セキュリティ : Cisco Secure Access Control Server for Windows

Secure Access Control Server(ACS 3.x および 4.x)のトラブルシューティング

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2013 年 5 月 17 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、Cisco Secure Access Control Server(ACS)をトラブルシューティングし、エラー メッセージを解決する方法について説明します。

Cisco Secure Access Control System(ACS 5.x 以降)をトラブルシューティングする方法については、『Secure Access Control System(ACS 5.x 以降)のトラブルシューティング』を参照してください。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、Cisco Secure Access Control Server(ACS)バージョン 3.3 および 4.x に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

問題: CiscoSecure のインストールに必要なリソースがロックされている

この問題は、ACS サーバをアップグレードするときに発生することがあります。

解決策

古いログ ファイルが多くある場合、「Local Logging Configuration」ログをクリアする必要があります。

最後の 3 ファイルだけが保持されるように ACS ログを変更します。

  1. ACS GUI で、[System Configuration] > [Service Control] を選択します。 [Manage Directory] チェックボックスをオンにして、最後の 3 ファイルだけを保持します。 ACS を再起動して、アップグレードをテストします。

  2. オプション #1 でも問題が解決しない場合、いくつかのログ ファイルを手動で削除してみてください。

    ファイルを削除する前に、必ず専用フォルダにファイルをコピーしてください。

    1. ACS for Windows がインストールされている Windows サーバのローカル ドライブで、[Program Files] > [Cisco Secure ACS folder] を選択します。

    2. 次の各フォルダのすべてのログを削除します。

      • * CSAuth

      • * CSLog

      • * CSDbsync

      • * CSAdmin

      • * CSRadius

      • * CSTacacs

      • * CSMon

    3. PC を再起動して、アップグレードを再開します。

問題: Cannot Delete AAA Server, AAA Server is a Synchronization Partner

「Cannot Delete AAA Server, AAA Server is a Synchronization Partner」エラー メッセージは、[Network Configuration] でエントリを削除するときに表示されることがあります。

解決策

この問題を解決するには、次の手順を実行します。

  1. [Interface Configuration] を選択して、[RDBMS Synchronization] チェックボックスをオンにします。

  2. [System Configuration] > [RDBMS Synchronization] を選択して、同期パートナーの AAA グループから削除できない AAA サーバを削除します。

  3. これで、AAA サーバ グループを削除できます。

問題: アドレス 127.0.0.1 が予約されている

ACS SE 1113 が 2 ユニットあり、内部データベースをプライマリからセカンダリに複製すると、セカンダリ ユニットで次のエラー メッセージが表示されます。

Inbound database replication from ACS <secondary ACS unit name> denied - shared
    secret mismatch

[Network Configuration] で AAA Server Self のキーを変更しようとすると、エラー メッセージが表示されます。

http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-server-windows/99449-acsfolder-error-02.gif

解決策

127.0.0.1 自体の問題を解決するには、ACS for Windows 4.2 のフレッシュ インストールで .DMP ファイルをバックアップおよび復元し、目的の IP アドレスで 127.0.0.1 エントリを変更します。

注: Cisco バグ ID CSCso36620登録ユーザ専用)は、toggle nic コマンドにより GUI で AAA サーバ IP アドレスが 127.0.0.1 に変更されることを示します。 アプライアンスの元の IP アドレスを復元するには、set ip コマンドを実行します。

問題: Nexus スイッチの認証に失敗する

Nexus 5010 認証は TACACS+ では機能しません。 次のエラー メッセージも表示されることがあります。

Message-Type : Authen failed
Authen-Failure-Code : Key Mismatch

解決策

NDG で定義される共有秘密は、個々の設定デバイスよりも優先されます。 NDG Century PROD FSW で設定される共有秘密を参照して、Nexus スイッチで設定されている共有秘密と一致していることを確認します。

問題: ACS 1113 SE:スタティック IP アドレスを割り当てることができない

この問題は、スタティック IP アドレスを ACS 1113 SE で設定できない場合に発生します。

解決策

この問題を解決するには、applACS-4.1-set-ip-CSCsm73656-Patch.zip パッチ(Cisco Downloads登録ユーザ専用)から使用できます)をインストールします。 パッチはすべての ACS SE 4.1 バージョンに対応します。

