Sécurité : Système de contrôle d'accès sécurisé Cisco

Sécurisez le dépannage du système de contrôle d'accès (ACS 5.x et plus tard)

19 octobre 2014 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 septembre 2014) | Commentaires


Contenu


Introduction

Ce document fournit des informations sur la façon dont dépanner le Système de contrôle d'accès sécurisé Cisco (ACS) et la façon résoudre des messages d'erreur.

Pour les informations sur la façon dont dépanner le Cisco Secure ACS 3.x et 4.x, référez-vous au dépannage du Secure Access Control Server (ACS 3.x et 4.x).

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur la version 5.x et ultérieures de Système de contrôle d'accès sécurisé Cisco.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Problème : « Error : A enregistré la configuration en cours pour démarrer avec succès % de fichier manifeste non trouvé dans le paquet » sur l'appliance ACS pendant la mise à jour d'appareils

L'erreur : A enregistré la configuration en cours pour démarrer avec succès % de fichier manifeste non trouvé dans l'erreur de paquet apparaît quand une tentative est faite pour améliorer ACS exprès de 5.0 à 5.0.1.

Solution

Terminez-vous ces étapes afin d'améliorer l'appliance ACS sans n'importe quelle question :

  1. Téléchargez le correctif 9 (5-0-0-21-9.tar.gpg) et l'ADE-OS (ACS_5.0.0.21_ADE_OS_1.2_upgrade.tar.gpg) de : Cisco.com > le support > le logiciel > la Sécurité > le Cisco Secure Access Control System 5.0 de téléchargement > sécurisent le logiciel système > le 5.0.0.21 de contrôle d'accès

  2. Après que vous installiez les deux fichiers, installez la mise à jour ACS_5.1.0.44.tar.gz ACS 5.1. C'est fourni par le même chemin de l'étape précédente.

  3. Employez cette commande afin d'installer la mise à jour :

    application upgrade <application-bundle> remote-repository-name
    

Ceci remplit la procédure de mise à niveau.

Référez-vous à promouvoir un serveur ACS de 5.0 à 5.1 pour plus d'informations sur la façon améliorer l'appliance ACS.

Problème : Incapable de redémarrer le serveur ACS 5.x du GUI

Cette section explique pourquoi vous ne pouvez pas redémarrer la version 5.x de serveur ACS du GUI.

Solution

Il n'y a aucune option disponible pour redémarrer le serveur ACS 5.x du GUI. L'ACS peut seulement être redémarré du CLI.

Problème : Authentification de Répertoire actif d'établissement de question avec ACS 5.2

En installant l'authentification de Répertoire actif (AD) pour un nouveau service 5.2 ACS, ce message d'erreur est reçu :

Erreur inattendue RPC : Access a refusé en raison de la configuration ou de l'erreur réseau inattendue. Veuillez essayer --adinfo bavard d'option ou de passage «  --diag ».

Solution

L'ACS doit écrire des autorisations afin d'authentifier avec l'AD. Afin de résoudre ce problème, fournissez provisoire écrivent des autorisations au compte des services.

Problème : Ne peut pas visualiser plus de 100 pages dans l'état de comptabilité

En tentant de générer un état fait sur commande d'aaa accounting avec la version 5.1 ACS, vous ne pouvez pas visualiser plus de 100 pages. Ceci ne couvre pas plusieurs états plus anciens. Comment changez-vous cette configuration pour voir toutes les pages ?

Solution

Vous ne pouvez pas changer le nombre de pages sur l'ACS parce que le nombre maximal de pages affichées est seulement 100 par défaut. Afin de surmonter cette limite et visualiser des statistiques plus anciennes, vous devez changer les options de filtrage de sorte que des correspondances plus spécifiques puissent être faites. Par exemple, si vous essayez de générer l'état pour les trente derniers jours, il contient un de large volume et les 100 dernières pages ne pourraient afficher l'activité que durant la dernière heure seulement. Ici, utilisant les options de filtrage est informé. La prise de l'option de filtrage comme user-id et spécifier la time-range rapporteront des états beaucoup plus anciens.

Problème : Incapable de générer l'état d'authentification de réussite/échec pour un groupe de périphériques

Cette question se produit en tentant de générer l'état d'authentification seulement pour un groupe de six Routeurs/Commutateurs, pas pour tous les périphériques. La version 4.x ACS est utilisée.

Solution

Ce n'est pas possible avec ACS 4.x. Vous devez migrer vers ACS 5.x parce que cette caractéristique est disponible avec cette version. Vous pouvez extraire des états pour le groupe spécifique de périphériques en générant les états de catalogue.

Référez-vous à cette image pour une meilleure compréhension :

http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113485-acs5x-tshoot-01.gif

Problème : La surveillance et la base de données d'états est actuellement indisponible. Tenter à rebrancher en 5 secondes.

Quand vous cliquez sur la surveillance et la visionneuse de rapports de lancement d'ACS 5.x, ce message d'erreur est reçu : La surveillance et la base de données d'états est actuellement indisponible. Tenter à rebrancher en 5 secondes. Si le problème persistent, veuillez contactent votre administrateur ACS.

Solution

Exécutez un de ces contournements afin de résoudre ce problème :

  • Redémarrez les services ACS du CLI en émettant ces commandes :

    application stop acs
    application start acs
  • Mise à jour au dernier correctif disponible. Référez-vous à appliquer des correctifs de mise à jour pour plus d'informations sur ceci.

Problème : Sujet 22056 non trouvé dans les mémoires applicables d'identité

Les utilisateurs d'AD n'obtiennent pas authentifié avec la version 5.x ACS et reçoivent ce message d'erreur : Sujet 22056 non trouvé dans les mémoires applicables d'identité.

Solution

Ce message d'erreur se produit quand l'ACS n'a pas trouvé l'utilisateur dans la première base de données répertoriée qui est configurée dans l'ordre de mémoire d'identité. C'est un message d'information et n'affecte pas la représentation de l'ACS. La manière dont ACS 5.x exécute l'authentification pour interne ou les utilisateurs externes est différent que la version 4.x précédente. Avec la version 5.x, il y a une option appelée l'ordre d'Identity Store pour définir l'ordre des bases de données utilisateur à authentifier. Le pour en savoir plus, se rapportent à configurer des ordres de mémoire d'identité.

