安全 : 用于 Unix 的思科安全访问控制服务器

Cisco Secure ACS UNIX 常见问题

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


问题


简介

本文提供对回答关于思科安全访问控制服务器(ACS)的常见问题为UNIX (CSUnix)。

一般问题

Q. 数据能被迁移在CSUnix和Cisco Secure ACS for Windows (ACS)之间?

A. 当前没有用于的支持的工具移植从一种产品的用户到另一种产品。

Q. CSUnix是否验证NT数据库、LDAP或者Novell的NDS ?

A. 不,但这些功能是存在Cisco Secure ACS for Windows (ACS)。Cisco Access Registrar支持轻量级目录访问协议(LDAP)。

许可和软件

Q. Oracle版本9.2.0支持CSUnix版本2.3.6.2 ?

A. CSUnix版本的2.6.3.2版本注释阐明, Oracle企业版本8.0.x, 8i和9i版本9.0.1是支持的版本。升级到Oracle版本9.2.0是可能的。然而,推荐您备份您的数据库,在您升级前。

Q. 如何更新过期的许可证密钥?

A. 关于关于怎样的详细信息得到许可证密钥,参考Cisco Secure UNIX的授权问题

Q. 如何查找Solaris版本和系统的IP地址?

A. 为了确定您使用的Solaris版本,请发出uname – a命令

为了确定IP地址在使用中由您的系统,请发出ifconfig – a命令

Q. 在哪里能获得CSUnix的软件升级和补丁?

A. 软件升级可以从思科安全访问控制服务器软件(仅限注册用户)网站得到。软件补丁可以从Cisco安全软件补丁程序得到- UNIX (仅限注册用户)网站。

注意: 您必须输入在Special Access Code字段的cspatchunix到达Cisco安全软件补丁程序- UNIX (仅限注册用户)网站。

没有一有效Cisco ID的用户能从思科技术支持得到软件升级和补丁通过电子邮件和电话。参考Cisco全球联络网站。

Q. 能否从CSUnix升级到Windows或Cisco Access Registrar的Cisco Secure ?

A. 关于“侧面升级的定价和可用性的信息”,与您的本地Cisco销售队伍联系。

Q. 如何确定CSUnix版本?

A. 发出以下命令:

$BASE/CSU/CiscoSecure -v

$BASE代表CSUnix安装的目录。

Q. 如何重启(关闭和开始) CSUnix服务?

A. 有两个不同的方式重启服务。

  • 发出/etc/rc0.d/K80CiscoSecure命令关闭,然后发出/etc/rc2.d/S80CiscoSecure命令重新启动。

    或者

  • 发出$BASE/utils/kcs命令关闭,然后发出$BASE/utils/scs命令重新启动。

    $BASE代表CSUnix安装的目录。

在服务被重新启动后,请发出$BASE/utils/psg命令。它显示每服务的一个条目。

Q. 如何能发现CSUnix哪里在我的计算机安装?

A. 为了确定CSUnix安装位置,请发出pkginfo -l CSCEacs命令

Q. 如何了解什么值在安装时选择?

A. CSUnix安装日志在$BASE/logfiles/cs_install.log存储, $BASEREPRESENTS目录CSUnix安装。此文件列出在安装时选择的所有值。

Q. 什么是CSUnix版本的硬件与软件硬件要求?

A. 需求信息在您的特定软件版本的安装说明。需求信息在Cisco Secure ACS UNIX兼容性也汇总。

Q. 有没有在CSUnix的任何出口限制?

A. 不, CSUnix与Netscape FastTrack服务器的可导出版本捆绑在一起。

系统配置和安装

Q. 如何更改CSUnix服务器的IP地址、主机名或者完全合格的域名(FQDN) ?

A. IP地址、主机名和FQDN服务器的在几个文件存储,根据CSUnix版本在使用中。为此,支持的方法用于的更改IP地址,主机名或者FQDN将卸载软件然后重新安装它与所需的设置。此操作不影响数据库。用户和组保留。

完成这些步骤做对设置的变动在您的CSUnix服务器:

  1. 关闭软件。
  2. 备份数据库。Oracle或Sybase可以由数据库管理员备份。复制csecure.db和csecure.log文件到安全的地方为了备份SQLAnywhere。因为表没有在卸载和重新安装进程中,丢弃这是仅注意事项。另外,请保留$BASE/config/CSU.cfg文件的复制此文件包含设备信息。$BASEREPRESENTS CSUnix安装的目录。
  3. 发出pkgrm CSCEacs命令卸载程序。此命令留给到位csecure.db和csecure.log文件
  4. 保证名字解析工作。如此输出所显示,为了执行此,发出主机名nslookupifconfig命令。
    # hostname
    
    rtp-evergreen
    
    # nslookup rtp-evergreen
    
    Server: redclay2.cisco.com
    Address: 172.18.125.3
    Non-authoritative answer:
    Name: rtp-evergreen.cisco.com
    Address: 172.18.124.114
    
