セキュリティ : Cisco NAC アプライアンス(Clean Access)

Clean Access Manager に関する FAQ 2

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


質問


概要

このドキュメントでは、Cisco Clean Access Manager に関する FAQ について説明します。 このドキュメントは、2 部で構成されるドキュメント セットの第 2 部です。 第 1 部については、『Cisco Clean Access Manager FAQ』を参照してください。

製品名は変更されました。 この表は古い名前と新しい名前の両方をリストしています。

旧名称 新名称
SmartManager Clean Access Manager
SecureSmart Server Clean Access Server
SmartEnforcer Clean Access Agent
CleanMachinesAPI Clean Access API

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

Q. ログイン された Cisco である前に最初に Webサイトにアクセスすることを試みるときアップする最初の Webページを変更することを望みます。 どうすればよいでしょうか。

A. 状態を出る最初のページ、「ネットワーク認証 ページにリダイレクトされています」。 このページはそれが CGI スクリプトであるので現在編集可能ではないです。 さらに、ページは幾つかの秒だけ示されています。 ユーザは 2 つの行を越える拡張テキスト表示を読めません。

Q. イベントログのエントリの数が Cisco Clean Access Manager で設定される数を渡すときエントリはデータベースから削除されます、または GUI は規定 される数だけを示しますか。

A. イベントログ しきい値はデータベースで保存されるイベントの数です。 サーバで、デフォルトで保存される、ログ イベントの最大数は 100,000 です。 イベントログ しきい値は 200,000 より小さい必要があります。 イベントログは円ログです。 最も古いエントリはログがしきい値を渡すとき上書きされます。

Q. 4.6.1 から 4.7.1 バージョンの NAC をアップグレードすることを試みるとき PCI を得ることは可能性のあるです: BIOS 不具合: e0000000 の MCFG エリアは E820-reserved PCI ではないです: ない MMCONFIG エラーメッセージを使用して。 このエラーはなぜ発生し、これはどのように解決されますか。

A. このエラーはモニタ/キーボードとないコンソールポートを通ってアップグレードする場合発生します。

Q. Cisco プライマリ(アクティブな) Clean Access Manager がスタンバイ(非アクティブ)マネージャに失敗するとき "500 Internal Server エラー」メッセージ見ます。 決してマネージャGUI ディスプレイ。 これはどのように解決すればよいですか。

A. peerhostname および ha_serial 正しく設定 されるようにするために /etc/ha.d/perfigo.conf をチェックして下さい。

ca-mgr-faq2-2.gif

Q. バーチャル ゲートウェイ モードでは、再タグ ロールのすべてのマシンは 1 つのネットワークであるために(たとえば、Xboxes)およびようでもらいますそれらをできますか。

A. VLAN はバーチャル ゲートウェイ モードで not retagged。

Q. フェールオーバー Clean Access サーバはフェールオーバーに正しく現われません。 Cisco Clean Access サーバは両方とも他がダウンしていることを示します。 プライマリはセカンダリにフェールオーバーに試みますが、成功しません。 新しいログオンはこの時間の間に認証されません。 この問題はなぜ発生しますか。

A. 問題の原因は /etc/lilo.conf および /etc/inittab の設定にある場合もあります。 シリアル ttyS0 出力にコンソール リダイレクションを停止するために /etc/lilo.conf および /etc/inittab を修正して下さい。

ハートビート接続として ttyS0 を再構成するためにこれらのステップを完了して下さい:

  1. SSH クライアントから、ルート ユーザとして Cisco Clean Access サーバや Cisco Clean Access Manager サーバにアクセスして下さい。
  2. /etc/lilo.conf を編集し、最後の行を削除またはコメント アウトします。
    append="console=ttyS0....."
    この行は、コンソールの出力をシリアル ポートにリダイレクトさせます。

    注: 行をコメント アウトするには、その行の先頭に # を付けます。 この文字で始まる行は無視されます。

  3. /etc/inittab を編集し、最後の行を削除またはコメント アウトします。
    co:2345:respawn ...vt100
    この行はログオン ターミナルをシリアルポートで開始します。
  4. コマンド プロンプトで「lilo」と入力し、[Enter] キーを押します。 これにより、Linux ブート ローダである Lilo が起動します。
  5. コンピュータを再起動するため、reboot コマンドを入力します。
  6. フェールオーバー ピア Cisco Clean Access Manager のこれらのステップを繰り返して下さい。