Si vous recevez cette erreur quand vous employez l'ACS pour authentifier des demandes contre un domaine d'enfant, alors vous devez ajouter un suffixe UPN ou un préfixe de NETBIOS au nom d'utilisateur. Le pour en savoir plus, se rapportent aux notes dans la section d'AD de Microsoft.

Problème : Incapable d'intégrer ACS avec le Répertoire actif

Les utilisateurs ne peuvent pas intégrer ACS avec le Répertoire actif, et le message d'erreur d'erreur d'état de port de samba est reçu.

Solution

Afin de résoudre ce problème, assurez-vous que ces ports sont ouverts pour prendre en charge la fonctionnalité de Répertoire actif :

  • Port de samba - TCP 445

  • LDAP - TCP 389

  • LDAP - UDP 389

  • KDC - TCP 88

  • kpasswd - TCP 464

  • NTP UDP 123

  • Catalogue global - TCP - 3268

  • DN - UDP 53

L'ACS doit atteindre tout le DCS dans le domaine afin de l'intégration ACS-AD soit complet. Même si un de DCS n'est pas accessible de l'ACS, l'intégration ne se produit pas. Référez-vous au pour en savoir plus de l'ID de bogue Cisco CSCte92062 (clients enregistrés seulement).

Problème : Incapable d'intégrer ACS avec le LDAP

Dans ce document, ACS 5.2 est utilisé en tant que serveur d'AAA RADIUS pour l'implémentation de 802.1X. le 802.1X peut être avec succès utilisé avec ACS utilisant la mémoire d'utilisateur interne, mais il y a des questions intégrant ACS et LDAP. Ce message d'erreur est affiché :

Radius authentication failed for USER: example MAC:
UU-VV-WW-XX-YY-ZZ AUTHTYPE: PEAP(EAP-MSCHAPv2)
EAP session timed out : 5411 EAP session timed out

Solution

Dans ce cas, le LDAP est utilisé avec le PEAP et la méthode d'authentification interne utilisée est l'eap-mschap v2. Ceci échouera parce que le LDAP n'est pas pris en charge pour PEAP (eap-mschap v2). Il est recommandé pour utiliser l'EAP-TLS ou l'AD.

Problème : « erreur d'acs_internal_operations_diagnostics de csco : n'a pas pu écrire message d'erreur de mémoire locale à fichier le »

Pendant la réplication de l'ACS, l'ACS primaire ne réplique pas correctement et affiche ce message d'erreur :

csco acs_internal_operations_diagnostics error: could
	 not write to local storage file

Solution

Redémarrez les services ACS et assurez-vous que se connecter essentiel est désactivé. Le pour en savoir plus, se rapportent à l'ID de bogue Cisco CSCth66302 (clients enregistrés seulement). Si ceci n'aide pas, contacter Cisco TAC afin d'obtenir le dernier correctif ACS approprié pour résoudre ce problème.

Problème : Incapable d'intégrer l'ACS 5.1 avec le Répertoire actif

En essayant d'implémenter l'intégration d'AD, ce message d'erreur est reçu :

Error while configuring Active Directory:Using writable
	 domain controller:test1.test.pvt Authentication error due unexpect
	 configuration or network error. Please try the --verbose option or run 'adinfo
	 -diag' to diagnose the problem. Join to domain 'test.pvt', zone 'null'
	 failed.

Solution

Terminez-vous ce contournement afin de réparer ce problème :

  1. Supprimez le compte d'ordinateur existant sur l'AD.

  2. Créez une nouvelle OU.

  3. Allez à Properties de l'OU et décochez héritent des autorisations.

  4. Créez un nouvel ordinateur expliquent l'ACS à la nouvelle OU.

  5. Permettez à l'AD pour répliquer.

  6. Essayez de joindre l'AD du GUI ACS.

Dans certains cas, il est également utile si vous contactez Microsoft et appliquez le correctifleavingcisco.com .

Problème : Incapable de configurer ACS 5.x pour identifier des expressions régulières dans les règles de sélection de service

Solution

Ce n'est pas possible parce qu'il n'est pas encore pris en charge dans ACS 5.x.

Problème : La sauvegarde de SFTP ne fonctionne pas en utilisant Cisco fonctionne en tant que serveur de SFTP

Quand la ressource de réseau est sur le serveur de CiscoWorks, le programmateur de sauvegarde fonctionne bien avec d'autres clients de SFTP, mais pas ACS 5.2. Spécifiquement, en essayant de connecter au SFTP le serveur de l'ACS, l'incapable de négocier un message d'erreur de méthode d'échange de clés est reçu.

Solution

Dans ce cas, le serveur de SFTP n'est pas un périphérique conforme PAP utilisant le CAD 14 groupes. Serveurs de supports ACS seulement avec le support CAD 14 car c'est des PAP conformes. Pour plus d'informations sur cette question, référez-vous aux limitations connues dans ACS 5.2.

Problème : « Charge utile non valide d'EAP lâchée »

L'erreur : Le message d'erreur abandonné par charge utile non valide d'EAP est reçu tout en authentifiant les utilisateurs de sans fil au correctif 7. ACS 5.0.

Solution

C'est un comportement observé et a adressé dans les id de bogue Cisco CSCsz54975 (clients enregistrés seulement) et CSCsy46036 (clients enregistrés seulement).

Afin de résoudre ce problème, mise à jour au correctif 9 ACS 5.0, qui est exigé en tant qu'élément de la mise à jour à 5.1 ou à 5.2. Référez-vous à améliorer la base de données pour les détails complets. Ceci inclut également les informations sur la façon dont améliorer pour corriger 9.

