Sécurité : Dispositif Cisco NAC (Clean Access)

Clean Access Manager - Forum Aux Questions

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Questions


Introduction

Ce document répond aux questions fréquemment posées (Foires aux questions) liées au gestionnaire de Cisco Clean Access. Ce document est la partie une d'un positionnement de documentation de deux parts. Référez-vous à la Foire aux questions 2 de gestionnaire de Cisco Clean Access pour la partie deux.

Les noms de produit ont été modifiés. Ce tableau présente les anciens et les nouveaux noms :

Ancien nom Nouveau nom
SmartManager Clean Access Manager
SecureSmart Server Clean Access Server
SmartEnforcer Clean Access Agent
CleanMachinesAPIs Clean Access API

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Q. Comment est-ce que je peux réorienter à une autre page d'inscription d'abord et ensuite obtenir réorienté de nouveau à la page de connexion ?

A. Il y a deux solutions :

  • Fournissez un lien pour que les utilisateurs non inscrits ou nouveaux cliquent sur en fonction de la page de connexion. La page d'inscription peut apparaître sur la bonne trame. L'utilisateur peut s'enregistrer d'abord, et puis obtient leurs qualifications de procédure de connexion.

  • Utilisez le mappage d'attribut dans le LDAP qui indique si les utilisateurs sont enregistrés ou pas. Si les utilisateurs ne sont pas enregistrés, mettez-les dans un rôle particulier (basé sur la réponse du LDAP). Réorientez-alors les à un site Web d'enregistrement afin d'obtenir leurs qualifications de procédure de connexion basées sur le rôle.

Q. Comment est-ce que je peux configurer la stratégie de quarantaine pour l'accès à de divers sites de mise à jour tels que des Windows Update, Symantec LiveUpdate, et ainsi de suite ?

A. Cisco suggère que vous placiez ces règles dans cette commande afin d'atténuer la nécessité de mettre différentes adresses IP de Windows Update ou de mise à jour d'antivirus :

  1. Permettez aux DN (vos DN peuvent être internes ou externes) pour résoudre les DN du site de mise à jour.

  2. Bloquez tout le trafic entrant TCP/UDP/ICMP à votre réseau interne.

  3. Activez le port de sortie 80/443 ainsi le trafic peut traverser aux Windows Update et exécuter la mise à jour.

    ca-mgr-faq-1.gif

    Cisco recommande également que vous placiez le temporisateur de session de quarantaine en conséquence (par exemple, 20 minutes).

    ca-mgr-faq-2.gif

    Remarque:  le filtrage basé sur domaine de stratégie a été ajouté dans les versions 3.2 et ultérieures (permet windowsupdate.microsoft.com dans l'autorisation de stratégie).

Q. Où sont les fichiers journal dans le gestionnaire de Cisco Clean Access ?

A. Le journal d'événements est dans le nom de la table de base de données comme table de log_info.

Il y a d'autres logins le gestionnaire de Cisco Clean Access :

  • /var/log/messages - startup

  • /var/log/dhcplog - relais DHCP, logs DHCP

  • /tmp/perfigo-log0.log. ? - entretenez les logs

  • /perfigo/control/apache/logs/ * - SSL, journaux des erreurs d'Apaches

  • /perfigo/control/tomcat/logs/localhost *. - le chat, réorientent, des logs de jsp

Q. Quand j'ouvre une session du Web dans un rôle qui exige un VPN, je reçois un message qui indique que je dois utiliser un client vpn pour me connecter. Je veux l'éditer pour ajouter un lien pour télécharger un client vpn. Où la page VPN est localisée ?

A. Il se trouve dans /perfigo/access/tomcat/webapps/auth/perfigo_ipsec_enforced.jsp sur le serveur de Cisco Clean Access.

Q. Où est le distant sauvegardent le script que peut prendre un instantané et expédier à un serveur distant spécifique utilisant le FTP ?

A. Le distant sauvegardent le script est sur le gestionnaire de Cisco Clean Access dans le répertoire de /perfigo/control/bin nommé comme pg_backup.

Si vous ne l'exécutez sans aucun paramètre, il t'indique qu'il doit être utilisé. L'utilisation pour le script est :

  • pg_backup [ftp server] [nom d'utilisateur] [mot de passe]

Q. Le gestionnaire de Cisco Clean Access affiche toutes les adresses MAC en tant que 00:00:00:00:00:00. Pourquoi cela ?

A. Cela peut être dû à :

  • S'il y a un en aval de routeur, le gestionnaire de Cisco Clean Access affiche l'adresse MAC du routeur, tant que le routeur est ARPing pour les adresses IP en question (par exemple, l'IP de l'utilisateur). Si le routeur n'est pas (pour quelque raison), alors vous avez 00:00:00:00:00:00 comme adresse MAC de l'utilisateur.

  • Si l'utilisateur entre du côté de confiance (par exemple, il n'y a aucune entrée d'ARP pour l'utilisateur du côté non approuvé), le gestionnaire de Cisco Clean Access affiche tous les zéros.

Q. J'ai reçu un certificat ssl signé pour notre gestionnaire de Cisco Clean Access. J'ai pensé que ceci arrêterait l'avertissement de certificat d'apparaître quand un client commence la procédure d'authentification. Le certificat avertissant toujours apparaît. Comment résoudre ce problème ?

