安全 : 用于 Windows 的思科安全访问控制服务器

Windows的FAQ Secure ACS

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


问题


简介

本文回答思科安全访问控制服务器(ACS)一些常见问题Windows的。

支持的功能

Q. 64位操作系统与ACS产品一起使用?

A. 可以。ACS 4.2.1为ACS Windows和ACS远程代理提供64位Windows支持。在4.2.1之前的ACS版本不支持64位操作系统。

Q. ACS Express 中是否支持授权命令?

A. 不能。authorization命令是仅可用的与ACS (不与ACS Express)。

Q. VMWare ESX 服务器是否支持 Windows ACS 4.1 和 4.2?

A. 已使用以下配置在 VMWare ESX 服务器上对 ACS 4.1 和 4.2 进行了测试:

  • VMWare ESX 服务器 3.0.0

  • 16 GB RAM

  • AMD Opteron 双核处理器

  • 300 GB 硬盘驱动器

  • 四台虚拟机

  • Windows 2003 Standard Edition

  • 用于来宾操作系统的 3 GB RAM

Q. 与Microsoft点对点加密(MPPE)加密支持的点对点隧道协议(PPTP)什么时候被添加了到Cisco Secure ACS for Windows ?

A. 如果要进行 MPPE 密钥设置(加密),则 PPTP 2.6 版本要求使用 Microsoft 质询握手身份验证协议(MS-CHAP)身份验证。在早期版本中,可以进行 PPTP 身份验证。不过,只有在 ACS 2.6 版本之后才添加了对 MPPE 密钥设置的支持。

Q. ACS 是否支持 Microsoft 质询握手身份验证协议 (MS-CHAP)?

A. ACS 目前支持 MS-CHAP 版本 1。ACS 3.0 及以上版本支持 MS-CHAP 版本 1 和版本 2。

Q. 使用ACS Radius为了配置Cisco VPN Client的验证是否是可能的?

A. 可以。使用在ACS版本5.2的Radius为了配置Cisco VPN Client的验证是可能的。ACS版本5.0不支持使用Radius配置Cisco VPN Client的验证。

Q. Security Dynamics International (SDI)和ACS能安装在同一个系统?

A. 是、ACS和SDIs访问控制项(ACE)服务器在同样计算机可以运行。还有一种客户端-服务器布置方案,即 ACS 和 ACE 客户端在一台计算机上,ACE 服务器在另一台计算机上。

Q. 有何区别密码认证协议和质询握手验证协议(CHAP) ?为什么 CHAP 无法与 NT 数据库配合使用?

A. PAP 在用户和 TACACS+ 或 RADIUS 客户端或设备之间以明文形式发送口令。如果口令正确,则确认身份验证。否则,将终止连接。

CHAP 将将向远程用户发送一条质询消息。远程用户通过使用单向哈希函数计算的值进行响应。客户端或设备根据自己计算的预期哈希值检查该响应。如果两个值匹配,则认证成功。否则,将终止连接。口令不以明文形式发送。

由于 CHAP RFC (1994) 要求,CHAP 不能与 NT 数据库配合使用。leavingcisco.com 该要求指出:

“CHAP 要求以纯文本格式提供密钥。不能使用通常可用的不可逆加密的密钥数据库”。

这通常排除了用 Microsoft 质询握手身份验证协议 (MS-CHAP) 作为选项对 CHAP 使用 NT 数据库的可能性。

Microsoft 提供的修补程序可以为 Microsoft Windows NT 用户数据库提供解决方法。它允许以纯文本格式保存用户口令。有关更多信息,请参阅用于 IAS(NT4.0 RADIUS 服务器)向 Windows NT4.0 域控制器进行身份验证的 CHAP 更新leavingcisco.com

Q. ACS 是否充当其他服务器的代理服务器?

A. 是,ACS 从网络访问服务器 (NASes) 接收身份验证请求并将其转发到其他服务器。您需要定义其他服务器。要执行此操作,请在源服务器上选择 Network Configuration > AAA Servers。源服务器在目标上定义为 TACACS+ 或 RADIUS NAS。定义这些服务器后,在源网络配置中配置“分布式系统设置”以便定义代理参数。