Problème : « Le processus d'exécution ACS ne s'exécute pas sur cet exemple à ce moment. »

Les utilisateurs ne peuvent pas ouvrir une session au GUI ACS et ce message d'erreur est reçu :

« Le processus d'exécution ACS ne s'exécute pas sur cet exemple à ce moment. Des modifications peuvent être apportées à la configuration ACS (ceux-ci seront enregistrés dans la base de données), mais les modifications ne les prendront pas effet jusqu'à ce que le processus d'exécution soit redémarré. »

Solution

Manuellement redémarrant le processus d'exécution du CLI et redémarrant l'appliance résout ce problème. C'est une question mineure et ne crée pas n'importe quel problème de performance pour l'ACS. Il y a deux bogues mineures classées pour observer ce comportement. Le pour en savoir plus, se rapportent aux id de bogue Cisco CSCtb99448 (clients enregistrés seulement) et CSCtc75323 (clients enregistrés seulement).

Afin de redémarrer les processus de délai d'exécution manuellement, émettez ces commandes de l'ACS CLI :

  • délai d'exécution d'arrêt d'acs

  • délai d'exécution de début d'acs

Problème : Incapable d'exporter les utilisateurs avec le mot de passe

Vous pouvez import et export la base de données utilisateur à un autre ACS 5.x avec un fichier CSV, mais il n'inclut pas le champ de mot de passe utilisateur (semble vide). Comment déplacez-vous la mémoire de l'identité d'un utilisateur local d'un ACS à l'autre qui inclut les informations de mot de passe ?

Solution

Ce n'est pas tout possible que ceci deviendra une brèche dans la sécurité. Dans ce cas, un contournement est d'exécuter une procédure de sauvegarde et de restauration. Cependant, la limite à ce contournement est que le de sauvegarde et la restauration fonctionne seulement pour un autre ACS avec une configuration semblable.

Problème : Des utilisateurs internes ACS sont désactivés par intermittence

Des utilisateurs ACS sont désactivés par intermittence avec un mot de passe ont expiré message. La stratégie d'expiration du mot de passe est placée pendant 60 jours, mais ces utilisateurs doivent être manuellement activés afin qu'ils puissent obtenir l'accès.

Solution

Ce comportement est observé et classé dans l'ID de bogue Cisco CSCtf06311 (clients enregistrés seulement). Cette question peut être résolue en appliquant le correctif 3 à ACS 5.1. Afin de visualiser toutes les questions résolues sous le correctif 3, référez-vous aux questions résolues dans le correctif cumulatif ACS 5.1.0.44.3. Pour les informations relatives sur la façon dont améliorer le correctif, référez-vous à appliquer des correctifs de mise à jour.

Problème : « Demande d'authentification TACACS+ finie avec l'erreur »

L'état d'authentification ACS affiche la demande d'authentification TACACS+ finie avec le message d'erreur d'erreur.

Solution

Ceci se produit quand l'authentification TACACS a le type de service réglé au PPP. Référez-vous au pour en savoir plus de l'ID de bogue Cisco CSCte16911 (clients enregistrés seulement).

Problème : La « demande d'authentification de rayon a rejeté en raison de l'erreur se connectante essentielle »

L'authentification de rayon est rejetée avec l'en raison rejeté par demande d'authentification de rayon du message d'erreur se connectant essentiel d'erreur.

Solution

Cette erreur est détaillée dans l'ID de bogue Cisco CSCth66302 (clients enregistrés seulement).

Problème : Les expositions « mise à jour d'interface de vue ACS de données ont manqué » en haut de la page quand ACS est mis à jour de 5.2 à 5.3

La mise à jour de données d'expositions d'interface de vue ACS a manqué en haut de la page quand l'ACS est mis à jour de 5.2 à 5.3.

Solution

Cette erreur est détaillée dans l'ID de bogue Cisco CSCtu15651 (clients enregistrés seulement).

Problème : Question avec le « mot de passe de modification sur de prochains acs de procédure de connexion » sur Cisco ACS 5.0

Solution

Dans ACS 5.0, la fonction d'expiration du mot de passe (l'utilisateur doit changer le mot de passe sur la prochaine connexion) sur la mémoire locale d'user-id est sélectionable, mais ne fonctionne pas. La demande d'amélioration CSCtc31598 répare la question dans la version 5.1 ACS.

Problème : « % de mise à jour d'application ont manqué, erreur - -999. Veuillez vérifier les logs ADE pour des détails, ou la reprise avec - mettez au point l'application installent - activé » sur l'appliance ACS pendant la mise à jour

Les % de mise à jour d'application ont manqué, erreur - -999. Veuillez vérifier les logs ADE pour des détails, ou la reprise avec - mettez au point l'application installent - l'erreur activée apparaît quand une tentative est faite pour améliorer un ACS exprès de 5.0 à 5.0.1.

Solution

Cette erreur se produit quand le référentiel utilisé est TFTP et la taille de fichier est plus grande que 32MB. ACS exprès ne peut pas traiter des fichiers plus grands que 32MB. Employez le FTP comme référentiel afin de résoudre ce problème même si la taille de fichier est plus que 32MB.

Problème : Échec de l'authentification d'erreur « : TLV de résultat envoyée 12308 par clients indiquant la panne »

L'échec de l'authentification : la TLV de résultat envoyée 12308 par clients indiquant l'erreur de panne se produit sur l'ACS quand vous essayez d'authentifier pour la première fois. L'authentification fonctionne bien la deuxième fois.

Solution

Cette erreur peut être résolue quand vous désactivez rapide rebranchez. Une mise à jour pour corriger 2 d'aides de version 5.2 ACS pour résoudre le problème sans rapide rebranchent être désactivé.

Cette erreur peut également être résolue quand vous désactivez cryptobinding obligatoire sur le suppliant. Référez-vous au pour en savoir plus de l'ID de bogue Cisco CSCtj31281 (clients enregistrés seulement).

Problème : Les serveurs de Répertoire actif de l'erreur "24495 ne sont pas disponibles »

Débuts d'authentification manquant avec cette erreur : 24495 serveurs de Répertoire actif ne sont pas disponibles. dans les logs ACS 5.3.