    # nslookup rtp-evergreen.cisco.com
    
    Server: redclay2.cisco.com
    Address: 172.18.125.3
    Non-authoritative answer:
    Name: rtp-evergreen.cisco.com
    Address: 172.18.124.114
    
    # nslookup 172.18.124.114
    
    Server: redclay2.cisco.com
    Address: 172.18.125.3
    Name: rtp-evergreen.cisco.com
    Address: 172.18.124.114
    
    # ifconfig -a
    
    lo0: flags=849<UP,LOOPBACK,RUNNING,MULTICAST> mtu 8232
    inet 127.0.0.1 netmask ff000000
    le0: flags=863<UP,BROADCAST,NOTRAILERS,RUNNING,MULTICAST> mtu 1500
    inet 172.18.124.114 netmask ffff0000 broadcast 172.18.255.255
    ether 8:0:20:76:79:f9
  5. 安装软件。发出pkgadd -d path_to_software命令并且表明如此输出所显示,这是升级安装。
    New CiscoSecure install             no
    .
    .
    .
    SQLAnywhere DB directory            original_path
    
    !--- Use the path in which the csecure.* files are located.
    
    Drop existing database tables       no
  6. 在安装完成后,请开始软件并且保证服务运行。

Q. 我有问题在我的网络的域名系统(DNS)。如何禁用在CSUnix系统的DNS IP对主机名解析,以便不设法解析名称?

A. 默认情况下, CSUnix设法解决客户端设备的流入的IP到完全合格的域名(FQDN)与在CSU.cfg文件的条目然后比较FQDN。如果在网络的DNS不正常运转,这能引起慢验证和奇怪的问题。为了防止CSUnix尝试解决方法,请备份$BASE/config/CSU.cfg文件(其中$BASEREPRESENTS CSUnix安装)的目录。其次,请通过添加此线路修改它到开始处部分有另一个NUMBERENTRIES的:

NUMBER config_get_names_from_dns = 0;

保存已修改文件,然后回收服务器。

Q. 如何设置可接受登录失败数量?

A. 完成这些步骤为了为所有用户全球性设置此值。

  1. 打开$BASE/config/CSU.cfg文件($BASEREPRESENTS CSUnix安装)的目录。
  2. 添加此线路到开始处部分有其他编号条目的
    NUMBER config_max_failed_authentication = n;
    用可允许失败的尝试数量替换n

完成这些步骤为了假设在每用户的此在CSUnix版本2.3.5.1或以上的值或基于组:

  1. 打开$BASE/config/CSU.cfg文件
  2. 添加此线路到开始处部分有其他编号条目的
    NUMBER config_allow_global_max_failed_login_session_enable = 0;
    默认情况下由于系统使用全局设置, tis线路用于关闭全局最大未成功认证和允许将设置的每用户或单个组的最大数量。
  3. 在用户或组配置文件,请添加此线路:
    set server max-failed-login-count = n;
    用可允许失败的尝试数量替换n

Q. 如何更改(9900)数据库侦听的默认端口?

警告 警告: CSUnix未为互通性测试用其它软件。在运行同样服务器不支持的多个应用程序。除dataserver端口之外,这能引起性能问题和端口冲突在端口。

如果希望运行数据库的多个实例,除9900之外,请关闭CSUnix进程并且修改这些文件使用端口:

  • $BASE/CSU/libdb.conf

  • $BASE/FastAdmin/turbo.conf

  • $BASE/config/CSConfig.ini

$BASE代表CSUnix安装的目录。

Q. 如何查看组或用户配置文件在命令行界面?

A. 发出这些at命令$BASE/CLI/目录提示符,其中$BASE代表CSUnix安装的目录。

  • 回车./ViewProfile - p 9900 - u用户名为了查看用户配置文件。

    用用户名替换用户名对于您要查看的用户配置文件。

  • 回车./ViewProfile - p 9900 - g组名为了查看组配置文件。

    用名称替换组名对于您要查看的组配置文件。

Q. 除波尔特80之外,如何设置CSUnix网页运作在端口?

警告 警告: CSUnix未为互通性测试用其它软件。在运行同样服务器不支持的多个应用程序。除dataserver端口之外,这能引起性能问题和端口冲突在端口。

如果希望运行多Web服务器,除波尔特80之外,请关闭CSUnix进程并且修改这些文件使用端口:

  • $BASE/ns-home/httpd-servername/config文件中(其中$BASE代表CSUnix安装)的目录,对波尔特n的更改波尔特80n是新的端口您希望它运作。

  • $BASE/FastAdmin/turbo.conf文件中NS_Path =server的更改NS_PATH =server/cs/:n/cs,其中n在文件输入的端口号。

Q. 我忘记了我的密码。如何能重置管理员配置文件?

A. 发出这些命令为了重置管理员密码:

$BASE/CLI/DeleteProfile -p 9900 -u superuser
$BASE/CLI/AddProfile -p 9900 -u superuser 
           -a 'member = administrator \n privilege = web "password" 15 '

注意: 第二条命令必须在一条线路。

换在第二条命令的密码与您的新密码。$BASE代表CSUnix安装的目录。

Q. 如何能告诉Acme Fasttrack、Netscape管理和网景公司服务器的什么版本用Cisco Secure是在使用中的?

A. Cisco Secure使用修正的版本Acme服务器版本1.7,标日期的十一月13, 1996。

为了确定Netscape服务器版本,请发出这些命令(其中$BASE代表CSUnix安装)的目录:

$BASEDIR/ns-home/admserv/ns-admin -v
Netscape Communications Corporation Netscape-Administrator/2.14,sec=e

$BASEDIR/ns-home/bin/httpd/ns-httpd -v
Netscape Communications Corporation Netscape-FastTrack/2.01c

数据库

Q. 500ï ¿  ½ MB磁盘空间需求支持使用SQLAnywhere数据库,多少个用户?

A. 500ï ¿  ½ MB磁盘空间需求支持最多5,000个用户。

Q. csdblog_yy-mm-dd文件什么时候创建?

A. csdblog_yy-mm-dd文件创建,第一次DBServer开始和然后被重新生成每24个小时(大致时间)。

Q. 什么是在有SQLAnywhere的CSUnix服务器可能合理保养, Oracle服务器或者Sybase服务器用户的较高的值?

A. SQLAnywhere为5,000个用户正式支持。Oracle和Sybase用至百万个用户测试,其中每一有十个attribute-value (AV)对的。使用此许多用户,维护用命令行界面(CLI)工具是快速而不是HTML界面或基于Java的高级GUI。注意浏览通过GUI可以非常慢。它在高级GUI可以有时是更加快速使用Find选项Edit > View选项在HTML界面。

Q. 如何手工开始SQLAnywhere数据库?

A. 完成这些步骤为了手工启动SQLAnywhere引擎:

  1. 设置root用户的必要的环境变量。在本例中,使用c-shell。并且,请发出这些命令:
    setenv SQLANY $BASE/SYBSsa50
    setenv LD_LIBRARY_PATH $SQLANY/lib
    set PATH=($path $SQLANY/bin)
    
  2. 发出此命令为了开始数据库:
    dbeng50 -n csecure $BASE/SQLANY/csecure.db
    
    用SQLAnywhere数据库文件的位置替换$BASE/SQLANY

Q. 需要为数据库服务器连接设置什么值?

A. 在CSUnix版本2.3,默认值是10。当他们运行并且访问数据库时,数据库连接共享与其他应用程序类似命令行界面(CLI)工具和GUI。通常,数据库连接需要数量等于高峰认证每秒,加上3其他ACS任务的和大约增长的至少25百分比。

有需要设想的其他要素。如果使用联机的CLI,则您需要添加使用并行CLI连接的数量。对于每个并行CLI连接,请添加一另外的数据库连接。使用CSUnix 2.3,认为的缓冲使用八数据库连接,当启用。

注意: 数据库连接数量根据如何使用CSUnix。仅请使用此信息作为指南。

Q. 有没有我能查看数据库使用SQL的方式?

A. 是,您能使用SQLAnywhere图形用户界面(ISQL)或ExecSql命令在line命令。参考使用ISQL查看Cisco Secure数据库关于其他详细信息。本文解释数据库结构,提供记录示例,说明典型查询,并且显示如何执行查询使用ISQL或使用ExecSql命令通过命令行界面(CLI)。它也讨论ViewProfileDBClient命令。

Q. 如何复制数据库使用附有CSUnix的默认数据库软件(SQLAnywhere) ?

A. 不支持与SQLAnywhere的数据库复制。思科只支持与Sybase自适应服务器和Oracle 7.3.4及以上版本的复制。

两个使用的方法做复制SQLAnywhere数据库显示此处。

  • SQLAnywhere数据库文件(csecure.db和csecure.log)可以从一个服务器复制到另一个,在服务在源服务器和目标服务器后被关闭。文件的权限和所有权必须是相同的在源服务器和目标服务器。