Q. 有没有在ACS支持网络接入服务器的数量的限制?

A. 没有限制,因为它是 Windows NT 注册表支持的数量的函数。估计是数千台服务器。NAS 信息不存储在数据库中。它存储在注册表中。所以,当您发出csutil - d命令时,您不备份任何NAS信息。

Q. ACS 中的用户信息存储在哪里?

A. ACS 有其自己的专有数据库。它存储在多个文件中。

Q. ACS 是否支持域剥离?

A. 可以。ACS支持域剥离。当有虚拟专用拨号网络(VPDN)和非VPDN用户时的组合这是有用的。

当使用外部 NT 数据库进行身份验证时,也可以使用域剥离。用户首次登录时,用户名会自动填充到 ACS 中。因为用户可能以 DOMAIN_A\user 或 user 身份登录,因此 ACS 中的名字可能显示为“DOMAIN_A\user”或“user”。这会在数据库中生成两个条目。使用域剥离可以避免出现重复的条目。在使用域剥离的情况下,可以清除带分隔符 \ 的前缀域,以便得到一致的数据库。要进行此设置,请选择 Network Configuration > Proxy Distribution Table

Q. 什么是关系数据库管理系统 (RDBMS) 同步?

A. ACS 支持 RDBMS 数据库(例如 Oracle),以便在使用任何 RDBMS 的两个系统之间同步数据库。

Q. 在 ACS 3.0 及以上版本中如何处理 CRYPTOCard 软件?

A. 在 ACS 3.0 及以上版本中,从 ACS 中删除了 CRYPTOAdmin 服务器组件。以后的任何许可证(不管是否免费)都必须直接从 CRYPTOCard 获取。

Q. ACS 是否支持 DHCP 中继?

A. 不ACS不支持DHCP中继。

Q. 是否可以更改 Windows 上运行的 ACS 服务器的主机名?

A. 不能。更改ACS服务器运行的主机名在Windows的是不可能的。默认情况下,ACS 设计为采用 Windows 服务器名称作为主机名。

Q. Windows 2008 服务器平台是否支持 ACS?

A. 可以。Windows服务器支持ACS 2008年,并且可得到从ACS 4.2 Patch4和以后。有关更多信息,请参阅 Cisco Secure ACS 4.2 发行版本注释中的 Windows 和 Active Directory 2008 支持方案部分。

Q. Windows的ACS支持SNMP ?

A. 不ACS设备仅支持SNMP。参考支持的相互可操作的设备和软件表的SNMP支持部分Cisco Secure ACS版本4.2文档的。

Q. ACS支持IPv6 ?

A. 不ACS不支持IPv6。

Q. ACS支持PEAP-TLS功能?

A. 不ACS不支持PEAP-TLS。

TACACS+和Radius相关问题

Q. ACS 是否为 RADIUS 提供任何支持?

A. 对 RADIUS 的支持程度取决于 ACS 的版本。总是支持请求注释(leavingcisco.com RFC)leavingcisco.com 21382139,象Cisco IOS 软件供应商专用属性(VSAs)。要查看特定版本中 RADIUS 支持情况的列表,请选择 Network Configuration > Network Device Groups > AAA Clients Area

Q. ACS 是否能够在 RADIUS 和 TACACS+ 之间执行转换代理以及反向操作?

A. ACS 可以充当 RADIUS 到 RADIUS 或 TACACS+ 到 TACACS+ 的转换代理,但它不能在异类协议之间充当代理。

Q. 如何为从ACS的PPP连接分配域名命名系统(DNS)使用TACACS+,和Windows Internet Naming Service (WINS)服务器IP地址?

A. 通过在组设置中添加以下这些行作为 PPP IP 的自定义属性,您可以从 ACS 中逐个用户或为一组用户指定 DNS 和 WINS 服务器 IP 地址。

dns-servers = 10.1.1.1 10.1.1.3

wins-servers = 10.1.1.5 10.1.1.16

Q. 如何为从ACS的PPP连接分配域名命名系统(DNS)使用RADIUS,和Windows Internet Naming Service (WINS)服务器IP地址?

A. 通过在组设置中的 Cisco RADIUS Attributes 和 AV-pair 下面添加以下这些行,您可以从 ACS 中逐个用户或为一组用户指定 DNS 和 WINS 服务器 IP 地址。

ip:wins-server=123.1.1.1 123.1.1.2

ip:dns-servers=212.1.1.1 212.1.1.2

Q. 如何在注册表设置中更改 RADIUS 服务器侦听的端口?

A. 从版本2.5, ACS侦听在RADIUS端口验证的用户数据报协议(UDP) 1645和UDP 1812和在核算的端口1646和1813。

如果您使用的是早期版本,请更改侦听端口。要执行此操作,请在 Windows 注册表中重新编辑相应键的属性值:

HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\CiscoAAAv2.3\CSRadius
"AuthenticationPort"=dword:1812
"AccountingPort"=dword:1813
This can also be changed in the newer version:
HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\CiscoAAAv3.0\CSRadius
AccountingPort = 1646
AccountingPortNew = 1813
AuthenticationPort = 1645
AuthenticationPortNew = 1812

Q. 是否可以将 TACACS+ 的默认端口更改为 TCP 49 以外的值?

A. 更改 TACACS+ 服务端口的默认值。要执行此操作,请在 Windows 注册表中编辑相应键的属性值:

HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\CiscoAAAv3.0\CSTacacs
"Port"=dword:59

Q. 我不想因为不得不列出网络中的所有网络访问服务器 (NASes) 而产生任何管理开销,它们都具有相同的 tacacs-server 密钥。如何设置对我的 NASes 使用的默认密钥?

A. 在 NAS 配置区域通过保留主机名和 IP 地址为空白,添加一个将默认的 NAS。仅输入密钥。单击 submit。然后您可以看到 NAS others 和 *.*.*.*。

注意: 此过程仅适用于 TACACS+,不适用于 RADIUS。

Q. 我需要一台对 ACS 使用 TACACS+ 和 RADIUS 的设备进行身份验证。我想让其中的一个用于拨号,另一个用于路由器管理。如何才能执行此操作?

A. 配置默认网络接入服务器(NAS)正如TACACS+的上一个问题所描述,然后列举RADIUS的NAS。如果发出 aaa authentication ppp default if-needed RADIUS 命令,NAS 将在 RADIUS 端口上向 ACS 发送 RADIUS 拨号请求。

如果发出 aaa authentication login default TACACS+ 命令,NAS 将在 TACACS+ 端口上向 ACS 发送 TACACS+ 路由器管理请求。

验证相关问题

Q. 当用户无法对照 NT 数据库进行身份验证时,我需要检查什么?

A. 完成以下步骤以对该问题进行故障排除。

  1. 检查是否能在本地域上对用户进行身份验证。为确保可以进行此操作,请选择开始 > 关闭 > 关闭所有程序并以其他用户身份登录。如果您不能在本地域上对该用户进行身份验证,则表明 ACS 不能正常运行。
  2. 如果您已在 Cisco Secure 数据库配置中选中 verify grant dialin permission for the users,请检查是否在 NT 数据库中对此用户授予了拨入权限。
  3. 如果这是拨号连接,请确保密码认证协议或微软询问握手认证协议(不是CHAP)在路由器和PC配置。

Q. 需要检查什么,当用户无法验证Novell目录服务器(NDS)时数据库?

A. 检查是否全部正确指定了树名称、上下文名称和容器名称。请从一个存在用户的容器开始。您可以在以后添加更多容器。

如果成功,请检查 NAS 以查看您是否能够对Shell用户(Telnet 用户)进行身份验证。并且请保证对于PPP您有密码认证协议在异步接口配置的验证。

Q. 如何能排除故障Security Dynamics International (SDI)验证问题?

A. 完成下面的步骤以便对 SDI 身份验证问题进行故障排除。

  1. 验证有访问控制项(ACE)测试代理程序的用户。
  2. 如果身份验证有效,请确认卡与数据库同步。当卡初始化时,请保证您使用在SDI服务器的数据加密标准(DES)加密。选择 SDI 无效。
  3. 在尝试对设备进行 Telnet 身份验证时,在 ACE 服务器上启动活动监控器。
  4. 在 ACE 服务器上检查活动监控器中是否有任何错误。
  5. 如果ACE服务器工作,但是有密码认证协议配置与拨号用户的一问题,请检查在network access servers (NAS)的设置为了保证。然后尝试以非 SDI 用户身份连接。
  6. 如果可以这样做,则以 SDI 用户身份进行连接预计也能正常进行。在拨号网络的用户名选项卡中输入用户名,在口令选项卡中输入安全码。
  7. 如果客户端从您拨号配置启动发表物终端屏幕,在您拨号后,保证您问题此验证、授权和统计(AAA) on命令NAS :
    aaa authentication ppp default if-needed 
    tacacs+/Radius
    
    关键是在需要时使用。这意味着已经通过发出此 AAA 命令对用户进行了身份验证:
    aaa authentication login default
    	 tacacs+/radius
    