Solution

Vérifiez le fichier d'ACSADAgent.log par le CLI de l'ACS 5.x pour des messages comme : 11 mars 00:06:06 xlpacs01 adclient[30401] : <bg de l'INFORMATION : connexion perdue du bindingRefresh> base.bind.healing à xxxxxxxx. S'exécuter dans le mode déconnecté : délacez. Si vous voyez l'exécution dans le disconnectedmode : délacez le message d'erreur, ceci signifie que l'ACS 5.3 ne peut pas mettre à jour une connexion stable avec le Répertoire actif. Le contournement est à l'un ou l'autre de commutateur au LDAP ou déclassifie l'ACS à la version 5.2. Référez-vous au pour en savoir plus de l'ID de bogue Cisco CSCtx71254 (registeredcustomersonly).

Problème : Session d'EAP de l'erreur "5411 chronométrée »

5411 messages d'erreur chronométrés par session d'EAP sont reçus sur ACS 5.x.

Solution

Les délais d'attente de session d'EAP sont tout à fait communs avec le PEAP où le suppliant redémarre l'authentification après que le paquet initial sorte au serveur de RAYON et, le plus souvent, n'est pas indicatif d'un problème.

L'écoulement qui est généralement - vu est :

Supplicant ------------- Authenticator -------------- ACS
Connect
<------------------Request for Identity
-----------------------> Response Identity ------------->
<--------------   EAP Challenge <-----------------
EAPOL-Start ------------->
normal flow ending in successful authentication.......

À la fin l'authentification est réussie. Cependant, il y a une gauche de thread ouverte sur l'ACS dû à la reprise brusque de la session d'EAP du suppliant qui entraîne une authentification réussie suivie du message de délai d'attente de session d'EAP. Beaucoup de fois c'est dû au niveau de gestionnaire de l'ordinateur. Assurez-vous que les gestionnaires NIC/Wireless sont à jour sur la machine cliente. Vous pouvez capturer sur le client et le filtre sur l'EAP || EAPOL afin de voir ce que le client reçoit ou envoie en se connectant.

Problème : l'authentification de 802.1x ne fonctionne pas si des restrictions de connexion est configurées sur le Répertoire actif

l'authentification de 802.1x ne fonctionne pas si les utilisateurs ont des restrictions de connexion configurées sur le Répertoire actif.

Solution

Si vous avez le Répertoire actif réglé par restrictions de connexion pour un ordinateur simple et tentez une authentification de 802.1x. L'authentification échoue parce que dans le point de vue du Répertoire actif que l'authentification provient l'ACS, pas l'ordinateur que la restriction de connexion est placée à. Pour que l'authentification soit réussie, les restrictions de connexion peuvent être placées pour inclure les comptes d'ordinateur ACS.

Problème : Erreur : « Vous n'êtes pas autorisé à visualiser la page priée » quand l'admin ACS 5.x avec le rôle de ChangeUserPassword change le mot de passe

L'utilisateur d'admin GUI ACS 5.x avec le rôle de ChangeUserPassword ne peut pas changer le mot de passe de l'utilisateur d'AAA enregistré dans la base de données interne. Après avoir changé le mot de passe, l'utilisateur reçoit ce message d'erreur instantané : Vous n'êtes pas autorisé à visualiser la page priée.

Solution

Ceci peut se produire quand la base de données ACS 5.x est migrée d'ACS 4.x. Employez le privilège de SuperAdmin afin de changer le mot de passe utilisateur. Référez-vous au pour en savoir plus de l'ID de bogue Cisco CSCty91045 (clients enregistrés seulement).

Problème : En obtenant l'erreur sur ACS 5.x pour des serveurs de Répertoire actif de l'authentification défaillante "24495 ne soyez pas disponible. »

Solution

Vous devez vérifier l'intégration de Répertoire actif avec ACS 5.x. Si c'est une installation distribuée, assurez que les ACS primaires et secondaires 5.x dans l'installation sont correctement intégrés avec le Répertoire actif.

Problème : Incapable de se connecter à l'appliance ACS utilisant BMC

Quand le client BMC (un outil de niveau matériel) est utilisé pour entrer dans les serveurs IBM ACS 1121, on l'observe que le client BMC a deux adresses IP.

Solution

Ce comportement a été identifié et l'ID de bogue Cisco ouvert une session CSCtj81255 (clients enregistrés seulement). Afin de résoudre ceci, vous devez désactiver le DHCP Client BMC sur l'ACS 1121.

Problème : Une alarme d'avertissement « effacement 20000 sessions » avec la cause « sessions actives sont au-dessus de la limite », apparaissent dans le tableau de bord de général de moniteur et d'état.

Il y a une limite au nombre de records qu'un répertoire de session peut détenir. Puisque les demandes de sondage sont lourdes dans l'installation de client, la limite est rapide atteint. Après atteinte de la limite, par conception, l'ACS-vue supprime un certain nombre d'enregistrements (par exemple, 20k) à partir du répertoire de session et envoie une alerte. Vous pouvez augmenter cette limite, mais elle n'aide pas beaucoup excepté à prolonger l'alerte.

Solution

Afin de résoudre ceci, exécutez ce qui suit :

  • On lui suggère de désactiver la commande logging on pour visualiser la base de données.

    1. Allez au Cisco Secure ACS > à l'administration système > à la configuration > à la configuration de log > en se connectant des catégories > global > « des authentifications passées » > cible de Syslog distant et retirez LogCollector des cibles sélectionnées.

    2. Allez au Cisco Secure ACS > à l'administration système > à la configuration > à la configuration de log > en se connectant des catégories > global > des « essais ratés » > cible de Syslog distant et retirez LogCollector des cibles sélectionnées.

    3. Allez au Cisco Secure ACS > à l'administration système > à la configuration > à la configuration de log > en se connectant des catégories > global > éditent : La « comptabilité de RAYON » > cible de Syslog distant et retirent LogCollector des cibles sélectionnées.

  • Vous pouvez ignorer les demandes d'authentification de sondage parce que ce ne sont pas de vraies demandes d'authentification. Exécutez ce qui suit :

    Allez au Cisco Secure ACS > à la configuration > à la configuration système de surveillance > ajoutent le filtre et créent le filtre. La création du filtre basé sur le nom d'utilisateur est plus appropriée parce que les demandes de sondage sont comprises d'être envoyé avec un nom d'utilisateur factice. Si vous créez une stratégie distincte d'accès dans ACS pour traiter ces demandes de sondage, alors des filtres peuvent être créés ont basé sur le service d'accès aussi bien.