  • dbbackup命令可以发出,当源服务器是创建备份数据库文件时(csecure.db和csecure.log)。在目标服务器的服务被关闭后,这些文件可能然后复制到目标服务器。文件的权限和所有权必须是相同的在源服务器和目标服务器。

Q. 当CSUnix运行时,如何备份SQLAnywhere数据库使用dbbackup命令

A. 当CSUnix仍然运行时,请完成这些步骤为了发出dbbackup命令备份SQLAnywhere数据库。

注意: 此步骤假设,您使用c-shell。如果使用一不同的shell, env命令允许您检查环境变量设置如显示此处。

  1. 发出这些命令为了设置环境变量:
    setenv SQLANY $BASE/SYBSsa50
    setenv LD_LIBRARY_PATH $SQLANY/lib
    set path=($path $SQLANY/bin)
    setenv SATMP $SQLANY/tmp
    
  2. 发出此命令为了运行数据库备份工具:
    
    dbbackup -c "ENG=csecure; UID=DBA; PWD=SQL" -x target_directory
    
    
    用您想要将保存的csecure.db和csecure.log备份的位置替换target_directory

Q. 能否有CSUnix主要和备份服务器,以便设备能连接到备份服务器,如果主服务器发生故障?

A. 是,对备份服务器的此故障切换连接确定在设备级别。当主要的CSUnix服务器不可用时,多数Cisco设备允许故障切换。对于路由器, tacacs-server hostRADIUS服务器主机条目配置与多种服务器的名称或IP地址。用户信息一定取得到对多种服务器在故障切换情形下。

Q. 能否设置在分布式环境的CSUnix,当所有管理完成在中心站点和数据库被分配对本地CSUnix服务器?

A. 使用Oracle或Sybase数据库,是,您能设置一个分布式环境用CSUnix。

Q. 与数据库的CSUnix界面?它是否允许可能然后被添加到CSUnix数据库的帐户动态创建?

A. CSUnix提供用于的命令行界面(CLI)和GUI管理用户和组。请使用CLI或GUI访问数据库管理配置文件,而不是其中任一直接访问到数据库通过SQL。

Q. 我当前有一种数据库类型在Cisco Secure,并且我要迁移用户或组数据到不同的数据库类型(例如,对Sybase的Oracle,对Oracle的SQLAnywhere)。我怎样做这个?

A. 完成这些步骤导出用户到展开文件和导入他们到CSUnix从该文件。

注意: 在版本2.3.6.1之前,此步骤只导入TACACS+配置文件。根据版本2.3.6.1,此步骤为RADIUS配置文件也运作。

  1. 发出此命令为了导出用户到展开文件:
    $BASEDIR/utils/CSexport -p file_path -d export_file_name
    
    
    $BASE代表CSUnix安装的目录。
  2. 发出这些命令为了导入用户从此展开文件:
    $BASEDIR/utils/CSimport -t -p file_path -s import_file_name
    
    
    !--- Run CSimport in test mode.
    
    $BASEDIR/utils/CSimport -c -p file_path -s import_file_name
    
    
    !--- Commit the changes to the database.
    
    
    在这些命令, export_file_name是导出的文件名, import_file_name是已导入文件名,并且file_path是文件查找的目录。

Q. 如何确定在每个CSUnix服务器的数据库存在用户的数量?需要使用什么sql命令语法?

A. 发出此命令从$BASE/utils/bin目录(其中$BASE代表CSUnix安装)的目录:

$BASE/utils/bin/ ./ExecSql "select count(distinct profile_id) from cs_profile"

此命令计数所有用户和组配置文件。如果要计数仅用户配置文件,请用cs_user_profile替换cs_profile

Q. 什么数据库或数据库客户端是与CSUnix版本兼容?

A. 关于兼容性的信息,参考安装说明您的特定版本的或对在Cisco Secure ACS UNIX兼容性的摘要。

Q. 我有包含我的用户信息的现有的数据库(或任何关系数据库管理系统[RDBMS])无关与Cisco Secure。CSUnix是否提供能允许我导入此用户信息的一个导入工具?

A. CSUnix不提供您能使用导入从一个现有非思科安全数据库的用户的一个工具。由于所有数据库有修改一些的机制查看和数据,使用SQL, “用户信息”可以解压缩。从现有的数据库的被查询的信息可以收集到展开文件和转换到可能然后导入到CSUnix用CSimport命令的CSUnix语法格式(TACACS+)或CSmigrate命令(RADIUS)。