    之后,当您执行 PPP 时,您不必再对用户进行身份验证。当您使用正常的 PAP 口令时,情况也是如此。

Q. 我的 ACS 身份验证对多链路服务不起作用。我需要采取什么行动?

A. 选择 Interface Configuration > Tacacs+ (Cisco) > Add New Service。指定 ppp 作为服务,multilink 作为协议。

注意: PPP 和多链路全部小写。

Q. Cisco 用户的 CRYPTOAdmin 身份验证服务器许可证策略是什么?

A. 有关许可证条款和条件的完整说明以及未来升级,可通过向 sales@cryptocard.com 发送电子邮件来获取,用作参考的产品代码为 CA5.1SC。CRYPTOAdmin 服务器软件评估程序包(包括有时间限制的许可证和软件令牌)可从 CRYPTOCard 的软件下载页 获得。leavingcisco.com

Q. 当我在交换机或路由器上使用命令(如 aaa authentication enable default tacacs+ 或 set authentication login tacacs enable telnet primary)打开启用身份验证时,我被锁定,无法使用启用模式,并在路由器上收到 Error in authentication 错误消息。我需要采取什么行动?

A. 在 ACS 中检查失败的尝试日志。如果日志显示 CS password invalid,则可能是因为没有为用户设置专门的启用口令。在配置启用身份验证时,必须设置此口令。如果在用户选项中没有看到 Advanced TACACS+ Settings,请选择 Interface Configuration > Advanced Configuration Options > Advanced TACACS+ Features,并选择该选项以便使 TACACS+ 设置显示在用户设置中。然后选择 Max privilege for any AAA Client (通常是 15)并在 TACACS+ Enable Password 中输入希望用户启用时使用的 TACACS+ 启用口令。

Q. 如何确定什么‘验证失败’消息类型含义?

A. 记下消息的日期和时间,转到 CSAuth 日志文件并搜索此日期和时间。之后会显示该消息的更多详细说明。

Q. 用户无法使用 ACS Express 对子域进行身份验证。为什么会发生这种情况?

A. 当用户未提供域名时就会出现此问题。如果没有提供域名, ACS添附域的域名的Express尝试ACS Express加入。如果用户位于子域,而 ACS Express 加入了父域,则用户需要在用户名身份验证中提供完全限定的域名。

Q. ACS是否支持在验证的QoS,以便RADIUS可以在TACACS优先安排?

A. 不ACS不支持在验证的QoS。ACS不会优先安排在TACACS或TACACS请求的RADIUS验证请求在RADIUS。

认为的相关问题

Q. ACS 记账显示 NAS reset 消息。哪些原因可导致出现此消息?

A. 设备重新启动或在 Cisco IOS 软件中发出 tacacs-server host #.#.#.# single-connection 命令可导致出现 NAS reset 消息。如果设备未重新启动,请发出 tacacs-server host #.#.#.# 命令以便更改配置来消除该消息。

Q. 我是否可以将记账信息发送到另一个系统并在本地系统上保留一个副本?

A. 可以。选择系统配置>登陆命令配置此选项。

Q. Cisco 是否推荐了可用于报告 ACS 中可用的记账日志的软件应用程序?

A. ACS 记账日志使用以下两种格式之一进行记录:

  • CSV文件—在逗号分离的列的Comma-Separated Value (CSV)格式记录数据。这种格式可以很容易地导入到多种第三方应用程序中,如 Microsoft Excel 或 Microsoft Access。在将 CSV 文件中的数据导入到这样的应用程序后,可以制作图表或执行查询,例如确定在给定时间段内用户登录网络的小时数。

  • 与 ODBC 兼容的数据库表 - 开放数据库连接 (ODBC) 日志记录允许您将 ACS 配置为直接记录到与 ODBC 兼容的关系数据库,此数据库中的信息存储在表中,每个日志一个表。在将数据导出到关系数据库后,可以根据需要使用这些数据。

不管使用哪种方法,用于解析日志的软件都有很多。然而,Cisco 未推荐特定的供应商。

Q. ACS记帐信息是否(任何更改发生)解析到监听、分析和答复系统(火星) ?

A. 遗憾的是,MARS 中的当前技术支持只能够解析“失败的尝试”、“通过的认证”和“RADIUS 记账”日志。

在 ACS 5.0 中,ACS 视图将是 ACS 监控和报告的载体,而不仅仅包含 MARS。

备份相关问题

Q. 如何备份 ACS?

A. 您能通过GUI备份ACS在System Configuration Tab帮助下,或者请使用命令行界面(CLI)。如果您使用 GUI,则可以备份用户、组和注册表设置。如果您使用 CLI,请发出以下命令:

对于用户和组转储:

$BASE\utils\csutil -d

对于用户、组和注册表设置备份:

$BASE\utils\csutil -b

关于如何执行ACS备份的更多信息,参考如何备份Cisco Secure ACS for Windows数据库

Q. 我能否在一个 ACS 上使用备份实用程序,然后在另一个服务器上恢复该信息?

A. 不能。备份工具打算保存用户、组和注册信息从一个ACS方框和恢复它到运行同一个软件版本的同一个ACS方框。如果需要克隆 ACS 框,则可以改用复制。

如果您只需要将用户和组从一个服务器复制到另一个服务器,请发出 csutil -d 命令。然后将新转储文本 (.txt) 文件复制到目标框中。之后,发出 csutil -n -l 命令以便初始化数据库并导入用户和组。

Q. 我尝试在 ACS 上备份数据时收到 CSBackupRestore(OUT) cannot save reg key 错误消息。为什么会出现此错误?

A. 此错误出现,当ACS安装的磁盘完全全双工或写保护。确保有足够的可用磁盘空间,并且不写保护,以便错误不再出现。

密码相关问题

Q. 使用 Cisco Secure,您可以强制用户在给定时间段后更改其口令。当您使用 Windows NT 数据库进行身份验证时,您是否能执行此操作?

A. 在使用 Cisco Secure 数据库进行身份验证时,所有版本都提供此功能。3.0 及更高版本提供对 Microsoft 质询握手身份验证协议 (MS-CHAP) 版本 2 和 MS-CHAP 口令过期的支持。这适用于 Microsoft 拨号网络客户端、Cisco VPN Client(3.0 及更高版本)和支持 MS-CHAP 的所有桌面客户端。在登录后口令过期的情况下,此功能会提示您更改您的口令。除了提供 Cisco Secure 用户数据库支持的口令过期外,还提供基于 MS-CHAP 的口令过期功能,支持用户使用 Windows 用户数据库进行身份验证。ACS 3.0 中增加了这一功能,不过还需要设备或客户端支持。Cisco Systems 正在逐步向多种硬件添加这样的设备或客户端支持。

Q. 用户如何更改其自己的口令?

A. 如果 PC 上安装了 Cisco Secure 认证代理,当拨号连接的 Cisco Secure 数据库口令到期时,用户会收到通知。一旦用户进入网络后,他们就可以使用用户可改变口令软件,该软件随 Microsoft IIS 一起运行。当用户是在网络时,他们瞄准他们的浏览器到用户控制点(UCP)安装的系统并且更改他们的密码。

Q. 使用什么加密算法来存储 ACS 口令?

A. 口令是借助于 Crypto API Microsoft Base Cryptographic Provider 1.0 使用 RC2 算法和 40 位密钥进行加密的。有关更多信息,请参阅用户数据库 - 关于 Cisco Secure 用户数据库

Q. 默认设置允许用户通过 Telnet 连接到路由器来更改自己的口令。如何禁用此选项?

A. 要阻止用户通过 Telnet 更改其口令,请完成以下步骤。

  1. 备份本地注册表。
  2. 转到注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\CiscoAAAv< your_version >\CSTacacs
  3. 突出显示 CSTacacs。然后右键单击并选择 NEW-DWORD 以便添加注册表值。
  4. 当新项显示在窗口右侧时,在新项窗口中键入 disablechangepassword
  5. 新项的默认值是 0。此设置允许用户更改口令。右键单击新项并选择修改。然后将该项的值更改为 1 以便禁用口令更改。
  6. 添加此新项后,重新启动 CSTacacs 和 CSAuth 服务。

Q. 当请运用密码更改规则设置时, TACACS+密码过期规则不与SSH一起使用。如何处理此问题?

A. 请使用telnet验证。

TACACS+用户密码更改,例如在终止前,在登录期间请勿与SSH一起使用。问题适合于对TACACS+ AAA服务器和SSH为了建立会话。这不为RADIUS或远程登录会话保持。