Problème : Paquet RADIUS des erreurs "11013 ACS 5.x déjà dans le de processus »

Dans un déploiement ACS 5.3, authentification de dot1x d'échouer d'utilisateurs. La base de données utilisée est un Répertoire actif. Le code de panne de RAYON est affiché ici :

Demande RADIUS relâchée : Paquet RADIUS 11013 déjà dans le processus

Solution

L'ACS a ignoré cette demande parce que c'est un doublon d'un autre paquet qui actuellement est traité. Ceci peut se produire en raison du l'un de ces :

  • La statistique moyenne de latence de demande RADIUS est proche de ou dépasse le délai d'attente de demande RADIUS de client du client.

  • La mémoire externe d'identité peut être très lente.

  • L'ACS a été surchargé.

Exécutez ces étapes afin de le résoudre :

  1. Augmentez le délai d'attente de demande RADIUS de client du client.

  2. Utilisez une mémoire externe plus rapide ou supplémentaire d'identité.

  3. Suivez les manières de réduire la surcharge sur ACS.

Problème : L'échec de l'authentification de RAYON avec le paquet RADIUS des erreurs "11012 contient l'en-tête non valide »

Solution

L'en-tête du paquet RADIUS entrant n'a pas analysé correctement. Afin de résoudre ceci, vérifiez ce qui suit :

  • Vérifiez le périphérique de réseau ou le client d'AAA pour des problèmes matériels.

  • Vérifiez le réseau qui connecte le périphérique à l'ACS pour des problèmes matériels.

  • Vérifiez si le périphérique de réseau ou le client d'AAA a n'importe quels problèmes de compatibilité connus de RAYON.

Problème : L'échec de l'authentification RADIUS/TACACS+ avec l'erreur "11007 n'a pas pu localiser le périphérique de réseau ou le client d'AAA »

Ce message d'erreur est reçu sur l'ACS quand une ASA envoie un message d'Access-demande de rayon :

11007 n'a pas pu localiser le périphérique de réseau ou le client d'AAA

Solution

Ceci se produit parce qu'il y a une non-concordance entre l'IP du client ACS et l'IP d'interface qui envoie réellement la demande. Parfois le Pare-feu exécute une traduction d'adresses à ce client d'AAA. Vérifiez si le client d'AAA est correctement configuré avec l'adresse IP traduite correcte à ce chemin :

Ressources de réseau > périphériques de réseau et clients d'AAA

Problème : L'échec de l'authentification de RAYON avec la demande RADIUS de l'erreur "11050 a relâché en raison de la surcharge de système ».

Les utilisateurs ne peuvent pas accéder au réseau en raison des échecs d'authentification. Ce message d'erreur de l'ACS est reçu :

11050 en raison relâchés par demande RADIUS de la surcharge de système

Solution

Cisco ACS relâche ces demandes d'authentification en raison de la surcharge. Ceci peut sont provoqué par par la réplication de beaucoup de demandes parallèles d'auhentication. Afin d'éviter ceci, exécutez le l'un de ces :

  • Modifiez les configurations de client du réseau Device/AAA de sorte qu'il utilise l'option du support de connexion unique du legs TACACS+. Avec ceci, le client réutilisera la même session pour toutes les demandes au lieu de créer beaucoup de sessions.

  • Abstenez-vous les utilisateurs à appeler de nouvelles demandes d'authentification pour un certain moment.

  • Redémarrez le serveur ACS.

Problème : Échec de l'authentification de RAYON avec l'attribut incorrect du RAYON MS-CHAP v2 de l'erreur "11309. »

Solution

Cette erreur se produit en raison de la longueur non valide ou de la valeur incorrecte d'un des attributs MSCHAP v2 (Ms-CHAP-défi, Ms-CHAP-réponse, MS-CHAP-CPW-2, ou Ms-CHAP-NT-P.J.-picowatt) dans le paquet de demande d'accès reçu de RAYON.

Problème : ACS signale l'utilisation de mémoire plus de 90%. Alarme

ACS signale l'utilisation de mémoire au-dessus de 90%.Alarm tel que ce qui suit : Cisco Secure ACS - Alarme NotificationSeverity : Nom essentiel ACS d'alarme - Le système HealthCause/alarme de déclencheur provoquée par ACS - thresholdAlarm d'états du système détaille l'espace disque utilisé de /opt d'espace disque d'utilisation E/S de disque d'utilisation de mémoire d'utilisation du processeur d'exemple ACS (%) (%) (%) (%) /localdisk utilisé : L'espace disque (de %) l'a utilisé/(%) KOM-AAA02 0.41 90.14 0.02 9.57 5.21 25.51

Solution

Cette question est habituellement vue sur ACS 5.2. Afin de réparer cette question, recharger l'ACS afin de libérer la mémoire ou la mise à jour correctif à 7 ACS 5.2 ou à plus tard. Référez-vous au pour en savoir plus de l'ID de bogue Cisco CSCtk52607 (clients enregistrés seulement).

Problème : erreur : com.cisco.nm.ac s.mgmt.msgbus.FatalBusException : Pour joindre des Noeuds

Dans une installation distribuée après une tâche de maintenance (se joignant pleine à une réplication primaire, de force, corrigeant), l'exemple A ACS signale l'exemple B ACS comme off-line dedans écran distribué de déploiement, alors que B est vraiment en ligne et signale l'exemple A en tant qu'en ligne. Dans les logs de Gestion, vous voyez l'erreur : com.cisco.nm.ac s.mgmt.msgbus.FatalBusException : Pour joindre des Noeuds.

Solution

Ceci peut se produire si un exemple précédent du service de supervision de réplication est encore lié au port 2030 quand le nouvel exemple est soulevé et aux essais pour lier à ce port. Du CLI de l'exemple B ACS, exécutez-vous : fichier de consignation de sho ACSManagement. log | i service de réplication. Vous verrez que les messages tels que le service de réplication ont manqué. : Port déjà en service : 2030. Actuellement, le contournement est de redémarrer l'exemple B (celui ACS qui signale l'autre en tant qu'en ligne). Référez-vous au pour en savoir plus de l'ID de bogue Cisco CSCtx56129 (clients enregistrés seulement).

