安全 : Cisco NAC Appliance (Clean Access)

Clean Access管理器常见问题

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


问题


简介

本文回答与思科Clean Access管理器(常见问题)涉及的多数常见问题。本文是一两部分文档的设置的第一部分。参考思科部的两Clean Access管理器常见问题2

产品名称更改了。此表列出老和新名字:

老名称 新名字
SmartManager Clean Access Manager
SecureSmart服务器 Clean Access 服务器
SmartEnforcer Clean Access Agent
CleanMachinesAPIs Clean Access API

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

Q. 首先重定向到另一个注册页如何能然后获得重定向回到登录页?

A. 有两解决方案:

  • 为未注册或新用户提供一条链路从登录页点击。注册页在正确的帧能出现。用户能首先注册,然后获取他们的登录凭证。

  • 请使用属性映射在指示的LDAP用户是否注册。如果用户没有注册,请放置他们在一个特定的角色(根据从LDAP的答复)。然后请重定向他们到注册网站为了获取根据角色的他们的登录凭证。

Q. 如何能配置访问的检疫策略对多种更新站点例如Windows更新, Symantec LiveUpdate,等等?

A. 思科建议您集这些规则按此顺序为了缓和需要放置各自的Windows更新或防病毒更新IP地址:

  1. 允许DNS (您的DNS可以内部或外部)解决更新站点的DNS。

  2. 阻塞所有TCP/UDP/ICMP流入的数据流对您的内部网络。

  3. Enable (event)出站端口80/443流量可如此横断到Windows更新和执行更新。

    ca-mgr-faq-1.gif

    思科也建议您相应地设置检疫会话计时器(例如, 20分钟)。

    ca-mgr-faq-2.gif

    注意: 基于域的策略过滤在版本3.2和以上被添加了(允许在策略permit的windowsupdate.microsoft.com)。

Q. 在哪里是日志文件在思科中Clean Access管理器?

A. 事件日志在数据库表名称作为log_info表。

有其他登录思科Clean Access管理器:

  • /var/log/messages -启动

  • /var/log/dhcplog - DHCP中继, dhcp日志

  • /tmp/perfigo-log0.log. ?-服务日志

  • /perfigo/control/apache/logs/ * - ssl, Apache错误日志

  • /perfigo/control/tomcat/logs/localhost *。- Tomcat,重定向, jsp日志

Q. 当我从Web登陆到要求VPN的角色时,我收到说的消息我必须使用VPN客户端连接。我要编辑它添加链路下载VPN客户端。VPN页在哪里查找?

A. 它在思科Clean Access服务器的/perfigo/access/tomcat/webapps/auth/perfigo_ipsec_enforced.jsp查找。

Q. 能采取的远程备份脚本快照和转发对特定远程服务器在哪里使用FTP ?

A. 远程备份脚本在作为pg_backup被命名的/perfigo/control/bin目录的思科Clean Access管理器。

如果运行它,不用任何参数,告诉您如何需要使用。脚本的使用情况是:

  • pg_backup [FTP-Server] [Username] [Password]

Q. 思科Clean Access管理器显示所有MAC地址作为00:00:00:00:00:00。为什么会这样?

A. 这可以归因于:

  • 如果有路由器下行,思科Clean Access管理器显示路由器的MAC地址,只要路由器是有问题的IP地址的ARPing (例如,用户的IP)。如果路由器不是(由于某种原因),则您有00:00:00:00:00:00作为用户的MAC地址。

  • 如果用户自委托侧进来(例如,没有用户的ARP条目在不信任侧),思科Clean Access管理器显示所有零。

Q. 我接收我们的思科Clean Access管理器的签字的SSL证书。我认为这从出现将终止证书警告,当客户端开始认证过程时。仍然警告的证书出现。如何解决此问题?

A. 如果不希望您的最终用户发现证书警告,请获得思科Clean Access服务器的一证书,不是思科Clean Access管理器。

Q. 如果我有思科Clean Access管理器的签名证书,也导入它在思科Clean Access服务器和能共享它?

A. 不,您不能使用您为思科Clean Access服务器的思科Clean Access管理器采购的证书。您需要采购每个思科Clean Access服务器的一分开的证书。

Q. 如何关闭被确认的设备清除的计时器?

A. 在将来选择日期并且点击启用/禁用方框为了禁用被确认的计时器。

Q. 我有两个故障切换Clean Access管理器。我添加了设法一个的许可证密钥到主要的管理器,然后去第二通过http://<sm2>/admin/main.jsp添加同一密钥附属管理器。当I按下了“时请运用许可证密钥”按钮,我收到错误。为什么我会收到此错误消息?

A. 您不需要执行。许可证密钥在数据库被保留。它设法去附属管理器通过数据库复制。

Q. 是否有认证服务器故障切换支持?

A. 思科当前支持认证服务器集群和规划调查在将来版本的认证服务器故障切换。

Q. 带宽突发传输设置如何工作?

A. 一个突变性要素用于确定“产能”桶。为例,假设带宽是100 Kbps,并且要素是2。所以,桶的产能是100 Kb*2=200 Kb。

如果用户有一段时间了不发送任何数据包,他们有至多200个Kb令牌在桶。一旦用户需要发送数据包,用户能立即派出200 Kb数据包。之后,用户需要等待令牌进来以速率100 Kbps派出另外的数据包。

一种方式认为适应是平均速率是100 Kbps,并且峰值速率是大约200 Kbps。所以,是有效对于突变性应用程序例如Web浏览。

Q. 当您更改在思科Clean Access管理器时的网络接口卡(NIC)什么是影响?

A. 如果有一个非站点许可证,请通知思科技术支持在MAC地址的更改新的许可密钥出版物的。对于故障切换对,请提供两MAC地址。如果有一个站点许可证,您不需要通知思科技术支持。

Q. 网络接口界面卡(NIC)不适当地过来和不通过流量。我该怎么办?

A. 这可以是作为Broadcom NIC不被识别的NIC的一个盒。尝试对:

  • 控制到方框。

  • 发出cd /lib/modules/kernel-2.4.9-perfigo/drivers/addon/bcm5700命令。

  • 发出insmod ./bcm5700.o命令。

如果这些命令导致没有错误,请发出vi /etc/modules.conf命令并且添加这两条线路:

alias eth0 bcm5700

alias eth1 bcm5700

Q. 直接地I从数据库的询问客户信息?

A. 在从根提示符的主要的思科Clean Access管理器,请输入此命令:

 root>psql –h 127.0.0.1 –U postgres controlsmartdb

您当前是在数据库shell - controlsmartdb=#。

示例:

  • 输入此命令获得每个思科Clean Access服务器被注册的用户数量:

    select count(*) from user_info where ss_key=
    (select ss_key from securesmart_info where ss_ip='x.x.x.x');
    

    注意: 确保您输入落后的分号。更改IP地址获得其他思科Clean Access服务器的信息。

  • 输入此命令获得每个角色被注册的用户数量:

    select count(*) from user_info where role_id=
    (select role_id from role_info where role_name='Wireless');
    

    注意: 替换角色名称对于相关的信息对其他角色。

  • 输入此命令获得事件日志:

    select * from report_info;
    

Q. 如何绕过IP电话的验证在NAC设备?

A. 对于IP电话,您能配置设备过滤器选项在设备管理>过滤器>设备>New下。一旦包括您要绕过MAC地址的列表,您必须指定允许访问类型为了允许对那些特定设备的访问。参考请配置设备过滤器欲知更多信息。


相关信息


Document ID: 63592