TACACS+提供一个功能,如果一个空白的密码被提供给AAA服务器触发密码更改顺序。例如,要求旧密码由新密码跟随。这取决于成功或失败,并且新密码是否接受或拒绝。

如果密码需要在终止前,更改请使用telnet。对于过期密码SSH行为优良是,当然后触发密码更改顺序。

当远程登录到路由器时用户能按回车在密码:提示符为了启动更改密码顺序。如果他们的密码超时或超时,用户可能也被通知。当您连接到路由器通过SSH,此功能不运作。

Q. 如何恢复 Cisco Secure ACS 服务器的口令?

A. 关于恢复 Cisco Secure ACS 服务器口令的分步过程,请参阅 Cisco Secure ACS 解决方案引擎的口令恢复流程,其中详细说明了恢复过程。

远程代理问题

Q. 在尝试与远程代理通信的过程中有时会发生超时。为什么?

A. 确保 ACS 服务器和远程代理上的软件版本相同。例如,如果您的 ACS SE 运行软件版本 4.1,则必须在 AD 使用远程代理版本 4.1。如果软件版本不同,配置将无效,您会收到以下错误消息:External DB user invalid or bad password.

Q. 如何删除 ACS 中的远程代理?

A. 完成以下步骤以便删除 ACS 中的远程代理:

  1. 在 Windows 服务器中转到服务并停止 ACS 代理的服务。
  2. 转到 ACS 并停止登录服务。选择 System Configuration > login > Remote Login setup 并选择 Do not log Remotely。
  3. 尝试删除远程代理。有关删除远程代理的更多信息,请参阅删除远程代理配置

Q. 在向 ACS 添加远程代理时出现此错误:Failed to commit all Fields。如何解决此问题?

A. 如果没有正确安装修补程序或修补程序损坏,则通常会出现 Failed to commit all Fields 错误消息。重新镜像 ACS 并恢复配置可纠正此错误。

复制问题

Q. 如果复制失败,我需要查看哪些事项?

A. 从命令行发出 net stopcsauth 命令以便停止每个服务器上的服务。然后发出 csauth -z -p 命令,以便在调试中运行源和目标,并在窗口中查看消息。输出也会写入 $BASE\CSAuth\Logs\auth.log 文件。通常一个或很多验证、授权和统计(AAA)服务器是不正确的配置的。因此,请在目标设备上查看是否有报告非法或未知主机请求的消息。如果源设备具有多个网络适配器,这会导致目标设备发现错误的 IP 地址并因源未知而拒绝源。

Q. 我对地理位置分散的服务器使用 ACS,当我复制时,服务中断。如何处理此问题?

A. 确保将身份验证设备配置为可进行故障切换。即确保定义至少两台服务器,以便当一台服务器无法访问时,另一台可提供备份。(不管是否涉及复制,这都是一个好办法。)例如,如果在美国布置一个 ACS 向澳大利亚的第二个 ACS 进行复制,则将身份验证设备配置为首先尝试美国的设备,然后尝试澳大利亚的设备可能并不是最好的计划。安装第二个本地服务器(在美国)并从美国主设备向美国从属设备进行复制。然后从美国的从属设备向澳大利亚的从属设备进行复制。

日志消息

Q. 日志是否以本地 ACS 格式进行转换,或是否转换为 syslog?

A. 否,它们是本地 syslog。

Q. 如何在 Cisco Secure ACS SE 上每天生成一个日志文件?

A. 对于每个 CSV 日志,Cisco Secure ACS 会将其写入单独的日志文件。当日志文件达到 10 MB 大小时,Cisco Secure ACS 将开始写入新的日志文件。对于每个 CSV 日志,Cisco Secure ACS 保留最近的 7 个日志文件。关于生成日志的更多信息,请参阅启用或禁用 CSV 日志

错误消息

Q. 如何更正“User Access Filtered”错误?

A. 请禁用网络访问限制(NAR)或完全配置它为使用。

Q. 在设置身份验证后尝试执行身份验证时,我收到 Chpass is currently disabled.错误。如何解决此问题?

A. 必须将用户帐户口令设置为 change on login。要更改口令,请选择 System Configuration > Local Password Management > Disable TELNET Change Password against this ACS and return the following message to the users Telnet session "Chpass is currently disabled."并取消选中此框。这样操作后,您就可以更改口令了。

Q. 当我尝试使用 csutil.exe -d 命令下载数据库时,命令生成错误消息“Failed to initialize crypto API”。这是什么意思?

A. 当您使用本地管理员帐户以外的帐户登录到 Cisco Secure ACS 服务器时,就会收到此错误消息。这会导致 csutils 命令无法运行。

发生此错误的另一个原因是 ACS 数据库中的口令和 AAA 密钥通过 Microsoft Crypto API 进行了加密。只有本地管理员和实际系统能够访问所需的重要信息,以便对这些口令和密钥解密。