GUI 和 Web 管理

Q. 我无法查看在ACS GUI的所有选项。如何更正此问题?

A. 打开记录在Interface Configuration > Advanced Options下的远程代理。检查您需要的所有选项。

Q. 如何访问Netscape FastTrack管理服务器?

A. FastTrack管理服务器通过Web浏览器通常访问。使用此程序:

  1. 去此URL :
    http://server_name:64000
    用FastTrack管理服务器的名称或IP地址替换server_name
  2. 输入您的用户名和密码如显示此处。
    Username: admin
    Password: password
    
  3. 如果密码不工作,请完成这些步骤为了重置它。
    1. 编辑$BASE/ns-home/amdpw文件(其中$BASE代表CSUnix安装)的目录。
    2. 查找在文件的此线路:
      admin:GuBqifMleNxmY
    3. 在冒号以后取消加密密码文本并且保存文件。使用一个空白的密码,您能当前登陆作为admin
  4. 如果收到未授权的主机错误消息,请完成这些步骤。
    1. 编辑在$BASE/ns-home/admserv/或$BASE/ns home/admin服务目录的NSadmin.conf文件(其中$BASEREPRESENTS CSUnix安装)的目录。

      注意: 可以很可能,一个这些文件不存在。

    2. 删除主机并且寻址在文件的线路。

      警告 警告: 请务必只删除地址(在ES的结束)线路。请勿删除地址(没有ES结束)线路。

    3. 保存文件。
    4. 通过发出stop-admin命令然后start-admin命令重新启动管理服务器在$BASE/ns目录。

Q. 什么浏览器是与CSUnix版本兼容?

A. 关于兼容性的信息,参考安装说明您的特定版本的或对在Cisco Secure ACS UNIX兼容性的摘要。

令牌服务器

Q. 在我安装CSUnix后,能否添加Security Dynamics Incorporated (SDI)ACE服务器?

A. 是,您能启用有此步骤的SDI ACE服务器。

注意: 在您尝试集成用CSUnix前,它是一个好想法执行SDI客户端测验验证为了保证SDI单独运作。

  1. 关闭CSUnix。
  2. 添加这些线路到$BASE/config/CSU.cfg文件(其中$BASEREPRESENTS CSUnix安装)的目录。
    AUTHEN config_external_authen_symbols = { 
    {
    "./libsdi.so",
    "sdi"
    }
  3. 重新启动CSUnix。

使用CSUnix GUI,您能也启用SDI ACE服务器,如显示此处。

注意: 在您尝试集成用CSUnix前,请执行一SDI客户端测验验证保证SDI单独运作。

  1. 在GUI菜单,请选择AAA > General
  2. 在常规选项卡的Authentication Methods区域,请点击安全动态(ACE服务器)单选按钮。

欲知更多信息,参考配置Cisco Secure UNIX和安全ID (SDI客户端)

Q. 能否安装Security Dynamics Incorporated (SDI)ACE服务器和CSUnix在同样计算机?

A. 是,如果TACACS+和RADIUS在SDI ACE服务器禁用。如果SDI ACE服务器和TACACS+或者RADIUS同时,运行错误能出现。这是因为SDI ACE服务器能使用在相同端口的同一身份验证协议。

Q. 能否以Security Dynamics Incorporated (SDI)ACE服务器使用质询握手验证协议(CHAP)验证?

A. 是,但是密码用不同的方式被输入。欲知更多信息,参考配置Cisco Secure UNIX和安全ID (SDI客户端)

Q. 什么如何是令牌缓存和启用它?

A. 使用基于令牌的验证,令牌经常是有效对于仅有限期间时间,并且不可能在该时期被重新使用。这些限制能引起ISDN或多链路用户的问题。初始表征验证是成功的,但是随后的再验证可以发生故障,因为用户界面不允许用户输入另外的令牌。

当使用时令牌缓存,再验证请求仍然发送到CSUnix。然后,如果会话或超时条件符合, CSUnix退还PASS

完成这些步骤为了使用令牌缓存。

  1. 在用户或组配置文件必须启用令牌的高速缓冲存储通过添加此线路:
    set server token-caching=enable
  2. 发出此命令为了设置下密码超时并且的情况或条件在密码多久依然是有效。
    set server token-caching-expire-method= [session | timeout | both]
    
    • 会话保持缓存的密码有效处于原始会话的。

    • 超时保持缓存的密码有效为指定的时间。

    • 两个保持缓存的密码有效为会话和在一个规定量时刻。

  3. 如果超时两个在步骤2选择,请使用此命令设置期间密码依然是有效的时间在。
    set server token-caching-timeout=120
    

Q. CRYPTOAdmin提供的功能是否取代合并到我们的CSUnix产品里的CRYPTOCard的支持?它们之间有何区别?

A. 与CSUnix捆绑在一起的CRYPTOCard服务器只提供令牌卡支持,而CRYPTOAdmin是用于的用户友好管理工具设置令牌和用户。CRYPTOAdmin与不来捆绑用CSUnix的CSUnix一起使用并且提供客户端GUI。CSUnix包含CRYPTOCard工具套件。所以, CRYPTOAdmin有效补全CSUnix。参考CRYPTOCard网站leavingcisco.com 关于CRYPTOAdmin的更多信息。