Problème : erreur : com.cisco.nm.ac s.mgmt.msgbus.FatalBusException : Pour joindre des Noeuds

Dans une installation distribuée après une tâche de maintenance (se joignant pleine à une réplication primaire, de force, corrigeant), l'exemple A ACS signale l'exemple B ACS comme off-line dedans écran distribué de déploiement, alors que B est vraiment en ligne et signale l'exemple A en tant qu'en ligne. Dans les logs de Gestion, vous voyez l'erreur : com.cisco.nm.ac s.mgmt.msgbus.FatalBusException : Pour joindre des Noeuds.

Solution

Améliorez le correctif à 6 ACS 5.2 ou à plus tard afin de réparer cette question. Référez-vous au pour en savoir plus de l'ID de bogue Cisco CSCto47203 (clients enregistrés seulement).

Remarque: La sauvegarde de viewDB échouera une fois que l'utilisation de "" du "" /opt dépasse 30%. On l'exige pour configurer la mise en place NFS pour exécuter une sauvegarde quand le "" du "" /opt dépasse l'utilisation de 30%.

Problème : l'erreur 11026 le dACL demandé n'est pas trouvée

L'authentification de RAYON échoue avec ce message d'erreur : 11026 le dACL demandé n'est pas trouvés.

Solution

La demande est rejetée parce que la version de l'ACL téléchargeable demandé dans l'Access-demande de RAYON n'est pas trouvée. La demande de l'ACL téléchargeable s'est produite long après l'Access-demande d'origine. Pour cette raison, la version de l'ACL téléchargeable n'était plus disponible. Trouvez la raison pour ce retard dans la demande de l'ACL téléchargeable du client RADIUS.

Problème : l'erreur 11025 l'Access-demande de dACL demandé manque un attribut de Cisco-poids du commerce-paires avec l'AAA de valeur : event=acl-download. La demande est rejetée

L'authentification de RAYON échoue avec ce message d'erreur : 11025 l'Access-demande de dACL demandé manque un attribut de Cisco-poids du commerce-paires avec l'AAA de valeur : event=acl-download. La demande est rejetée.

Solution

Chaque Access-demande d'ACL téléchargeable doit avoir un attribut de Cisco-poids du commerce-paires avec l'AAA de valeur : event=acl-download. Dans ce cas, cet attribut manque la demande et l'ACS a manqué la demande. Vérifiez si le périphérique de réseau ou le client d'AAA a n'importe quels problèmes de compatibilité connus de RAYON.

Problème : l'erreur 11023 le dACL demandé n'est pas trouvée. C'est un nom inconnu de dACL

L'authentification de RAYON échoue avec ce message d'erreur : 11023 le dACL demandé n'est pas trouvés. C'est un nom inconnu de dACL.

Solution

Vérifiez la configuration ACS pour vérifier que l'ACL téléchargeable spécifié dans le profil d'autorisation existe dans la liste d'ACLs téléchargeable. C'est une mauvaise configuration de côté ACS.

Problème : Échec de l'authentification d'administrateur avec l'erreur interne de l'erreur 10001. Version de configuration incorrecte

L'authentification d'administrateur échoue avec cette erreur : Erreur interne 10001. Version de configuration incorrecte.

Solution

Cette erreur peut sont provoqué par par une base de données corrompue ACS, ou par un problème dans les données de configuration sous-jacentes. Entrez en contact avec le pour en savoir plus de Cisco TAC (clients enregistrés seulement).

Problème : Échec de l'authentification d'administrateur avec l'erreur interne de l'erreur 10002 : Manque de charger le service approprié

L'authentification d'administrateur échoue avec cette erreur : Erreur interne 10002 : Manque de charger le service approprié.

Solution

ACS 5.x ne peut pas charger le service de configuration AAC. Ceci peut sont provoqué par par une base de données corrompue ACS, ou par un problème dans les données de configuration sous-jacentes. Il peut également se produire quand les ressources système sont épuisées. Entrez en contact avec le pour en savoir plus de Cisco TAC (clients enregistrés seulement).

Problème : Échec de l'authentification d'administrateur avec l'erreur interne de l'erreur 10003 : Nom vide d'administrateur reçu par authentification d'administrateur

L'authentification d'administrateur échoue avec cette erreur : Erreur interne 10003 : Nom vide d'administrateur reçu par authentification d'administrateur.

Solution

En accédant au GUI de l'ACS 5.x, ACS reçoit un nom d'utilisateur vide. Vérifiez la validité du nom d'utilisateur transmis à l'ACS. S'il est valide, entrez en contact avec le pour en savoir plus de Cisco TAC (clients enregistrés seulement).

Problème : Raison de panne : L'erreur associée 24428 par connexions s'est produite dans LRPC, LDAP ou KERBEROS

Ce message d'erreur est reçu sur l'ACS :

Raison de panne : L'erreur associée 24428 par connexions s'est produite dans ou LRPC, LDAP ou le KERBEROS ce problème de connexion RPC peut être parce que la stub a reçu des données incorrectes

Solution

Afin de résoudre ce problème, améliorez l'ACS à la version 5.2.

Problème : L'authentification par proxy d'authentification TACACS+ ne fonctionne pas sur un routeur exécutant IOS 15.x de serveur ACS 5.x

L'authentification par proxy d'authentification TACACS+ ne fonctionne pas sur un routeur qui exécute la version du logiciel Cisco IOS 15.x d'un serveur ACS 5.x.

Solution

Le proxy d'authentification TACACS+ est seulement pris en charge après que mise à jour du correctif 5. ACS 5.3 votre ACS 5.x, ou RAYON d'utilisation pour le proxy d'authentification.