問題: プライマリ サーバが Preempt でない

プライマリ ACS がダウンすると、セカンダリ サーバでユーザを認証します。 プライマリが再び起動すると、プライマリが稼働している状態でも、ユーザはセカンダリで認証されます。

解決策

デフォルトでは、ASA はデプレッション モードで機能します。 プライマリ ACS サーバがアクティブになったらプライマリで認証できるように、このモードを時限モードに変更します。

次のコマンドを使用します。

host(config)# aaa-server <tag> protocol radius
host(config)# reactivation mode timed
host(config)# aaa-server acsgroup deadtime 0

オプション: 0 ~ 1440 で期限を分単位で指定します。これは、グループの最後のサーバがディセーブルになってから、すべてのサーバが再びイネーブルになるまでの時間です。 デフォルトは 10 分です。

問題: 新しい NIC 設定を設定できない

この問題は、スタティック IP アドレスを ACS 1113 SE で設定すると発生します。

解決策

この問題を解決するには、ソフトウェアのイメージを変更します。

問題: ACS フォルダが別のアプリケーションによってロックされている

「ACS Folder is Locked by Another Application」エラー メッセージは、バージョン 3.3 から 4.0 へのアップグレードなど、ACS ソフトウェアのアップグレード中に表示されます。

この問題を解決するには、次の解決策を実行します。

解決策 1

次の手順を実行します。

  1. ACS ウィンドウで、[System Configuration] > [Service Control] > [Check the Manage Directory] チェックボックスをオンにします。

  2. [Keep only the last __ files] ボックスに 3 などの値を入力します。

  3. 再起動します。 これで、アップグレードできます。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-server-windows/99449-acsfolder-error-1.gif

解決策 2

解決策 1 で問題が解決しない場合、次の手順を実行します。

  1. 現在の ACS データベースをバックアップします。

    ACS データベースをバックアップする方法の詳細については、『Cisco Secure ACS for Windows Server ユーザ ガイド』の『Cisco Secure ACS のバックアップ』セクションを参照してください。

  2. clean.exe ファイルを実行して、ACS 3.3(または既存のバージョン)をアンインストールします。 このファイルは、ACS Utilities/support/clean の CD にあります。

  3. CD から ACS 3.3 を再インストールします。

  4. 手順 1 で保存したファイルからデータベースを復元します。

    ACS データベースを復元する方法の詳細については、『Cisco Secure ACS for Windows Server ユーザ ガイド』の『Cisco Secure ACS システムの復元』セクションを参照してください。

  5. ACS をバージョン 4.0 にアップグレードします。

    アップグレード手順の詳細については、『Cisco Secure ACS for Windows Server バージョン 4.0 インストール ガイド』を参照してください。

問題: イベント エラー

起動中、ACS SE は、「At least one service or driver failed during startup. use event viewer to examine the event log for details」を受け取ります。

解決策

ACS SE でのこのエラーは、ACS 機能には影響を与えません。 これは、Microsoft Windows エラー です。leavingcisco.com このエラーは、アプライアンスでモニタ、マウスおよびキーボードを使用できず、デフォルトでディセーブルになっている場合に発生します。

ACS アプライアンスは、セキュリティ強化されたロックダウン システムで、セキュリティを重視して設計されています。 このアプライアンスは、Windows 強化イメージを使用します。これは、すべての冗長サービスおよび接続を停止します。 また、すべてのウイルス、ワームおよび DDOS 攻撃をブロックします。 そのため、VNC 、DOS プロンプト、または Windows を設定する方法はありません。 マウス、キーボードおよびモニタなどのサービスが閉じています。

あまりないことですが、アプライアンス イメージの一部が壊れている場合もあります。 ほとんどの場合、アプライアンスのイメージを変更すると、この問題を解決できます。 また、ACS のイメージの変更も実行してみてください。

問題: Bad request from NAS

次のエラー メッセージが表示されます。

Bad request from NAS
OR
Authen-Failure-Code=Invalid message authenticator in EAP request 

解決策

このエラー メッセージは、通常、共有秘密キーの不一致、または「NDG defined with a key overriding the AAA client key」が原因で表示されます。

問題: ACS バージョン 3.3.3 を ACS 1113 にインストールできない

4.0 より前のバージョンのイメージを ACS SE 1113 にインストールできません。

解決策

ACS 4.0 以降だけが ACS SE 1113 で実行できます。 ACS SE をアップグレードする方法の詳細については、『Cisco Secure ACS Solution Engine へのアップグレードおよび移行』を参照してください。

問題: Reason: is currently being edited elsewhere

ACS ページを開くときに、このエラーが発生することがあります。 Reason: is currently being edited elsewhere.