Q. ヘルプデスク技術者がプリンタのような事柄のための「除外」表にゲーム システム MAC アドレスを、ルータ入力、できるページを、等開発する必要があります。 これを達成するユーティリティがありますか。

A. Cisco Clean Access はユーティリティ スクリプトを呼ばれる HTTPS POST を通してある特定のオペレーションを行うことを可能にする 3.3)および cisco_api.jsp と提供します(または以前のリリース 3.2 のための perfigo_api.jsp。 Webブラウザからアクセスできる Clean Access Manager の Clean Access API 説明ページのための URL はここにあります:

  • https:// <ccam-ip-or-name>/admin/cisco_api.jsp

セクションはであるもの機能がおよびそれらにアクセスする方法を告げます。

重要: 使用方法必要条件

  • 組織の誰かはパールのようなスクリプト言語と快適確認し、である。

  • HTTPS、POST および AUTH だけサポートされます。 HTTP、GET および認証 API はサポートされません。

  • これらのスクリプトを実行するマシンでパール パッケージ(または類似した何かを)インストールする必要があります。

  • テクニカル サポートはパールまたはスクリプトを書くパッケージのデバッグをサポートしません。

認証必要条件(3.5.4+)

API はこれら二つの認証方式によって API にアクセスのために SSL 上の認証を、必要とします:

  • セッションによる認証

    この方式では、管理者のような、adminlogin および adminlogout 機能を使用できます。 これらの機能 イネーブル admin セッションの他のためにアクセスされるべきセッションID のクッキーを設定 する 認証 シェル スクリプトを作成する。 セッションID クッキーが設定 されない場合、ユーザはログインプロンプトを受け取ります。 adminlogin (管理者ログオン)関数の戻り値あらゆる API の使用方法のためのクッキーとして設定 する必要があるセッションID。 それからセッションを終了するのに adminlogout 機能を使用して下さい。 ただし、adminlogout を使用しなければ、まだセッション 終端場合の admin セッションタイム。

  • 機能による認証

    シェル スクリプトを作成すればのにクッキーを使用したいと思わない場合機能が使用される度に代りに認証を行うことができます。 機能によって認証する場合、既存のスクリプトで使用するすべての機能に admin およびパスワード パラメータを追加する必要があります。 この場合、adminlogin および adminlogout 機能を使用しません。

ゲスト アクセスサポート(3.5.8+)

getlocaluserlistaddlocaluser および deletelocaluser API はダイナミック トークンユーザ アクセス 生成のためのゲスト アクセスをサポートするように意図され能力をに提供します:

  • Cisco Clean Access API にビジター ユーザ名かパスワードを挿入するためにアクセスするのに Web ページを(たとえば、jdoe@visitor.com、jdoe112805)使用し、ロールを割り当てて下さい(たとえば、guest1day)。

  • その日のそのロールと関連付けられるすべてのゲストユーザを削除して下さい(たとえば、guest1day)。

  • そのロールと関連付けられるすべてのユーザ名をリストして下さい(たとえば、guest1day のためのすべてのユーザ)。

これらの API サポートはゲストユーザのほとんどの実装 ダイナミック トークン/パスワード 生成にアクセスし、ゲスト ロールのためのそれらのユーザの削除を可能にします。 これはあなた自身のカスタマイズされたログオンかサブスクリプション ページを作成し、次に CCA API を呼出す機能を提供します。

注: まだフロント・エンド世代別パスワード/トークンを作成する必要があります。 アカウンティングの目的で、Cisco Clean Access は RADIUS 説明機能性だけを提供します。

「addmac」オペレーションのためのパール テスト スクリプトのサンプル(右クリック、ダウンロード)はここにあります。

このスクリプトのための Linux サーバで動作するためにこれらのモジュールをインストールして下さい。 広範囲のパール アーカイブ ネットワークからそれらをダウンロードできますleavingcisco.com

  • MIME-Base64-3.05.tar.gz

  • URI-1.33.tar.gz

  • HTML-Tagset-3.03.tar.gz

  • HTML-Parser-3.36.tar.gz

  • Crypt-SSLeay-0.51.tar.gz (インストールされる openssl を必要とします)

  • libwww-perl-5.77.tar.gz

一度すればいいのか何をダウンロードしましたモジュールインストーレーション手順に関しては CPAN からモジュールを参照して下さい。

インストールの後で、Cisco Clean Access Manager に SSH によってそれを試みることができます。 /root/perl に(仮定することはここにインストールしました)行き、https auth ポスト スクリプトを実行して下さい。 MACエントリは 192.168.151.156 グローバル なフィルターに追加されます。

