faq-2.gif

Terminez-vous ces étapes afin de réparer cette question :

  1. Désinstallez l'agent de Cisco NAC du système.

  2. Supprimez manuellement le répertoire d'agent de C:\Program Files\Cisco\Cisco NAC.

  3. Téléchargement regrserv32a.exe de cet URL :

    http://support.microsoft.com/kb/267279 leavingcisco.com

  4. Exécutez regserv32a.exe. L'application est extraite à votre ordinateur local.

  5. Ouvrez une invite de commande, et changez en le répertoire dans lequel l'application regserv32.exe a été extraite.

  6. Exécutez regsvr32.exe msxml3.dll.

    Une boîte de dialogue est évident qu'énonce que l'enregistrement était réussi.

  7. Installez l'agent de Cisco NAC.

  8. Vérifiez que l'agent de Cisco NAC commence avec succès.

Divers

Q. Queest-ce que je dois faire afin de corriger quand les clients de MAC ne font pas redirect to la page non trouvée de page ?

A. Assurez-vous que vous n'utilisez pas un nom de domaine qui finit dans .local. MAC traite cela comme un nom de DNS spécial pour le DNS de multidiffusion. Par conséquent, la requête de résolution n'est jamais envoyée au serveur DNS.

Q. Que se passe-t-il si Clean Access Agent est bloqué par McAfee ?

A. Le problème est que Clean Access Agent est bloqué par McAfee qui pense que le programme de configuration de webagent (webagentsetup-win.exe) est un trojan. Une solution de contournement pour ce problème est de modifier la méthode dont les clients effectuent des téléchargements pour exclure l'applet d'ActiveX et utiliser strictement le composant de Java. Ceci peut être placé sur le CAM utilisant l'UserPages - Login Page - edit - Web Client(ActiveX/Applet) - Java Applet Only. Ou, l'utilisateur peut utiliser n'importe quel autre navigateur, de préférence Firefox.

Q. Qui essaie d'utiliser le serveur Cisco Clean Access pour communiquer quand il se connecte avec le port 8905 en tant que port source ?

A. Cisco Clean Access Agent communique avec le serveur Cisco Clean Access par le protocole SWISS à l'aide de la transmission chiffrée sur le port UDP 8905.

Q. Comment est-ce que je limite l'accès de SSH au serveur Cisco Clean Access ?

A. Changez le fichier de /etc/ssh/sshd_config en ajoutant une ligne semblable à celle-ci :

ListenAddress IP_address_of_where_you_want_ssh_to_allow_connections

Exemple :

ListenAddress 192.168.151.60 

Tapez la commande service sshd restart pour redémarrer le processus SSHD.

Q. Comment est-ce que je désactive Clean Access Agent pour les Windows 98/95 ?

A. Dans CleanMachines, désélectionnez Windows All et sélectionnez pour chaque système d'exploitation Require Use of Clean Access Agent.

http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/63591-ca-mgr-faq-3.gif

Q. Les commutateurs de périphérie exécutant SNMPv3 ne sont pas interrogés correctement par le collecteur après avoir envoyé une liaison ou un piège de notification MAC. La découverte de points finaux se connectant aux ports sur les commutateurs exécutant SNMPv3 est retardée jusqu'au prochain sondage régulier du commutateur par NetMap dans NAC Profiler. Pourquoi ?

A. Ce problème est lié au Cisco bug ID CSCta25695 (clients enregistrés seulement). Référez-vous à ce bogue pour plus d'informations.

Q. Pourquoi y a-t-il des problèmes quand j'utilise des certificats de Perfigo dans le dispositif NAC ?

A. La raison pour laquelle vous avez des problèmes quand vous utilisez des certificats de Perfigo peut être due à la version du dispositif Cisco NAC utilisé. La version d'appareils de Cisco NAC 4.7(0) ne contient plus l'Autorité de certification (CA) de www.perfigo.com dans l'image .ISO ou de mise à jour. Les administrateurs qui ont besoin du www.perfigo.com CA dans le réseau doivent manuellement importer le CA d'un ordinateur local après l'installation ou la mise à niveau de la version 4.7(0).

Afin d'établir le canal initial de communication sécurisé entre un CAM et un CAS, vous devez importer le certificat racine de chaque dispositif dans l'autre magasin de confiance de sorte que le CAM puisse faire confiance au certificat de CAS et vice-versa.

Q. La vérification AV échoue sur Cisco Clean Access pour les machines Windows 7. Comment corriger ce problème ?

A. Ce problème se produit parce que les règles de condition ne sont pas paramétrées correctement sous le système d'exploitation de Windows 7. Choisissez toutes les règles de condition pour Windows 7 sous la condition requise existante.

Q. Le NAC refuse l'accès au réseau dû à aucun antivirus étant installé sur le poste de travail quoique MOYENNE 10 soit installés là-dessus. Quelle est la raison derrière ce problème ?

A. MOYENNE 10 n'est pas encore pris en charge sur le NAC. Référez-vous à la bogue Cisco IDCSCTJ89340 (clients enregistrés seulement) pour plus d'informations sur cette amélioration

Q. Est-ce que je peux passer des requêtes DHCP pour des Téléphones IP de Nortel derrière un NAC ?

A. Oui. Vous pouvez passer les requêtes DHCP pour des Téléphones IP de Nortel derrière un NAC. Référez-vous aux Téléphones IP de Nortel derrière le pour en savoir plus NAC.


Informations connexes


Document ID: 63591