解決策

この問題を解決するには、ACS サービスを再起動します。

問題: リモート エージェント サービスが開始しない

ユーザは、リモート エージェント サービスを実行できません。

解決策

サービスを開始するには、ユーザはローカルの管理ユーザである必要があります。

問題: "メールボックスを移動した後の「Error: ユーザ認証の間の外部 DB によって」サポートされない Auth タイプ

「Auth type not supported by External DB」エラーは、ユーザ認証中に表示されます。

解決策

ACS バージョン 3.3 を使用する場合、CHAP 認証プロトコルは Microsoft Windows データベース Active Directory(AD)でサポートされないので、このエラーが発生します。 この問題を解決するには、CHAP ではなく PAP を使用します。 ACS バージョン 3.3 のプロトコル データベースの互換性の詳細については、『認証プロトコル データベースの互換性』を参照してください。

問題: ACS に ping できない

ACS SE を ping できません。

解決策

システム構成の CSA エージェントを消して下さい ----> アプライアンス 設定 4.2 への ACS SE バージョンの ping応答を先に有効に するため。 ACS バージョン 4.2 以降の場合、Cisco.com から使用できるパッチをダウンロードおよびインストールします。 詳細については、『ping のオンおよびオフの切り替え』を参照してください。

問題: ACS のアップグレードが完了した後でも「Appliance upgrade in progress」メッセージが表示される

「Appliance upgrade in progress」メッセージが、ACS アップグレード後にも表示されます。

解決策

アップグレード後、ACS がサービスを開始または停止できません。

この問題を解決するには、次の手順を実行します。

  1. 異なる Admin アカウントで ACS アプライアンスにログインします。

  2. [System Configuration] タブの [Appliance Upgrade] で、[Refresh] または [Download] ボタンを押します。

    詳細は、Cisco Bug ID CSCsg89042登録ユーザ専用)を参照してください。

    GUI を使用できない場合、ACS アプライアンスを再起動してみてください。

問題: 複製後にパスワードがリセットされる

複製後、新しいパスワードが古いパスワードにリセットされます。

解決策

この問題は、ユーザがプライマリ ACS で認証されない場合に発生します。 複製が行われると、複製は双方向ではないので、プライマリは、そのポリシーをセカンダリ ACS にプッシュします。 これにより、パスワードが古いパスワードにリセットされます。

この問題を解決するには、ユーザがプライマリ ACS で認証されます。

問題: ACS に関する DST の問題

DST 問題が ACS で発生します。

解決策

ACS の夏時間(DST)問題を解決するには、次のパッチをダウンロードおよびインストールします。

  1. applAcs-4.1.4.13.7-CSUpdate.zip

  2. applAcs-4.1.4.13.7.zip

    注: 最初に、csupdate パッチを適用します。 次に、累積パッチをインストールします。

問題: "メールボックスを移動した後の「Error: Failed to get NIC configuration: (null) (FFFFFFFF)」が表示される

[Error: Failed to get NIC configuration: (null) (FFFFFFFF)」エラーが、ACS アプライアンスで発生します。

解決策

このエラーは、通常、ACS イメージの正しいバージョンが ACS バージョンで使用されない場合に発生します。 これは、互換性問題です。 この問題を解決するには、ACS アプライアンスのイメージを変更します。

ACS アプライアンスのイメージの変更の詳細については、『アプライアンス ハード ドライブのイメージの変更』を参照してください。

問題: ACS アプライアンスで SSHv1 をディセーブルにして SSHv2 のみイネーブルにすることができない

SSHv1 をディセーブルにして、SSHv2 のみを ACS アプライアンスでイネーブルにできません。

解決策

SSHv1 をディセーブルにして、SSHv2 のみをイネーブルにすることはできません。 SSHv1 および SSHv2 の両方がイネーブルにされ、個別にディセーブルにすることはできません。