操作名: adminlogin

description — 管理者ログインはあらゆる API の使用方法のためのクッキーとして設定 されなければならないセッションID を戻します。

クッキーとセッションによって認証を使用する場合シェル スクリプトを作成するのに adminlogin および adminlogout を使用して下さい。 さもなければ、各機能で admin およびパスワード パラメータを使用して下さい。

パラメーター:

  • 操作(必要とされた) — adminlogin

  • admin (必要な) —管理者アカウント ユーザネーム

  • パスワード(必要な) —管理者アカウント パスワード

パラメーター:

  • 形式のコメント <! --error=mesg--> 戻されます。 mesg 値が 0 ならオペレーションは成功ですさもないとエラーストリングがあります。

  • mesg 値が 0 である場合、形式の別のコメント <! --session_id=SESSION_ID_STRING--> 戻されます

操作名: adminlogout

description — 管理者はログアウトされます。 クッキーはセッションを識別します。

クッキーとセッションによって認証を使用する場合シェル スクリプトを作成するのに adminlogin および adminlogout を使用して下さい。 さもなければ、各機能で admin およびパスワード パラメータを使用して下さい。

パラメーター:

  • 操作(必要とされた) — adminlogout

パラメーター:

  • 形式のコメント <! --error=mesg--> 戻されます。 mesg 値が 0 ならオペレーションは成功ですさもないとエラーストリングがあります。

操作名: addmac

description —デバイス・リストへの MAC アドレスを追加します。

パラメーター:

  • 操作(必要とされた) — addmac

  • MAC (必要な) —サポートされている形式 00:01:12:23:34:45 か 00-01-12-23-34-45 か 000112233445

  • IP (オプションの) —サポートされている形式 192.168.0.10

  • 型(オプションの) —ストリング[拒否、割り当て、userole]の 1 つ。 デフォルトは拒否です。

  • ロール(オプションの) —ロール名を規定 して下さい。 デフォルトは非認証です。 必須 type=userole なら。

  • desc (オプションの) — description string。

  • ssip (オプションの) —デフォルトはグローバルです。 Clean Access Manager に Clean Access サーバを設定するのに使用される IP アドレスを提供します。

  • admin (オプションの) —管理者アカウント ユーザネーム。 このパラメータはセッションによって認証を使用する場合必要ではないです。

  • パスワード(オプションの) —管理者アカウントのためのパスワード。 このパラメータはセッションによって認証を使用する場合必要ではないです。

パラメーター:

  • 形式のコメント <! --error=mesg--> 戻されます。 mesg 値が 0 ならオペレーションは成功ですさもないとエラーストリングがあります。

操作名: removemac

description — デバイス フィルタ リストから MAC アドレスを取除きます。

パラメーター:

  • 操作(必要とされた) — removemac

  • MAC (必要な) —サポートされている形式 00:01:12:23:34:45 か 00-01-12-23-34-45 か 000112233445

  • ssip (オプションの) —デフォルトはグローバルです。 Clean Access サーバの設定に使用する Clean Access Manager に IP アドレスを提供します。

  • admin (オプションの) —管理者アカウント ユーザネーム。 このパラメータはセッションによって認証を使用する場合必要ではないです。

  • パスワード(オプションの) —管理者アカウントのためのパスワード。 このパラメータはセッションによって認証を使用する場合必要ではないです。

パラメーター:

  • 形式のコメント <! --error=mesg--> 戻されます。 mesg 値が 0 ならオペレーションは成功ですさもないとエラーストリングがあります。

操作名: addcleanmac

description — Cisco Clean Access への MAC アドレスを証明しました免除されたデバイスとしてデバイス・リストを追加します。

パラメーター:

  • 操作(必要とされた) — addcleanmac

  • MAC (必要な) —サポートされている形式 00:01:12:23:34:45 か 00-01-12-23-34-45 か 000112233445

  • ssip (オプションの) —デフォルトはグローバルです。 Clean Access Manager に Clean Access サーバを設定するのに使用される IP アドレスを提供します。

  • admin (オプションの) —管理者アカウント ユーザネーム。 このパラメータはセッションによって認証を使用する場合必要ではないです。

  • パスワード(オプションの) —管理者アカウントのためのパスワード。 このパラメータはセッションによって認証を使用する場合必要ではないです。

パラメーター:

  • 形式のコメント <! --error=mesg--> 戻されます。 mesg 値が 0 ならオペレーションは成功ですさもないとエラーストリングがあります。

操作名: removecleanmac

description — Clean Access によって証明されるデバイス・リストから MAC アドレスを取除きます。

パラメーター:

  • 操作(必要とされた) — removecleanmac

  • MAC (必要な) —サポートされている形式 00:01:12:23:34:45 か 00-01-12-23-34-45 か 000112233445

  • ssip (オプションの) —デフォルトはグローバルです。 Clean Access Manager に Clean Access サーバを設定するのに使用される IP アドレスを提供します。

  • admin (オプションの) —管理者アカウント ユーザネーム。 このパラメータはセッションによって認証を使用する場合必要ではないです。

  • パスワード(オプションの) —管理者アカウントのためのパスワード。 このパラメータはセッションによって認証を使用する場合必要ではないです。

パラメーター:

  • 形式のコメント <! --error=mesg--> 戻されます。 mesg 値が 0 ならオペレーションは成功ですさもないとエラーストリングがあります。

    SSIP が提供されないし、MAC が複数の Clean Access サーバから削除することができなければ場合複数のエラー コメントがあることができます。

操作名: clearcertified

description — Clean Access によって証明されるデバイス・リストをクリアします。

パラメーター:

  • 操作(必要とされる) — clearcertified

  • admin (オプションの) —管理者アカウント ユーザネーム。 このパラメータはセッションによって認証を使用する場合必要ではないです。

  • パスワード(オプションの) —管理者アカウントのためのパスワード。 このパラメータはセッションによって認証を使用する場合必要ではないです。

パラメーター:

  • 形式のコメント <! --error=mesg--> 戻されます。 mesg 値が 0 ならオペレーションは成功ですさもないとエラーストリングがあります。

操作名: kickuser

description — ログイン ユーザを追い出します

パラメーター:

  • 操作(必要とされた) — kickuser

  • IP (必要な) —取除かれるべきユーザの IP アドレスを提供します。

  • admin (オプションの) —管理者アカウント ユーザネーム。 このパラメータはセッションによって認証を使用する場合必要ではないです。

  • パスワード(オプションの) —管理者アカウントのためのパスワード。 このパラメータはセッションによって認証を使用する場合必要ではないです。

パラメーター:

  • 形式のコメント <! --error=mesg--> 戻されます。 mesg 値が 0 ならオペレーションは成功ですさもないとエラーストリングがあります。

操作名: kickoobuser

description — 帯域 ユーザからログオンされるキックアウトします。

パラメーター:

  • 操作(必要とされた) — kickoobuser

  • MAC (必要な) —取除かれるべきユーザの MAC アドレスを提供します。

パラメーター:

  • 形式のコメント <! --error=mesg--> 戻されます。 mesg 値が 0 ならオペレーションは成功ですさもないとエラーストリングがあります。

操作名: queryuserstime

description — セッションのログイン ユーザ残りの時間を問い合わせます。 ユーザによってログイン される セッション タイムアウト ロールだけ戻ります。

パラメーター:

  • 操作(必要とされた) — queryuserstime

  • admin (オプションの) —管理者アカウント ユーザネーム。 このパラメータはセッションによって認証を使用する場合必要ではないです。

  • パスワード(オプションの) —管理者アカウントのためのパスワード。 このパラメータはセッションによって認証を使用する場合必要ではないです。

パラメーター:

  • 形式のコメント <! --error=mesg--> 戻されます。 mesg 値が 0 ならオペレーションは成功ですさもないとエラーストリングがあります。

  • mesg 値が 0 である場合、形式の別のコメント <! --list=iplist--> 戻されます。 iplist 形式は 10.1.10.10=23345,10.1.10.11=23001,10.1.10.12.......,IP=Time_Remaining(milliseconds) です。

操作名: renewuserstime

description — セッションによってログイン ユーザ セッション タイムアウトを更新して下さい。

パラメーター:

  • 操作(必要とされた) — renewuserstime

  • リスト(必要な) —リストの形式は 10.1.10.10、10.1.10.11、10.1.10.12.....IP、IP です。

  • admin (オプションの) —管理者アカウント ユーザネーム。 このパラメータはセッションによって認証を使用する場合必要ではないです。

  • パスワード(オプションの) —管理者アカウントのためのパスワード。 このパラメータはセッションによって認証を使用する場合必要ではないです。

パラメーター:

  • 形式のコメント <! --error=mesg--> 戻されます。 mesg 値が 0 ならオペレーションは成功ですさもないとエラーストリングがあります。

操作名: changeuserrole

description — ログイン ユーザの役割を変更します。

パラメーター:

  • 操作(必要とされた) — changeuserrole

  • IP (必要な) —ログイン ユーザの IP アドレス。

  • ロール(必要な) —ロールはこのユーザ置かれなければなりません。

  • admin (オプションの) —管理者アカウント ユーザネーム。 このパラメータはセッションによって認証を使用する場合必要ではないです。

  • パスワード(オプションの) —管理者アカウントのためのパスワード。 このパラメータはセッションによって認証を使用する場合必要ではないです。

パラメーター:

  • 形式のコメント <! --error=mesg--> 戻されます。 mesg 値が 0 ならオペレーションは成功ですさもないとエラーストリングがあります。

操作名: getuserinfo

description — IP、MAC または名前のある特定の 1 つは、ログオンされたユーザ情報戻ります。 条件を満たした複数のユーザがあれば、ユーザのリストは戻ります。

パラメーター:

  • 操作(必要とされた) — getuserinfo

  • qtype (必要とされる) —ストリング(「IP」、「MAC」、「名前」の 1 つ、「すべて」)。

  • qval (必要とされる) — IP アドレスか MAC アドレスまたはユーザネームまたは空ストリングは「すべての」包みます。

  • admin (オプションの) —管理者アカウント ユーザネーム。 このパラメータはセッションによって認証を使用する場合必要ではないです。

  • パスワード(オプションの) —管理者アカウントのためのパスワード。 このパラメータはセッションによって認証を使用する場合必要ではないです。

パラメーター:

  • 形式のコメント <! --error=mesg--> 戻されます。 mesg 値が 0 ならオペレーションは成功ですさもないとエラーストリングがあります。

  • mesg 値が 0 である場合、形式 <!--count=10--> の A コメントは戻る形式 <!--IP=10.1.10.12,MAC=0A:13:07:9B:82:60,NAME=jdoe,PROVIDER=LDAP Server,ROLE=Student,ORIGROLE=Student,VLAN=1024,NEWVLAN=1024,OS=Windows XP のコメントの対応した数のすぐ前にユーザの数を示します--> 戻されます。

操作名: getoobuserinfo

Description : IP、MAC または名前のある特定の 1 つは、ログオンされた OOB ユーザ情報戻ります。 条件を満たしていれば複数のユーザがある場合ユーザのリストは戻ります

パラメーター:

  • 操作(必要とされた) — getoobuserinfo

  • ストリング(「IP」、「MAC」、「名前」の qtype (必要とされた) — 1 つ、「すべて」)

  • qval (必要とされる) — IP アドレスか MAC アドレスまたはユーザネームまたは空ストリングは「すべての」包みます

  • admin (オプションの) —管理者アカウント ユーザネーム。 このパラメータは認証をセッションによって使用している場合必要ではないです。

  • パスワード(オプションの) —管理者アカウントのためのパスワード。 このパラメータは認証をセッションによって使用している場合必要ではないです。

パラメーター:

  • 形式のコメント <! --error=mesg--> 戻されます。 mesg 値が 0 ならオペレーションは成功ですさもないとエラーストリングがあります。

  • mesg 値が 0 である場合、形式 <!--count=10--> のコメントは戻る形式 <!--IP=10.1.10.12,MAC=0A:13:07:9B:82:60,NAME=jdoe,PROVIDER=LDAP Server,ROLE=Student,AUTHVLAN=10,ACCESSVLAN=1024,OS=Windows XP,SWITCHIP=10.1.10.1,PORTNUM=18--> のコメントの対応した数のすぐ前にユーザの数を示します。

操作名: getcleanuserinfo

description — MAC か名前のある特定の 1 つは、証明されたユーザ情報戻ります。 条件を満たした複数のユーザがあれば、証明されたユーザのリストは戻ります。

パラメーター:

  • 操作(必要とされた) — getcleanuserinfo

  • qtype (必要とされる) —ストリング(「MAC」、「名前」、「すべて」)の 1 つ。

  • qval (必要とされる) — MAC アドレスかユーザネームまたは空ストリングは「すべての」包みます。

パラメーター:

  • 形式のコメント <! --error=mesg--> 戻されます。 mesg 値が 0 ならオペレーションは成功ですさもないとエラーストリングがあります。

  • mesg 値が 0 である場合、形式 <!--count=10--> のコメントは戻る形式 <!--MAC=0A:13:07:9B:82:60,NAME=jdoe,PROVIDER=LDAP Server,ROLE=Student,VLAN=10--> のコメントの同じ数のすぐ前にユーザの数を示します。

操作名: getlocaluserlist

description — ユーザネームおよび役割名前の設定されたローカルユーザアカウントのリストを戻します。

パラメーター:

  • 操作(必要とされた) — getlocaluserlist

  • admin (オプションの) —管理者アカウント ユーザネーム。 このパラメータは認証をセッションによって使用している場合必要ではないです。

  • パスワード(オプションの) —管理者アカウントのためのパスワード。 このパラメータは認証をセッションによって使用している場合必要ではないです。

パラメーター:

  • 形式のコメント <! --error=mesg--> 戻されます。 mesg 値が 0 ならオペレーションは成功ですさもないとエラーストリングがあります。

  • mesg 値が 0 である場合、形式 <!--count=10--> の A コメントは戻る形式のコメントの同じ数に続いているユーザの数を < 示します! --NAME=jdoe、ROLE=Student--> 戻されます。

操作名: addlocaluser

description —新しいローカルユーザアカウントを追加します。

パラメーター:

  • 操作(必要とされた) — addlocaluser

  • ユーザ名(必要な) —ローカルユーザアカウント ユーザネーム。

  • userpass (必要な) —ローカルユーザアカウント ユーザパスワード。

  • userrole (必要な) —ローカルユーザアカウント名前ユーザの役割の。

  • admin (オプションの) —管理者アカウント ユーザネーム。 このパラメータはセッションによって認証を使用する場合必要ではないです。

  • パスワード(オプションの) —管理者アカウントのためのパスワード。 このパラメータはセッションによって認証を使用する場合必要ではないです。

パラメーター:

  • 形式のコメント <! --error=mesg--> 戻されます。 mesg 値が 0 である場合、オペレーションは成功、他ではです、エラーストリングがあります。

操作名: deletelocaluser

description — ローカルユーザアカウントを削除します。

パラメーター:

  • 操作(必要とされた) — deletelocaluser

  • ストリング(「名前」、「すべて」)の qtype (必要とされた) — 1 つ

  • qval (必要とされる) —ユーザネームか空ストリングは「すべての」包みます

  • admin (オプションの) —管理者アカウント ユーザネーム。 このパラメータはセッションによって認証を使用する場合必要ではないです。

  • パスワード(オプションの) —管理者アカウントのためのパスワード。 このパラメータはセッションによって認証を使用する場合必要ではないです。

パラメーター:

  • 形式のコメント <! --error=mesg--> 戻されます。 mesg 値が 0 である場合、オペレーションは成功、他ではです、エラーストリングがあります。

Q. セッション タイマーがロールのための 0 に設定 され、そのロールのユーザがマシンをシャットダウンし、ホームに行き、午前中もどって来、マシンを始動させれば場合、ユーザが再度ログオンするために必要となりますか。

A. ユーザセッションはこれらの 1 つが発生するまで持続します:

  • ユーザはネットワークをログオフします。

  • 管理者はネットワークを離れて手動で ユーザを蹴ります。

  • セッションタイム セッション タイマーが理由で。 ユーザが接続ステータスかアクティビティに関係なく廃棄されるセッション タイムアウト。 設定はすべてのユーザに、かどうかローカルでまたは外部に認証されて適用されます。

  • Cisco Clean Access サーバはユーザがハートビート タイマーを使用してもはや接続されないことを判別します。

  • ハートビート タイマーは分数を設定 しますそのあとで到達不能ならユーザは Cisco Clean Access サーバからの接続の試みによってネットワーク ログオフされます。

追加説明:

  • セッション タイマーが 0 であり、ハートビート タイマーが設定 されなければ、オンライン ユーザからユーザが廃棄されないし、必要とされなかった再ログオンではないです。

  • セッション タイマーが 0 であり、ハートビート タイマーが設定 されれば、ハートビート タイマーは実施されます。

  • セッション タイマーがゼロ以外であり、ハートビートが設定 されなければ、セッション タイマーは実施されます。

  • タイマーが両方とも設定 される場合、達するべき最初のタイマーは最初にアクティブになります。

  • ユーザがマシンをログアウトし、シャットダウンした場合、オンライン ユーザからユーザが廃棄され、必要とされた再ログオンです。

注: Cisco Clean Access エージェント クライアントは Cisco Clean Access サーバにクライアントマシンが Cisco Clean Access API (以前の CleanMachine)セッションによって基づく接続設定に基づいていたシャットダウンされるとき Logout 要求を送信 しません。

Q. ポート 445 の Nessus スキャン プラグイン 11011 SMB がチェックを外されるが、まだユーザ スキャン レポートで現れるようにしました。 なぜでしょうか。

/image/gif/paws/63593/ca-mgr-faq2-3.gif

A. 12054 抽象構文記法.1 解析脆弱性(NTLM チェック)のような Windows NT LAN Manager (NTLM)をチェックする他のプラグインをつけたら、11011 スキャンはまだ基礎スキャンおよび 11011 が INFO 型として報告されると同時にアクティブになります。

