安全 : 思科安全访问控制系统

安全访问控制控制系统5.x及以后FAQ

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


问题


简介

本文提供回答关于与思科安全访问控制系统(FAQ)涉及的多数常见问题(ACS) 5.x和以后。

验证相关问题

Q. ACS 5.x内部数据库的一些用户/组能从用户密码策略(系统管理> Users被排除>验证设置) ?

A. 默认情况下,每个内部数据库用户必须符合用户密码策略。目前, ACS 5.x内部数据库的用户/组不可以被排除。

Q. ACS 5.x的一些个GUI管理员能从管理用户密码策略(系统管理>管理员>设置>验证)被排除?

A. 默认情况下,每个GUI管理用户必须符合管理用户密码策略。目前, ACS 5.x的管理用户不可以被排除。

Q. ACS是否5.x为VMWare工具提供支持?

A. 不能。目前, VMWare工具不支持与ACS版本5.x。参考Cisco Bug ID CSCtg50048 (仅限注册用户)欲知更多信息。

Q. 当LDAP配置作为标识存储时,什么是ACS的5.x支持的EAP验证协议?

A. 当LDAP使用作为标识存储时, ACS 5.2支持仅PEAP-GTC、EAP-FAST-GTC和EAP-TLS协议。它不支持EAP-FAST MSCHAPv2、PEAP EAP-MSCHAPv2和EAP-MD5。欲知更多信息,参考认证协议和用户数据库兼容性

Q. WLC的验证与在ACS的使用radius为什么发生了故障,并且ACS为什么没有显示任何失败的尝试?

A. 问题存在与ACS 5.0和WLC互通性,在补丁程序4.下载补丁程序8,并且应用在CLI前的补丁程序。请勿使用TFTP为了调整此问题。

Q. 为什么是无法恢复tar.gz备份与备份LOG in命令ACS 5.2的文件?

A. 您不能恢复用备份LOG命令备份的日志文件。您能恢复为ACS配置和ADE-OS备份了的仅那些文件。参考备份和备份日志in命令Cisco Secure Access Control System 5.1的CLI参考指南欲知更多信息。

Q. 能否限制不成功密码尝试数量在ACS 5.2的?

A. 不能。此功能不是可用的在ACS 5.2,但是在ACS 5.3预计集成。参考版本注释的不是功能支持的部分思科安全访问控制系统的5.2欲知更多信息。

Q. 我无法使用选项更改密码在内部用户的下登录ACS的5.0。如何解决此问题?

A. 在下登录ACS 5.0不支持选项更改密码。此功能的支持有ACS 5.1及以后版本。

Q. 在ACS的此报警是什么意思?
Cisco Secure ACS - Alarm Notification 
Severity: Warning 
Alarm Name delete 20000 sessions 
Cause/Trigger active sessions are over limit 
Alarm Details session is over 250000

A. 此错误意味,当ACS视图达到250,000会话时限制,投掷报警删除20,000会话。ACS视图数据库存储所有上次验证会话,并且,当到达250,000时,给报警清除缓存和删除20,000会话。

Q. 我如何解决此错误消息:验证失败:因为用户要求更改他的密码, 24407活动目录的用户认证失败

A. 当有与密码管理的一问题在SDI Authentication时,此错误消息出现。ACS 5.x,当RADIUS代理和用户必须由RSA服务器,验证使用。对RSA的RADIUS代理将仅工作,不用密码管理。原因是OTP值一定是可退回的由RADIUS服务器为了代理密码值对RSA服务器。当密码管理在隧道组中时启用, RADIUS请求用MS-CHAPv2属性传送。RSA不支持MS-0CHAPv2;它支持仅PAP。