問題: ACS アプライアンスを出荷時のデフォルトにリセットできない

このセクションでは、ACS アプライアンスを工場出荷時設定にリセットできない場合の対処法について説明します。

解決策

acs reset-config コマンドには、設定のリセット オプションがあります。このオプションが発行されると、すべての ACS 設定情報がリセットされますが、ネットワーク設定などのアプライアンス設定は保持されます。 工場出荷時設定にリセットする場合、アプライアンスのイメージを変更する必要があります。

問題: NDG の問題で ACS での TACACS+ 認証に失敗する

このセクションでは、ネットワーク デバイス グループ(NDG)が設定されているときに TACACS+ で認証が失敗する理由について説明します。

解決策

同じ AAA クライアントが、RADIUS クライアントと TACACS クライアントとして、2 つの異なる NDG にマッピングされています。NDG レベル外部データベース認証は、RADIUS クライアントの NDG でイネーブルです。

TACACS+ ユーザは、ACS 内部データ ベースで設定されます。 TACACS+ 認証が要求されると、ACS は、RADIUS と同じクライアントが設定されている NDG を参照します。

この問題を解決するには、外部データベース認証チェックボックスを RADIUS NDG から削除します。

問題: Windows 外部データベースが動作しない

このセクションはユーザ認証が外部とデータベース操作上エラーなぜ失敗するか説明します。

解決策

次に、可能性の原因と解決策を示します。

  • リモート エージェント(RA)バージョンが ACS バージョンと一致しません。 RA の正しいバージョンをインストールします。

  • リモート エージェント サービスが停止しています。 RA サービスを再起動します。

  • ACS を最新の使用可能バージョンにアップグレードします。

問題: External DB user invalid or bad password

このセクションでは、ACS での認証時に「External DB user invalid or bad password」エラーが発生する理由について説明します。

解決策

この問題を解決するには、次のトラブルシューティング ティップスを参照します。

  • AD メンバーシップまたはシステム名に関連する変更が ACS サーバで行われた場合、再起動して変更を適用します。

  • ACS とドメイン サーバの接続を確認します。

  • ドメイン サーバのセキュリティ ポリシーで、ACS による Active Directory でのユーザ名のクエリを許可する必要があります。

  • ACS とドメイン サーバで双方向の信頼関係が確立されていることを確認します。

  • Local および DomainAdmin 権限があるサーバに ACS がインストールされていることを確認します。

  • ユーザ名とパスワードが正しいことを確認します。

問題: IE8 を使用してアクセスすると ACS でエラーが発生する

faultCode: faultString Server.Error.Request: 「HTTP 要求 エラー」faultDetail: 「エラー: [IOErrorEvent type="ioError" bubbles=false cancelable=false eventPhase=2 text="Error #2032"]. URL: /acsview/LoadAuthenticationTrendsPortlet.do'」エラーは、Internet Explorer 8(IE8)を使用して ACS にアクセスするときに ACS で発生します。

解決策

このエラーは、IE8 が ACS でサポートされていないために発生します。 この問題を解決するには、別のブラウザを使用します。

問題: エラー「eap_peap type not configured」"

「eap_peap type not configured」エラーは、ワイヤレス認証を実行しようとするときに ACS で発生します。

解決策

このエラーは、次のいずれかの原因で ACS で発生します。

  1. EAP-PEAP 認証を要求するサプリカントが ACS で設定されていません。 この問題を解決するには、EAP-MSCHAPv2 および EAP-GTC を [Global Authentication] ページからイネーブルにし、NAP をプライマリ サーバでディセーブルにします。

  2. ワイヤレス ユーザが ACS サーバで認証しようとすると、ログインが失敗し、エラー メッセージ「EAP_PEAP Type not configured」が表示されます。 これは、Microsoft Windows AD データベースで設定されているユーザを認証する場合、およびローカル ACS データベースのユーザを認証する場合に発生します。

  3. WLC が FIPS のキーラップを使用しますが、ACS の設定が異なります。 この問題を解決するには、ACS で同様に設定します。

問題: Cisco Secure ACS リモート エージェントのリモート ロギング機能を使用する代わりに Cisco Secure ACS Solution Engine のローカル ロギングを実行することができない