Q. 当我尝试从 Cisco Secure ACS for Windows 3.0.3 升级到 3.2 时,我收到“ACS FOLDER IS LOCKED BY ANOTHER APPLICATION”错误消息。我需要采取什么行动?

A. 完成下面这些步骤。

  1. 当您尝试安装时,请运行 Filemon 实用程序以检查是否发生任何“共享冲突”。

    注意: 不要 使用终端服务来升级和临时禁用此服务。

  2. 请将 System Configuration > Service Control > Manage Directory 更改为只保留最后七个文件。

Q. 当我尝试启动 GUI 时,我看到 Invalid administration control 错误。安装成功了,而且服务正在运行。问题出在哪里?

A. 当浏览器配置了代理服务器时,通常会出现此问题。要修复此问题,请完全禁用代理服务器,然后启动 ACS 管理屏幕。

Q. 我在 ACS GUI 中看到奇怪的事。例如,同一些用户出现在多个组中,并且我无法从数据库删除用户。如何修复这种损坏?

A. 完成以下步骤以添加用户:

  1. 在文件末尾添加一条新记录。
  2. 创建到该新记录的索引路径。

如果在此过程中出现 CSAuth 服务中断,则可能该记录已在数据库中。但无法编辑该记录,因为它通过索引代码使用某个查找表。

要清理数据库,请进入命令行并发出 $BASE\utils\csutil -q -d -n -l dump.txt 命令。

$BASE 是安装软件的目录。此命令会卸载并重新加载数据库以便清除计数器。

Q. 在我重新安装软件几次后,我无法启动 RADIUS 的服务。事件错误显示服务终止,并出现特定于服务的错误 11。

A. 无法启动 CSRadius 服务有多种不同原因。最常见的问题是运行带有不受支持的服务包的 Windows,或者与其他应用程序发生软件争用。安装文档中指定了支持的平台和服务包。

要检查端口是否冲突,请转到服务器的命令行并发出 netstat - an|findstr 1645 和 netstat -an|findstr 1644发出命令发现任何其他服务是否使用这些用户数据报协议(UDP)端口。如果有其他服务使用这些端口,您会看到类似于下面的输出:

UDP 0.0.0.0:1645 *:*

UDP 0.0.0.0:1646 *:*

出现此错误消息的另一个可能原因是未启动 Microsoft Server 服务。要检查是否是这样,请选择 Control Panel > Services 并确保为 Started 和 Automatic 选择服务器服务选项。

Q. ACS 安装失败,我看到关于 NSLDAPSSL32V30.dll 的错误,显示无法覆盖该文件。出现这种情况的原因是什么?我如何修正这个错误?

A. 出现此错误可能是由于与安装的 Cisco 安全 VPN 客户端 1.1 发生争用。从系统中删除 VPN 客户端可解决这一冲突。

其他

Q. 我不能连接ACS解决方案引擎(SE)有外部Windows数据库的。为什么?

A. 此问题的原因是外部Windows数据库是一个64位操作系统。有ACS版本的ACS产品在4.2.1之前不与64位操作系统一起使用。在ACS版本4.2.1和以上支持64个位操作系统并且您能连接ACS解决方案引擎(SE)有一个外部Windows数据库的。

Q. 如何在 Cisco Secure ACS 上启用 IETF 对 # 80 - 成帧池?

A. 您不能直接编辑此属性,因为 ACS GUI 已经有关于如何设置此值的选项。

在组编辑的“IP address assignment”部分中,有三个选项可供使用:“no ip address assignment”、“assigned by dialup client”和“Assigned from AAA client pool”。如果已分配池,则还有第四个选项“Assigned from AAA server pool”。

您需要使用第三个选项(“Assigned from AAA client pool”)。设置此选项后设置池的名称将使此值恢复为属性 88。如果您需要在每用户级别配置此值,则用户端设置中将包含这些选项。您还需要将 AAA 客户端设置为使用 RADIUS (IETF) 进行身份验证。