A. Si vous ne voulez pas que vos utilisateurs finaux voient l'avertissement de certificat, obtenez un certificat pour le serveur de Cisco Clean Access, pas le gestionnaire de Cisco Clean Access.

Q. Si j'ai un certificat signé pour le gestionnaire de Cisco Clean Access, est-ce que je peux également l'importer dans les serveurs de Cisco Clean Access et le partager ?

A. Non, vous ne pouvez pas utiliser un certificat que vous avez acheté pour le gestionnaire de Cisco Clean Access sur le serveur de Cisco Clean Access. Vous devez acheter un certificat distinct pour chaque serveur de Cisco Clean Access.

Q. Comment est-ce que j'arrête le temporisateur effaçant certifié de périphérique ?

A. Sélectionnez une date à l'avenir et cliquez sur la case d'enable/disable afin de désactiver le temporisateur certifié.

Q. J'ai deux gestionnaires de Clean Access de Basculement. J'ai ajouté une clé de licence au gestionnaire primaire, puis essayée pour aller au deuxième par l'intermédiaire de http://<sm2>/admin/main.jsp ajouter la même clé au gestionnaire secondaire. Quand I a frappé le bouton « appliquez clé de licence », j'obtiennent une erreur. Pourquoi est-ce que je reçois cette erreur ?

A. Vous n'avez pas besoin de faire ceci. La clé de licence est maintenue dans la base de données. Il fait sa manière plus d'au gestionnaire secondaire par la réplication de base de données.

Q. Avez-vous le support de Basculement de serveur d'authentification ?

A. Cisco prend en charge actuellement le groupement et les plans de serveur d'authentification pour regarder dans le Basculement de serveur d'authentification dans des versions futures.

Q. Comment la configuration de rafale de bande passante fonctionne-t-elle ?

A. Un facteur bursty est utilisé pour déterminer la « capacité » de la position. Comme exemple, supposez que la bande passante est de 100 Kbps et le facteur est 2. Par conséquent, la capacité de la position est 100 Ko * le Ko 2=200.

Si un utilisateur n'envoie aucun paquet pendant quelque temps, ils ont tout au plus 200 jetons de Ko dans la position. Une fois que les besoins de l'utilisateur d'envoyer des paquets, l'utilisateur peut envoyer 200 paquets de Ko immédiatement. Ensuite, les besoins de l'utilisateur d'attendre les jetons pour entrer au débit de 100 Kbps pour envoyer les paquets supplémentaires.

Une manière de penser à l'adaptation est que le débit moyen est de 100 Kbps, et le débit de crête est approximativement 200 Kbps. Par conséquent, il est bon pour des applications bursty telles que la navigation web.

Q. Quelle est l'incidence quand vous changez le network interface card (NIC) sur le gestionnaire de Cisco Clean Access ?

A. Si vous avez un permis de non-site, informez le support technique de Cisco de la modification sur l'adresse MAC pour une nouvelle émission de clé de licence. Pour une paire de Basculement, fournissez les deux adresses MAC. Si vous avez une licence de site, vous n'avez pas besoin d'informer le support technique de Cisco.

Q. Les networks interface cards (NIC) ne montent pas correctement et ne passent pas le trafic. Que dois-je faire ?

A. Ceci peut être une caisse des NIC n'étant pas reconnu comme NIC de Broadcom. Essayez à :

  • Console dans la case.

  • Émettez la commande de /lib/modules/kernel-2.4.9-perfigo/drivers/addon/bcm5700 de cd.

  • Émettez la commande de ./bcm5700.o d'insmod.

Si ces commandes ont comme conséquence aucune erreurs, émettez la commande de vi /etc/modules.conf et ajoutez ces deux lignes :

alias eth0 bcm5700

alias eth1 bcm5700

Q. Comment est-ce que je questionne les informations utilisateur de la base de données directement ?

A. Sur le gestionnaire primaire de Cisco Clean Access de la demande de racine, sélectionnez cette commande :

 root>psql –h 127.0.0.1 –U postgres controlsmartdb

Vous êtes maintenant dans le shell de base de données - controlsmartdb=#.

Exemples :

  • Sélectionnez cette commande d'obtenir le nombre d'utilisateurs ouverts une session par serveur de Cisco Clean Access :

    select count(*) from user_info where ss_key=
    (select ss_key from securesmart_info where ss_ip='x.x.x.x');
    

    Remarque: Veillez-vous pour écrire le point-virgule de remorquage. Changez l'adresse IP pour obtenir les informations pour les autres serveurs de Cisco Clean Access.

  • Sélectionnez cette commande d'obtenir le nombre d'utilisateurs ouverts une session par rôle :

    select count(*) from user_info where role_id=
    (select role_id from role_info where role_name='Wireless');
    

    Remarque: Remplacez la role name pour relatif à l'information aux autres rôles.

  • Sélectionnez cette commande d'obtenir les journaux d'événements :

    select * from report_info;
    

Q. Comment est-ce que je saute l'authentification pour des iPhones sur une appliance NAC ?

A. Pour des iPhones, vous pouvez configurer l'option de filtre de périphérique sous la Gestion de périphériques > les filtres > les périphériques > nouveau. Une fois que vous incluez la liste d'adresses MAC que vous voulez sauter, vous devez spécifier TENEZ COMPTE du type d'Access afin de permettre l'accès à ces appareils spécifiques. Référez-vous configurent le pour en savoir plus de filtres de périphérique.


Informations connexes


Document ID: 63592