11011 に脆弱性を作らなかった限り、レポートの INFO 以外応答を引き起こしません。

注: バージョン 3.2.13 から開始して、ユーザは指定差込からのレポートだけを見ます。

Q. フェールオーバーを行うとき、ドロップする データベースを見ましたり、データベースおよび pg_restore を作成します: [archiver (db)] クエリを実行できませんでした: エラー: /var/log/messages または /var/log/ha-log の固有の値 ログメッセージを作成できません。 なぜでしょうか。

A. 矛盾したデータベースはアップグレードの問題が多分原因です。 アップグレードが、dbupgrade.sql をおよび再度実行した後これが起こったら見ること Cisco テクニカル サポートにエラーメッセージを報告して下さい。

Q. Cisco Clean Access Manager データベースは SQL によってリモートで問い合わせることができますか。

A. いいえ、サーバ ローカル接続だけをセキュリティの理由から可能にします。

Q. 手動データベース バックアップを行う方法

A. 次の手順を実行します。

  1. Cisco Clean Access Manager ボックスのルートとしてログイン。
  2. SU – postgres にユーザを切り替える postgres
  3. pg_dump – h 127.0.0.1 controlsmartdb – D –データベースのダンプするを作成する f sm_back_092004.sql。 このコマンドは /var/lib/pgsql ディレクトリの sm_back_092004.sql と呼ばれるファイルを作成します。
  4. SCP このファイル。

Q. データベースを再び作成する方法

A. この順序でこれらのコマンドを発行して下さい。

  1. service perfigo stop
  2. SU – postgres
  3. dropdb – h 127.0.0.1 controlsmartdb
  4. createdb – h 127.0.0.1 controlsmartdb
  5. psql – h 127.0.0.1 controlsmartdb < /perfigo/dbscripts/pg_createtable.sql
  6. postgres からのログアウト
  7. service perfigo start

Q. サービスが実行されているかどうか言う仕組み

A. これらのコマンドの 1 つを発行して下さい:

  • netstat - an [すべてのサービスに実行を示すため]

  • netstat - Al | グレップ http [Webサーバ受信を示すため]

  • ps - ef | グレップ http [Web サービスに実行を示すため]

  • ps - ef | グレップ Java [Java サービスに実行を示すため]

Q. どんなフィルターを Xbox Live のために設定する必要がありますか。

A. 最初に、設定されたフィルターおよびたとえば Xbox の MAC アドレスを、ロールに置かれて、非認証ロール。 それからロールのためのこのポリシーを設定して下さい。

Xbox Live サービスはロールで設定される必要がある 2 つの標準ポートを使用します(たとえば、非認証ロール)。

  • Kerberos 秒(UDP); ポート 88; UDP; 送受信

  • DNS クエリ(UDP); ポート 53; 送信

サービスはまたロールで 2 つのカスタム プロトコル 定義を設定されます必要とします(たとえば、非認証ロール)

  • 送信/受信 UDP 上のポート 3074

  • TCP 発信上のポート 3074

サービスはまたこれらのポートを設定することを必要とします:

  • ゲーム サーバポート(TCP): 22042

  • 音声チャット ポート(TCP/UDP): 22043-22050

  • ピア PING ポート(UDP): 13139

  • ピア クエリ ポート(UDP): 6500

注: VLAN を渡る Xbox を有効に したいと思う場合これらのツールの 1 つを使用して VLAN 間の Xbox をトンネル伝送して下さい:

GameCube (特定のゲームをチェックする必要がある場合もあります)に関しては:

  • ポート 4000: UDP および TCP 両方

Playstation 2 (特定のゲームをチェックする必要がある場合もあります)に関しては:

  • TCP ポート: 10070 - 10080

  • UDP ポート: 10070

Q. フレームを使用してログイン ページの右のフレームに使用するべきいくつかの JPG および html ページをアップ ロードしました。 ファイルはどこにあり、どのようにそれらを参照しますか。

A. ファイル アップロード タブを使用して Cisco Clean Access Manager にアップ ロードされるファイルは Cisco Clean Access Manager に /perfigo/control/tomcat/normal-webapps/admin にあります。

https://manageripaddress/admin/file_name.htm (URL のために)または <img src= " file_name.jpg "を > (JPG のために)右のフレーム ボックスのファイルを参照するために入力して下さい。

ca-mgr-faq2-4.gif

Q. 非認証ロールのための I 設定済みの帯域幅 管理は、および Cisco Clean Access サーバへの接続(または Cisco Clean Access Manager)今非常に遅く、時折時間を計ります。 なぜでしょうか。

A. リリース 3.2 では、Cisco Clean Access Manager と Cisco Clean Access サーバ間の通信帯域幅は帯域幅設定非認証ロールのによって支配されます。 設定がであるもので基づいて、それは通信帯域幅に影響を与え、時折設定送達に影響を与える場合があります。