Q. 有没有可用于访问和/或整理文件的任何工具?

A. 未随 ACS 一起提供工具。有关更多信息,请参阅 Cisco 是否推荐了可用于报告 ACS 中可用的记账日志的软件应用程序?

Q. ACS 已进行重新配置,本地登录需要提供用户名和口令。现在锁定所有人。如何解决此问题?

A. 此问题的解决方案取决于现用软件的版本。不管您的软件是什么版本,请务必先备份 NT 注册表。

在 ACS 的早期版本中,本地登录时的用户名和口令要求可在注册表中进行修改。发出 regedit 命令并搜索 allow AutoLocalLogin。将注册表值更改为 1 以便允许本地登录,然后回收服务。

在 ACS 2.6 及更高版本中,请发出 regedit 命令并删除此位置的用户:

HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\CiscoAAA##\CSAdmin\Administrators

在 Administrators 项下,查看您创建的所有管理员。删除用户并退出注册表。当您访问 ACS 时,系统将不再提示您输入用户名和口令。在进入 GUI 后请添加管理员。

Q. ACS 文档中关于 Cisco Secure ACS 命令行数据库实用程序的一章介绍了如何使用 csutil -i 命令向 ACS 中批量导入大量用户。如何大容量导入网络访问服务器 (NASes)?

A. 用于大容量导入 NASes 的过程类似于导入用户。例如下面的这个平面文件:

ONLINE 
ADD_NAS:sam_i_am:IP:10.31.1.51:KEY:cisco:VENDOR:CISCO_T+ 
ADD_NAS:son_of_sam:IP:10.31.1.52:KEY:cisco:VENDOR:CISCO_R

也可以将 NASes 导入到特定的网络设备组。例如下面的这个平面文件:

ADD_NAS:koala:IP:10.31.1.53:KEY:cisco:VENDOR:CISCO_R:NDG:my_ndg

Q. 我如何获取 ACS 3.2 以便升级到早期版本?

A. 有关更多信息,请参阅用于 Windows 2000 和 NT 的 Cisco Secure ACS 3.2 版本问题解答

Q. 如何配置Novell目录服务器(NDS)数据库?

A. 如果您选择 NDS Server Support,请完成以下步骤:

  1. 咨询您的 Novell NetWare 管理员以便获取名称以及树、容器和上下文的其他信息。
  2. 单击 NDS Server Support
  3. 输入配置的名称。此名称只是作为提供情报的目的。
  4. 输入树名称。
  5. 输入完整的上下文列表,用点 (.) 分隔。用逗号和空格分隔多个上下文列表。例如,如果您的组织是公司,您的组织名称是 Chicago,并且您想要输入两个上下文名称(营销和工程),请输入以下信息:
    Engineering.Chicago.Corporation, 
    Marketing.Chicago.Corporation
    您不需要在上下文列表中添加用户。
  6. 单击 submit。更改将立即生效。您不需要重新启动 ACS。

    警告 警告: 如果您单击 Delete,您的 NDS 数据库设置将被删除。

Q. 如何知道 ACS 软件的确切版本?

A. 有二种方法可用于检查版本。

  • 当您启动浏览器时,在页面底部寻找下面的信息:

    Cisco Secure ACS v2.3 for Windows NT
     
    Release 2.3(2)
  • 在 Cisco Secure 计算机上调出 DOS 提示符并运行以下命令:

    D:\Program Files\Cisco Secure ACS v2.3\Utils>csutil
    CSUtil v2.3(2.4), Copyright 1997, Cisco Systems Inc.

Q. 我的 ACS 登录用户报告对某些设备起作用,但对另一些设备不起作用。问题出在哪里?

A. 为了使登录用户报告能正常运行(这也适用于涉及会话的多数其他功能),数据包需要至少包括这些字段:

Authentication Request packet

nas-ip-address
nas-port

Accounting Start packet

nas-ip-address
nas-port
session-id
framed-ip-address

Accounting Stop packet

nas-ip-address
nas-port
session-id
framed-ip-address

出现在多个数据包中的属性(例如 nas-port 和 nas-ip-address)需要在所有数据包中包含相同的值。

如果连接很短暂,开始和终止数据包之间的时间很短(例如,通过 PIX 的 HTTP),则登录用户不工作。

ACS 3.0 及更高版本允许设备发送 nas-port 或 nas-port-id。

Q. 当我通过防火墙访问 ACS GUI 时,URL 字段中的服务器地址从全局 IP 地址变成本地地址。为什么会发生这种情况?

A. 在当前的 ACS 3.0 版本中,此问题已经解决。在首次登录后,当您更改到后续页时,全局 IP 地址不会改变。

Q. 用户是否可以同时在多个组中?

A. 不能。用户不可以每次是在超过一组中。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 8539