Problème : Obtenir la panne de mémoire de message d'erreur (acs-xxx, TacacsAccounting) d'ACS 5.x

Solution

L'état de comptabilité ACS 5.1 TACACS manque quelques attributs tels que le nom d'utilisateur, le niveau de privilège, et le type de requête quand il reçoit un paquet mal formé de comptabilité du client. Dans certains cas, ceci mène à la génération de l'alarme de panne de mémoire (acs-xxx, « TacacsAccounting) » en vue. Afin de résoudre ceci, vérifiez ce qui suit :

  • Le paquet de comptabilité envoyé par le client a un argument mal formé TACACS (par exemple, non-concordance en longueur et valeur d'argument l'un des envoyées par le client d'AAA).

  • Assurez-vous que le client envoie un paquet valide de comptabilité avec la longueur et la valeur appropriées pour les arguments.

Référez-vous au pour en savoir plus de l'ID de bogue Cisco CSCte88357 (clients enregistrés seulement).

Problème : L'authentification de l'utilisateur a manqué avec l'erreur "11036 que l'attribut RADIUS de Message-authentificateur est non valide. »

Solution

Vérifiez ce qui suit :

  • Vérifiez si les secrets partagés sur le client et le serveur ACS d'AAA s'assortissent.

  • Assurez-vous que le client d'AAA et le périphérique de réseau n'ont aucun problème matériel ou problème avec la compatibilité de RAYON.

  • Assurez-vous que le réseau qui connecte le périphérique à l'ACS n'a aucun problème matériel.

Problème : La comptabilité de RAYON a manqué avec la demande de comptabilité abandonnée par "11037 d'erreur reçue par l'intermédiaire du port non vérifié. »

Solution

La demande de comptabilité a été abandonnée parce qu'elle a été reçue par l'intermédiaire d'un numéro de port UDP non vérifié. Vérifiez ce qui suit :

  • Assurez-vous que la configuration de nombre de port de traçabilité sur le client d'AAA et sur la correspondance de serveur ACS.

  • Assurez-vous que le client d'AAA n'a aucun problème matériel ou problème avec la compatibilité de RAYON.

Problème : La comptabilité de RAYON a manqué avec l'en-tête de Comptabilité-demande de RAYON de l'erreur "11038 contient le champ non valide d'authentificateur. »

L'ACS ne peut pas valider le champ d'authentificateur dans l'en-tête du paquet de Comptabilité-demande de RAYON. Le champ d'authentificateur ne doit pas être confondu avec l'attribut RADIUS de Message-authentificateur. Assurez-vous que le RAYON a partagé le secret configuré sur les correspondances de client d'AAA qui ont configuré pour le périphérique de réseau sélectionné sur le serveur ACS. En outre, assurez-vous que le client d'AAA n'a aucun problème matériel ou problème avec la compatibilité de RAYON.

Erreur : "24493 ACS a des problèmes communiquant avec le Répertoire actif utilisant ses qualifications d'ordinateur. »

Solution

Vérifiez l'ACS pour la Connectivité d'AD, et assurez-vous que le compte d'ordinateur ACS est encore présent dans l'AD.

Problème : « En créant des noms de profil de shell avec des caractères particuliers aimez « l'ê », ACS peut tomber en panne. »

Solution

Ce comportement a été identifié et l'ID de bogue Cisco ouvert une session CSCts17763 (clients enregistrés seulement). Vous devez améliorer 5.3.40 au correctif 1 ou 5.2.26 le correctif 7.

Problème : Obtenir la « erreur d'analyser à la ligne 2 : non bien formé (jeton non valide) » tout en exécutant « l'exposition exécutez-vous » sur l'ACS 5.x CLI.

Solution

Assurez-vous que la communauté SNMP configurée sur l'ACS a les caractères valides. On permet seulement à des des caractères alphanumériques (lettres et numéro seulement) pour être utilisé dans le nom de communauté.

Problème : La partition ACS 5.x /opt se remplit très rapidement

Solution

ACS 5.x manque d'espace disque en raison de l'espace insuffisant dans la partition de /opt. Ceci se produit en raison du nombre élevé de se connecter des données inondant la vue ACS. Comme contournement, vous devez remplacer la base de données de vue souvent. Puisque la vue ACS ne peut pas faire face aux gigas de données chaque jour, vous devez organiser les données se connectantes. Quand vous avez besoin de tous les logs, utilisez un serveur externe de Syslog au lieu de la vue ACS. Quand vous devez utiliser seulement une partie des données se connectantes, utilisez l'administration système > la configuration > la configuration de log > en se connectant des catégories > global afin d'envoyer seulement les logs requis au log-collecteur de vue ACS.

Problème : Question du domaine désiré

ACS 5.x peut-il questionner les contrôleurs de domaine désirés (DCS) en joignant un domaine de Répertoire actif ?

Solution

Non. Actuellement, l'ACS questionne les DN avec le domaine afin d'obtenir une liste de tout le DCS dans le domaine. Puis, il essaye de communiquer avec tous. Si la connexion même à un C.C échoue, alors la connexion ACS au domaine est déclarée comme manquée.

Problème : Domaines de parent et d'enfant en même temps

Y a-t-il une manière d'installer ACS 5.x dans des domaines de parent et d'enfant en même temps ?

Solution

Non. Actuellement, ACS 5.x peut seulement être une partie d'un domaine. Cependant, ACS 5.x peut authentifier des utilisateurs/ordinateurs des domaines de confiance par multiple.

Problème : Se connecter à la base de données distante

Est-ce que je peux me connecter les données de vue ACS 5.x à une base de données distante ?

Solution

Oui, ACS 5.x te permet pour se connecter les données de vue ACS aux serveurs de Microsoft SQL et aux serveurs d'Oracle SQL.

Problème : Support de VMware

Solution

ACS 5.x peut être installé sur un virtual machine. La dernière version, ACS 5.3, peut être installée sur ces versions de VMware :

  • VMware ESX 3.5

  • VMware ESX 4.0

  • VMware ESX i4.1

  • VMware ESX 5.0

Problème : Les espaces disque requis

Quels sont les espaces disque requis pour la version d'évaluation ACS 5.x ?

Solution

Un minimum d'espace disque du Go 60 est exigé pour la version d'évaluation. 500 Go est exigés pour l'installation de production.