为了解决此问题,禁用密码管理。欲知更多信息,参考Cisco Bug ID CSCsx47423 (仅限注册用户)。

Q. 限制ACS admin管理在ACS 5.1内的仅某些设备是否是可能的?

A. 不,限制ACS admin管理在ACS 5.1内的仅某些设备是不可能的。

Q. ACS是否支持在验证的QoS,以便RADIUS可以在TACACS优先安排?

A. 不, ACS不支持在验证的QoS。ACS不会优先安排在TACACS或TACACS请求的RADIUS验证请求在RADIUS。

Q. 能ACS 5.x代理TACACS和RADIUS验证到其他TACACS或RADIUS服务器?

A. 是,所有ACS 5.x版本能代理RADIUS验证到其他RADIUS服务器。ACS 5.3和以后能代理TACACS认证到其他TACACS服务器。

Q. ACS 5.x能否检查活动目录用户的拨入属性为了准许访问?

A. 是,在ACS 5.3和以后您能允许,拒绝和控制用户的拨入许可的访问。在认证或查询期间从活动目录,权限被检查。它在活动目录投入的字典设置。

Q. ACS是否5.x支持TACACS+的CHAP或MSCHAP认证类型?

A. ACS版本5.3和以上支持是、TACACS+ CHAP和MSCHAP认证类型。

Q. 能否设置ACS内部用户的密码类型为任何外部数据库?

A. 是,在ACS 5.3和以后您能设置ACS内部用户的密码类型。此功能是可用的在ACS 4.x。

Q. 能我通过/验证根据时间用户在ACS内部标识存储创建的失败?

A. 是,在ACS 5.3和以后您能使用几小时数量,因为用户创建属性为了创建您的策略。因为用户在当前认证请求的时期的内部标识存储创建此属性包含几小时数量。

Q. 能否使用通配符为了添加在ACS内部数据库的新的主机条目?

A. 当您添加新的主机到内部标识存储时,是, ACS 5.3和以后允许您使用通配符。它也允许您输入通配符(在您输入前三个八位位组)后为了指定从已确定制造商的所有设备。

Q. 配置ACS的5.x IP地址池和能否从ACS分配他们?

A. 不,创建ACS的5.x IP地址池是不目前可能的。

Q. 能看到请求进来失败的认证报告AAA客户端的IP地址?

A. 不,发现AAA客户端IP地址从请求进来是不可能的。

Q. 什么是View Log在ACS 5.3的消息恢复?

A. ACS 5.3提供一新特性恢复未命中的所有日志,当视图发生故障时。ACS在其数据库收集这些未接日志并且存储他们。使用此功能,在视图备份后,您能从ACS数据库检索未接日志到视图数据库。为了使用此功能,您必须设置日志消息恢复配置至。欲了解更详细的信息在配置View Log消息恢复,参考监听&报告查看器系统操作

Q. 能否通过发出从解决方案引擎CLI的数据库压缩命令压缩ACS 5.x数据库?此功能是可用的在ACS 4.x。

A. 是,在ACS 5.3和以后,数据库压缩命令减少ACS数据库大小以选项删除ACS处理table.ACS管理员能发出此命令为了减少数据库大小。这帮助减少花费的数据库大小和时间的备份和为维护是需要的全双工同步。

Q. 能否搜索根据其IP地址的AAA客户端条目?

A. 使用其IP地址,是, ACS 5.3和以后允许您搜索网络设备。您能也使用通配符和范围为了搜索特定的网络设备。

Q. 能否创造根据用户在ACS内部标识存储创建的时间的条件?

A. 是,在ACS 5.3和以后您能根据用户在ACS内部标识存储创建的时间使用几小时数量,因为用户使您配置策略规则条件的创建属性。例如:IF group=HelpDesk&NumberofHoursSinceUserCreation>48然后拒绝。因为用户在当前认证请求的时期的内部标识存储创建此属性包含几小时数量。

Q. 能否登记标识存储用户在服务策略的授权部分验证?

A. 是,在ACS 5.3和以后您能使用验证标识存储属性,使您配置根据验证标识存储的策略规则条件。例如:IF AuthenticationIdentityStore=LDAP_NY然后拒绝。此属性包含使用的标识存储的名称,并且更新与相关标识存储名称在成功认证以后。

Q. ACS什么时候去在标识存储顺序定义的下标识存储?

A. ACS去在标识存储顺序在这些情况下定义的下标识存储:

  • 用户没有在第一标识存储找到

  • 标识存储不是可用的在顺序

Q. 什么是在ACS 5.3的帐户不合格策略?

A. 帐户不合格策略允许您禁用内部标识存储的用户,当配置的日期是在允许的日期之外时,几天的配置的号码是在允许的天之外,或者连续的不成功登录尝试数量超出阈值。日期的默认值超出从当前日期的30天。默认值好几天不应该超过从当前天的60天。失败的尝试的默认值是5。

Q. 能否更改ACS的内部数据库用户的密码在telnet的?

A. 是,您允许更改使用在telnet的内部数据库用户的密码TACACS+。您需要选择Enable (event) TELNET崔凡吉莱密码在ACS 5.x的密码更改控制下

Q. 当配置更改时,主要的ACS 5.x实例是否周期地自动地更新备份实例或者应该它只发生?

A. ACS 5.x将立即复制对附属ACS,每当您在主要的ACS做变动。另外,如果然后不做对主要的ACS的任何变动,它将执行强制复制每15分钟。这时,没有选项控制计时器,以便ACS能在特定时间之后复制信息。

Q. 能查看/出口关于ACS从在不同的NAS客户端的ACS当前登陆并且验证所有用户的5.x的报告?

A. 是,这是可能的。有RADIUS和TACACS+的两独立的报告。您能找到他们在监听&报告>报告>目录>会话Directory> RADIUS激活的会话TACACS激活的会话下。两报告根据从NAS客户端的记帐信息,因为允许您跟踪,当用户连接并且注销时。在一个特定天期间,均等会话的历史记录允许您从开始获得信息和终止消息。


相关信息


Document ID: 113495