用户配置文件和口令

Q. I TACACS+的添加用户时配置文件在ACS (UNIX) ?

A. 为了通过AddProfile命令添加此种配置文件,客户能使用AddProfile - s选项[-s [Filename]]。属性在文件可以放置,并且他们能添加用户如被看到此处。

*$BASEDIR/CLI* ./AddProfile -p 9900 -u userA -s script

这些属性在脚本文件放置。

*$BASEDIR/CL>* *vi script*

password = clear "userA"
default service=permit
service=Sandvine {
set Sandvine-HomeDir = "/tmp"
set Sandvine-Group = "sv_operator,sv_admin"
set Sandvine-Shell = "/bin/sh"
}

$BASEDIR是Cisco Secure安装的目录。

Q. 字符最低和最大允许什么在CSUnix的密码?

A. 数据库存储密码至255个字符。GUI界面强制执行最低和最大数量。欲知更多信息,参考在CSUnix GUI的Help选项。这描述密码规则。

Q. CSUnix是否允许我更改密码?

A. 是,您能更改您的密码通过终端的(shell)登录或通过CSUnix GUI。为了通过终端的(shell)登录更改您的密码,请完成这些步骤。

注意: 此步骤只更改您的明文密码。

  1. 请使用Telnet命令访问路由器。
  2. 当提示,请输入您的已分配用户名。
  3. 当询问为您的密码,请留下它取消和按回车。消息崔凡吉莱密码顺序出现。
  4. 输入您的旧密码,然后按照提示符输入和确认您的新密码。

使用CSUnix GUI (HTML界面),为了更改您的密码,请完成这些步骤。

注意: 此步骤自动地更改所有您的已分配密码。没有办法更改仅你的一些密码。

  1. 添加此线路到您的用户配置文件:
    privilege = web "new_password" 1
    用您希望使用的新密码替换new_password
  2. 在Web浏览器,请去此位置:
    http://host_name/cs
    用CSUnix服务器的名称或IP地址替换host_name
  3. 用您的已分配用户名和用于step1的密码登陆。

Q. CSUnix支持密码过期?

A. 仅是,但是通过Telnet接口。检查这些项目:

  • 用户配置文件有直到为密码设置的日期。

  • CLI.cfg文件有定义了这些值的线路:

    config_warning_period x
    config_expiry_period y
    

如果所有这些项目是真的,则用户收到到期通知通过在之前的Telnet x直到日期。当用户通过留下他们的密码空白和按回车开始密码更改顺序,直到日期在y天之前增加。用户配置文件在此输出中显示,与简要说明。

> ./ViewProfile -p 9900 -u abcde123

!--- In this example, abcde123 is used in place of an actual user name.

User Profile Information
user = abcde123{
profile_id = 21 
profile_cycle = 1 
password = clear "********" until "8 Aug 2001" 
}

在本例中,如果CSU.cfg文件有线路config_warning_period 5和config_expiry_period 30,然后用户名为"abcde123"开始收到密码到期Telnet警告在奥古斯特3的(在奥古斯特之前的五天8)。如果用户更改在Telnet接口的密码在奥古斯特6,在配置文件的untildate为30天以后被重置。这导致一个新的有效期九月5。

Q. 有没有在帐户的指定的非激活状态天数以后超时用户的属性?

A. 密码过期是最接近的选项。欲了解更详细的信息请参阅在本文的密码过期问题。如果用户不在密码超时的日子之前登录,则帐户超时。

注意: 使用PPP,由于密码更改不支持,这意味着用户的有效期为终端模式登录只运作。

Q. CSUnix是否强制执行在密码选择的任何限制?换句话说,它是否禁止“容易”或“会裂开的”密码?

A. 不CSUnix不强制执行任何口令以限制策略,包括检查字典或记住旧密码。首席限制是密码必须是一最小长度六字母数字字符为了将接受。密码的唯一的有效字符是按字母的字母(A至Z和a通过z)和数字(0至9)。参考用户指南关于密码限制的更多信息。

Q. 如果用户配置文件是“已锁定”,如何能解锁从line命令的配置文件?

A. 完成这些步骤为了发出DBClient命令手工解锁配置文件:

  1. 发出此at命令line命令:
    $BASEDIR/DBClient/DBClient -p 9900
    
    $BASE代表CSUnix安装的目录。
  2. 当提示时,请输入这些值您。
    username: 
    admin_name
    
    
    !--- Enter your administrator user name in place of admin_name.
    
    password: 
    admin_password
    
    
    !--- Enter the administrator password in place of admin_password.
    