Problème : "24401 n'a pas pu établir la connexion avec l'agent de Répertoire actif ACS. »

Solution

Afin de résoudre cette erreur, vérifiez ce qui suit :

  • Vérifiez si l'ordinateur ACS est joint au domaine de Répertoire actif.

  • Vérifiez l'état de Connectivité entre l'ordinateur ACS et le serveur de Répertoire actif.

  • Vérifiez si l'agent de Répertoire actif ACS s'exécute.

Référez-vous au pour en savoir plus de l'ID de bogue Cisco CSCtx71254 (clients enregistrés seulement).

Problème : Le processus « d'exécution » affiche que la « exécution a manqué » état

En mettant à jour Cisco ACS avec un correctif, le processus d'exécution est bloqué dans la « exécution a manqué » état et ce message est enregistré :

"local0 errent errent 83 ERREUR de logforward 2012-06-12T12:11:08+0200 192.168.150.74 ACS ACS : /opt/CSCOacs/runtime/bin/run-logforward.sh : ligne 18 : Défaut de la segmentation 7097 (vidé). /$daemon - b - f $logfile »

Solution

Ceci peut être une question avec le correctif de MD5 du dernier correctif. Vérifiez la somme de contrôle de MD5 du dernier correctif appliqué à Cisco ACS. Téléchargez cela de nouveau, puis appliquez-le correctement.

Problème : Authentification défectueuse ACS quand l'UCS force la ré-authentification

Le serveur UCS est configuré pour authentifier un client java de Cisco ACS. La procédure d'authentification comporte l'utilisation du serveur de jetons RSA. Les premiers passages d'authentification. Cependant, quand l'UCS régénère et force le client java pour authentifier à nouveau, il échoue parce que la RSA ne laisse pas ne réutiliser aucun jeton. Par conséquent, l'authentification échoue.

Solution

C'est une limite du persepective du serveur UCS, mais pas de Cisco ACS. Le serveur UCS suit une authentification à deux facteurs qui est une fonction non prise en charge pour Cisco ACS une fois utilisée avec des jetons RSA. Actuellement, il n’est pas pris en charge. Comme contournement, vous êtes informé utiliser n'importe quel serveur de base de données, tel que l'AD ou le LDAP, autre que le serveur de jetons RSA.

Problème : L'exécution du Répertoire actif "24444 a manqué en raison d'une erreur non spécifiée dans l'ACS »

Solution

Une erreur unmapped s'est produite dans une exécution associée par AD. Référez-vous à l'intégration ACS 5.x avec l'exemple de configuration d'AD de Microsoft et configurez l'intégration d'AD avec l'ACS correctement. Si tout est configuré correctement selon le document, alors le contact Cisco TAC pour davantage de dépannage.

Problème : Incapable d'authentifier des utilisateurs ACS 5.1 avec le serveur R2 de l'AD 2008

Solution

Ceci se produit en raison des questions d'incompatibilité. L'intégration R2 de l'AD 2008 est prise en charge de la version ACS 5.2 seulement. Améliorez votre ACS à 5.2 ou plus tard. Référez-vous au pour en savoir plus de l'ID de bogue Cisco CSCtg12399 (clients enregistrés seulement).

Erreur : Sujet 22056 non trouvé dans les mémoires applicables d'identité.

Quand les utilisateurs de VPN SSL essayent d'obtenir authentifié d'une appliance RSA, ce message d'erreur est reçu du serveur ACS de Cisco :

Raison de panne : Sujet 22056 non trouvé dans les mémoires applicables d'identité.

Solution

Vérifiez si l'utilisateur est présent dans la base de données où l'ACS est dirigé pour rechercher. La mémoire en cas RSA et de RAYON d'identité, s'assurent que l'option d'anomalie de festin est sélectionnée comme échec de l'authentification. C'est sous l'onglet Avancé de la configuration de mémoire d'identité.

Problème : ipt_connlimit : Oh là là ! : État non valide ct ?

L'ipt_connlimit : Oh là là ! : État non valide ct ? le message d'erreur apparaît sur la console quand ACS 5.x fonctionne sur le VMware.

Solution

C'est un message cosmétique. Référez-vous au pour en savoir plus de l'ID de bogue Cisco CSCth25712 (clients enregistrés seulement).

Problème : ACs 5.x/ISE ne voit pas l'attribut de calling-station-id de rayon dans une demande RADIUS de NAS de la version du logiciel Cisco IOS 15.x

ACs 5.x/ISE ne voit pas l'attribut de calling-station-id de rayon dans une demande RADIUS de NAS de la version du logiciel Cisco IOS 15.x.

Solution

Utilisez le radius-server attribute 31 envoient l'ordre de nas-port-petit groupe sur la version du logiciel Cisco IOS 15.x afin d'activer envoyer l'attribut.

Problème : Les comptes utilisateurs obtient verrouillé au premier exemple des qualifications fausses même si configuré pour 3 tentatives

Quand ACS 5.3 est intégré avec le Répertoire actif à un niveau R2 fonctionnel de Windows 2008, des comptes utilisateurs qui sont placés avec des paramètres de verrouillage (3 tentatives incorrectes) lockouted pr3maturément après que l'utilisateur entre dans les qualifications fausses juste une fois.

Solution

Référez-vous au pour en savoir plus de l'ID de bogue Cisco CSCtz03211 (clients enregistrés seulement).

Problème : Unbale à sauvegarder sauvegardent d'ACS

Pendant une tentative de sauvegarder une sauvegarde de l'ACS, la cause : Détails non configurés de sauvegarde incrémentielle : La sauvegarde incrémentielle n'est pas configurée. Configurer la sauvegarde incrémentielle est nécessaire de rendre la purge de base de données réussie. Ceci aidera à éviter des questions d'espace disque. La taille de la base de données de vue est 0.08GB et le classe occupe sur le disque dur est l'avertissement 0.08GB apparaît.

Solution

Vous ne pouvez pas simultanément exécuter une sauvegarde incrémentielle, sauvegardez complètement, et purge de données. Si l'un de ces travaux s'exécutent, vous devez attendre une période de 90 minutes avant que vous pouvez commencer le prochain travail.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 113485