安全 : 用于 Unix 的思科安全访问控制服务器

用于UNIX的Cisco Secure ACS的管理的最佳实践

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

本文为管理UNIX应用程序的Cisco Secure (CS) ACS提供最佳实践。在本文提交的建议根据设计和部署体验由思科开发工程师(DE)。

先决条件

要求

本文档的读者应掌握以下这些主题的相关知识:

  • 配置和管理UNIX的CS ACS

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • CS ACS UNIX版本2.3(5)

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

最佳实践列表

下面推荐的最佳实践的列表。

步骤

完成这些步骤:

  1. 确保SQLAnywhere数据库不超出5000用户配置文件。

  2. 计费记录在会计表里不应该超出50,000个记录。

  3. 运行AcctExport程序日报。

  4. 如果事务处理速率非常高,并且有巨大的核算流量这样有超过50,000计费记录,则两次请运行AcctExport或三倍基于负载。

  5. 确保有足够的磁盘和交换空间联机在Solaris设备。

  6. 运行dbunload工具每月。这将帮助减少大小CSUnix数据库。

  7. csecure.db不应该超出1 GB磁盘空间。

  8. 如果csecure.db非常迅速在大小上超出,则请确保dbunload频繁地运行。

  9. 如果Radius AAA没有用于CS,则这可以在–在/etc/rc2.d/S80Ciscosecure的R标志帮助下禁用。

  10. 在运行时间, DBServer错误,包括在接口遇到的错误对数据库,在日志文件/csdb_ <date>文件报告。所有意外的错误或失败信息由Java虚拟机是登陆的日志/dbserver.log文件。检查这些文件所有错误。

  11. 如果AAAServer失败,内核文件在$BASEDIR/corefiles将查找。检查内核文件的存在,如果其中任一。

  12. 根据用户需求有规律地备份数据库(每天或每星期)。

  13. 对于更加好的性能,请禁用csuslog操作日志功能。这激烈地将增加性能。

  14. ulimit值应该是4096在/etc/system, /etc/rc2.d/S80Ciscosecure $BASEDIR/bin/DBServer.sh

  15. 有规律地删除csecure.log。在删除csecure.log前,应该终止CS。

  16. 不手工添加/修改/删除数据库表直接地-请使用仅支持的方法。

  17. 每月一次归档$BASEDir/logfiles目录。

  18. 有规律地归档/var/log/csuslog文件,并且通过发出cat命令修整大小/dev/null > csuslog。如果文件删除, Syslog不会工作,并且日志不会重定向到csuslog文件。

  19. DNS服务器问题:如果目标系统有配置的DNS,或者,如果Solaris操作系统配置作为DNS服务器,必须保重特别注意确保DNS性能和操作是完全能操作的。

    如果CS ACS服务器目标Solaris系统有启用的DNS,也许有CS ACS的性能或验证问题。CS ACS不直接地呼叫DNS服务器;然而, Solaris操作系统呼叫“gethostbyadd_r”并且也许间接呼叫DNS服务器,若被设定如此执行。检查/etc/nsswitch.conf文件这样配置。如果DNS域名解决方法操作不工作也不慢,这直接地影响CS ACS。

  20. 当运行工具例如dbbackup和dbunload时,应该正确地设置PATH。否则,工具可能不正常运转。$BASEDIR/utils/bin/env_setup可以用于设置路径。此文件包含所有需要的环境变量和其他路径详细信息。

  21. 应该设置MaxConnection和ConnectionLicense参数以便适应根据认证数量和CSU能处理处理的数量的需要。如果使用的db是SqlAnyWhere, MaxConnection可以设置为最大值为50。比根据负载的ConnectionLicense增加在$BASEDIR/config/CSConfig.ini的ConnectionLicense和相应地增加值在$BASEDIR/CSU/libdb.conf的MaxConnection对值两。

  22. 当使用自动化的脚本登陆到路由器和交换机和执行命令时,它是良好的做法放置睡眠命令介于中间的正常路由器/交换机命令。这帮助传播了负载并且避免在CS服务器的资源争用。

  23. 进一步,这些自动化的脚本应该适当地关闭远程登录会话(一旦任何命令失败)保证资源没有锁定在CS服务器。


相关信息


Document ID: 63755