    
  3. 键入unlock并且按回车。
  4. 键入user = user_name。用您要解锁用户配置文件的名称替换user_name
  5. 按 Enter 键两次。
  6. 键入退出并且按回车关上命令提示符窗口。

核算

Q. CSUnix是否提供各用户帐户使用报告?

A. CSUnix不提供这样报告,但是此信息可以从数据库解压缩。记帐信息如所提供由网络接入服务器(NAS)使用AcctExport程序,存储并且可以解压缩到文本文件。一旦帐户信息从数据库解压缩,脚本可以创建解析数据和生成必要的每用户报道。当您发出AcctExport target命令时,从数据库在目标删除计费记录并且安置他们。

Q. 如果CSUnix生成新的计费记录,当AcctExport命令运行时,什么发生?

A. 新记录不受影响,因为AcctExport命令在表里采集最大ID号码,在开始其出口操作前。

Q. 如何知道AcctExport命令是否是成功的?

A. 如果发出AcctExport命令从命令行,返回顺利地完成的消息。如果访问AcctExport命令从程序,退出代码0指示成功,而退出代码1指示失败。

Q. 如果I enable命令核算, CSUnix记录确切的命令被输入到路由器?例如,它是否记录一特定命令类似ip route 135.52.0.0 255.255.0.0 1.1.1.1

A. 当您发出aaa accounting command 15 start-stop tacacs+命令在路由器时,命令完整语法在AAA服务器被记录。此信息可以从数据库获取用AcctExport命令

记帐命令一些示例记录显示此处。

lab-i52.cisco.com dphillip tty18 170.69.200.7 start server=ciscosecure-sun 
     time=10:09:56 date=05/19/97 task_id=74	service=shell

lab-i52.cisco.com dphillip tty18 170.69.200.7 stop server=ciscosecure-sun 
     time=10:09:58 date=05/19/97 task_id=75 service=shell	
     priv-lvl=15 cmd=configure terminal <cr>

lab-i52.cisco.com dphillip tty18 170.69.200.7 stop server=ciscosecure-sun 
     time=10:10:03 date=05/19/97 task_id=76 service=shell 
     priv-lvl=15 cmd=ip route 1.1.1.1 255.255.255.255 Serial 0 <cr>

Q. CallerID捕获在核算?

A. 是, CallerID在rem_addr字段存储。它能包含主叫线路识别(CLID)和拨叫号码信息服务(DNIS),由前斜线分离(/)。

错误和调试

Q. 如何更正“User Access Filtered”错误?

A. 请禁用网络访问限制(NAR)或完全配置它为使用。

Q. 如何确定什么消息类型‘验证失败’含义?

A. 记下消息的日期和时间,转到 CSAuth 日志文件并搜索此日期和时间。之后会显示该消息的更多详细说明。

Q. 当CSUnix在Solaris核心8时安装,生成错误。为什么会这样?

A. 验证包文件不从核心安装未命中:

/usr/lib/libX11.so.4, a symlink pointing to /usr/openwin/lib/libX11.s0.4
/usr/lib/libXext.so.0, a symlink pointing to /usr/openwin/lib/libXext.so.0
/usr/ucblib/libucb.so.1 

Q. CSUnix收到无法系统消息‘的错误-得到NAS 134.'名称这是什么意思?

A. 如果有介入的内容交换服务器,请去它并且从服务器删除TACACS。添加TACACS频率0然后添加TACACS回到该服务器。这类似于攻击,并且这些中的一个解决此问题。

发出这些命令为了禁用在CSS服务器的TACACS Keepalive :

CSS(config)# no tacacs-server 10.152.4.24 49 
CSS(config)# tacacs-server frequency 0 
CSS(config)# tacacs-server 10.152.4.24 49 primary 

Q. 当我在我的路由器时调试,我收到‘协议被错误的’错误消息。这是什么意思?

A. 您很可能没有在CSU.cfg文件的一个有效许可证密钥。没有密钥,当CSUnix到达四个端口时,它写错误到$BASE/logfiles/cs_startup.log文件(其中$BASEREPRESENTS CSUnix安装)的目录。它然后发送端口超出的消息Licensednumber到路由器。路由器解释此消息如protocolgarbled。欲了解更详细的信息在许可授权,参考Cisco Secure UNIX的LicensingIssues。