Cisco はこの例ごとのバージョン 3.2 に於いての非認証役割のための帯域幅管理を設定 しないことを推奨します:

/image/gif/paws/63593/ca-mgr-faq2-5.gif

Q. OS ごとのユーザの数をログオンされて見つける方法

A. この最初コマンドはデータベース CLI にだけ得ます:

  • [マネージャ ルート] # psql - h 127.0.0.1 controlsmartdb - U postgres [入力して下さい]

第 2 コマンドはさまざまな OSes だけを得ます(一つずつ):

  • (user_info から数を*) os_name = 「WINDOWS_ALL」選択して下さい;

  • (user_info から数を*) os_name = 「WINDOWS_XP」選択して下さい;

  • (user_info から数を*) os_name = 'WINDOWS_98 選択して下さい;

  • (user_info から数を*) os_name = 'WINDOWS_95 選択して下さい;

  • (user_info から数を*) os_name = ' WINDOWS_ME 選択して下さい;

  • (user_info から数を*) os_name = 'WINDOWS_2K 選択して下さい;

  • (user_info から数を*) os_name = 「MAC_ALL」選択して下さい;

  • (user_info から数を*) os_name = 「MAC_OSX」選択して下さい;

  • (user_info から数を*) os_name = 「LINUX」選択して下さい;

Q. CAM は EAP-TLS または EAP-TTLS 認証をサポートしますか。

A. いいえ、CAM EAP-TLS および EAP-TTLS 認証をサポートしません。

Q. この[失敗]エラーをする何が: 「SNMP 失敗 [1.3.6.1.4.1.9.9.215.1.1.5.0]:No そのようなネーム」エラーメッセージはスイッチで表示されますか。

A. この問題は通常 CAM の Ports タブ > スイッチ管理 > デバイス > スイッチの設定を変更することを試みるとき発生します。 この問題を解決するために CAM 設定の SNMP コミュニティストリングを訂正して下さい。

Q. Clean Access Manager (CAM)に Clean Access サーバ(CAS)を追加する方法

A. CAM が CAS への接続を確立するように承認されたサーバで CAM の ACS を設定しなければなりません。 この場合 CAM に CAS を追加できます。 設定します Clean Access CAS に CAM を追加する方法に関する詳細についてはマネージャにきれいなアクセス サーバ 許可を参照して下さい。

Q. 「読むことが不可能のなぜするか /root/.chain.crt NAC で見つけられる証明書は RSA キー <= 2048 ...java.io.IO 例外だけを処理します: 認証対象キー、未知数キー spec: 無効 な RSA 剰余サイズ」。 エラーメッセージが現れますか。

A. 使用する認証をチェックして下さい。 Cisco Clean Access は 1024- および SSL 認証のための 2048 ビット RSA 変調長さだけをサポートします。

Q. SNMP によってスイッチの running-config を保存することを試みるとき実行コンフィギュレーション エラーメッセージを保存するために失敗するの得ます。 このエラーはなぜ発生し、これはどのように解決されますか。

A. running-config を保存するためにかけられる時間が失敗するためにプロセスが設定を保存します設定 される タイムアウトより多くであると実行コンフィギュレーション エラーメッセージを保存する失敗するの発生します。 時間をこのエラーを解決するために評価します増加して下さい。 タイムアウトを変更するために、OOB 管理 > プロファイル > SNMP レシーバ > 詳細設定を選択し、高い値に SNMP タイムアウトを変更して下さい。

Q. どんなポートを CAM および CAS、CAM/CAS および AD、CAS および NAC エージェントの間でオープンにする必要がありますか。

A. 両方の方法 CAM と CAS の間でオープンにする必要があるポートは TCP です: 443、1099、8995 および 8996

CAM/CAS と AD の間でオープンにする必要があるポートは TCP です: 88、135、389、445、636、1025、1026 および 3268 UDP: 88、389、636 および 3268。

CAS とクライアント(NAC エージェント)の間でオープンにする必要があるポートは TCP です: 443 UDP: 8905、8906。

詳細についてはポート接続を参照して下さい。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 63593