Q. 需要执行什么,如果我收到‘安全错误’消息,当我连接对高级GUI时?

A. 编辑$BASE/config/CSConfig.ini文件(其中$BASEREPRESENTS CSUnix安装)的目录,并且更改线路ValidateClients =真对ValidateClients =错误。重启服务,以便更改生效。此设置告诉CSUnix不检查流入管理员的IP地址。

如果有需要检查IP地址,请留下ValidateClients =不可更改真的线路并且包括类似于此输出的线路在文件:

[Valid Clients]
100=chicago.cisco.com
102=1.2.3.4

Q. 什么,如果我收到在启动日志的‘许多打开文件的错误消息需要执行?

A. 这些错误消息表明有可用很少Solaris的文件描述符。

Jan 21 19:44:54 secs1 : (Too many open files)
Jan 21 19:53:17 secs1 CiscoSecure: ERROR - error on accept: (Too many open files)

如这些步骤所显示,为了更正和防止这些错误,修改CSUnix配置文件。

  1. 增加ulimit值到4096$BASE/bin/DBServer.sh文件(其中$BASEREPRESENTS CSUnix安装)的目录,当显示此处。
    ulimit -n 4096
  2. 增加ulimit值到256$BASE/bin/AcmeServer.sh文件,当显示此处。
    ulimit -n 256
  3. 设置ulimit值对无限个/etc/rc2.d/S80CiscoSecure文件,如显示此处。
    ulimit -n unlimited

Q. 需要执行什么,如果我不能启动CSUnix,并且我看到在cs_startup.log文件的‘seminit失败(libsec .8187)’消息?

A. 检查/tmp目录的权限。必须设置他们读,写入和执行(rwx)用户,组和其他的。从ls的输出- ld /tmp命令返回事类似于此:

drwxrwxrwt 6 sys sys 317 Jul 8 12:00 /tmp

注意: seminit失败(libsec .8187)消息是Netscape错误消息。

Q. 什么我请需要执行,如果我设法使用CSUnix,并且我接收‘TAC+ :从服务器的接收的Unsane数据’错误消息?

A. 这意味着有或者网络接入服务器(NAS)之间的主要不匹配,并且CSUnix或那里是与域名系统(DNS)或网络信息服务(NIS)的一问题。

为了测试您的配置,请替换NAS IP地址或命名与空双引号("")在CSU.cfg文件。此更换使CSUnix与有一正确密钥的所有客户端联络。线路的示例在CSU.cfgfile的在更换前后显示此处。

  • 以前:

    NAS config_nas_config = {
    {
    "192.91.124.172", /* NAS name can go here */
  • 以后:

    NAS config_nas_config = {
    {
    "", /* NAS name can go here */

并且请设法通过添加此线路禁用在CSU.cfg文件的DNS到开始处部分有另一个NUMBERENTRIES的:

NUMBER config_get_dns_names = 0

欲了解更详细的信息参考用户指南

Q. 什么,如果Cisco安全服务器的控制台被‘不能找出服务器配置文件’错误消息,充斥需要执行?

A. 当数据库从一个服务器复制到另一个时,此错误消息通常是装饰性的并且可能出现。如果有在源服务器的服务器配置文件,但是在目标服务器的没有服务器配置文件,此消息生成。

为了防止此错误,您能添加CSUnix服务器的配置文件在高级GUI。或者,如果不使用RADIUS,您能禁用与此步骤的RADIUS :

  1. 备份/etc/rc2.d/S80CiscoSecure文件。

  2. 通过插入编辑/etc/rc2.d/S80CiscoSecure文件- R到显示的线路里此处。

    cd $BASE/CSU; $BASE/CSU/CiscoSecure -R -f $BASE/config/CSU.cfg 
    >>$BASE/logfiles/cs_startup.log 2>&1
  3. 重新启动CSUnix服务。

Q. 如何记下协议记录信息和更多详细的调试对字节级别?我已经更改在CSU.cfg文件的“config_logging_configuration”值,但是我仍然没获得协议记录日志。

A. 协议调试信息没有发送对Syslog。反而,此信息写入对标准错误。在正常配置中, CSUnix服务器结束标准错误文件文件描述符,造成协议调试获得投掷到位存储桶。

为了看到协议级别调试,您需要启动有- c - x命令行选项的CSUnix服务器。这在前景造成AAA服务器运行并且保持其标准的输出,并且标准错误文件文件描述符打开。您然后看到在控制台的协议调试。使用UNIX标准错误重定向,这些调试可能也捕获到文件。

Q. 如何发现进程有开放文件的数量?

A. 发出此at命令line命令:

/usr/proc/bin/pfiles process_ID

用进程ID号码替换process_ID


相关信息


Document ID: 4186