Cisco Secure ACS リモート エージェントのリモート ログ機能ではなく、Cisco Secure ACS Solution Engine でローカルログを実行できません。

解決策

Cisco Secure ACS リモート エージェントのリモート ログ機能ではなく、Cisco Secure ACS Solution Engine でローカルログを実行することはできません。 ただし、Cisco Secure ACS Solution Engine のローカル ログは、サイズが制限されます。 これにより、ログ ファイルが 7 日後にリサイクルされます。 Cisco Secure ACS リモート エージェントは、完全な制限のないログ機能をリモート サーバに提供します。

問題: すべてのユーザと、そのユーザの現在のパスワード認証方法を示す完全なリストを生成するにはどうすればよいか

ACS 4.2 では、ユーザは Windows/LDAP/OTP などのさまざまな方法で認証されます。 ユーザとそのパスワード認証方法の完全なリストを準備する方法はありますか。

解決策

これは、手動で実行する場合、時間がかかります。 ACS リリース 4.2.1.15 では、これを自動で実行できます。

次の手順を実行します。

  1. ACS 内部データ ベースのバックアップを作成します。

  2. CSUtil.exe -dumpUSERS コマンドを実行します。

    すべての利用可能なユーザに使用できるパスワード認証方法を含むテキスト ファイル「userauditinfo.txt」が生成されます。

問題: ACS が mac-address のデリミタを制御できない

ACS が、mac-address のデリミタを制御できません。 デリミタを変更または追加できません。

解決策

ACS は、mac-address のデリミタを制御するように設計されていないので、デリミタを変更または追加できません。 クライアントまたは WLC はデリミタを制御できます。

問題: 「Failed to export user database. Please check there is sufficient disk space then rerun setup. Set up will now exit.」

ACS for Windows をアップグレードするときにバックアップ データベースを復元できません。 「insufficient disk space」エラー メッセージが表示されます。

解決策

次の回避策を実行します。

  1. データベースからバックアップを収集します。

  2. ACS バージョンのインストール ファイルのフル パッケージで使用できるクリーン ユーティリティを使用して、ACS ソフトウェアをアンインストールします。

  3. 同じバージョンのソフトウェアを再インストールします。

  4. データベースを復元します。

  5. ACS のバージョンを再びアップグレードします。

問題: ACS が Active Directory ドメインに参加できず、ユーザを認証できない

ACS が、Active Directory ドメインに参加できず、ユーザを認証できません。 クロック スキュー エラーが発生します。

解決策

この問題を解決するには、ACS のタイムゾーンと時間 Active Directory のタイムゾーンと時間に合わせて変更します。

問題: Could not generate valid password to perform the Auth test

「Could not generate valid password to perform the Auth test」エラー メッセージが ACS で表示されます。

解決策

この問題を解決するには、[System Configuration] に移動して、[Local Password Management] をクリックします。 パスワードの長さが 9 文字を超えていないことを確認します。 必要な場合 、パスワードの長さを 4 ~ 8 文字に変更します。

問題: Cannot login to Cisco ACS, All Administration ports are currently in use

管理者として認証すると、成功を示すメッセージが表示されます。 次に、「Cannot login to CiscoSecure ACS, all Administration ports are currently in use. Contact the System Administrator for more details.」を示すページに直接転送されます。 これは、ACS 4.X で発生します。

解決策

このエラー メッセージは、GUI オート リダイレクトに割り当てられているポートの範囲がすべて予約済みで、他のユーザに使用されていることを示しています。 この問題を解決するには、次の手順を実行します。

  1. csadmin サービスを停止し、ログインします。

  2. 管理者の HTTP ポート割り当てポリシーを確認します。 完全なパスを次に示します。

    [Administration Control] > [Access Policy] > [HTTP port Allocation] > [Restrict Administration Sessions to the following port range From Port n to Port n]

  3. 要件に応じて、ポートの範囲を増やします。 詳細については、『HTTP の設定』を参照してください。

  4. [Session Policy] の [Session idle-time-out] の値を減らします。 完全なパスを次に示します。

    [Administration Control] > [Session Policy] > [Session idle timeout]

    詳細については、『セッション ポリシー』を参照してください。

  5. ACS を再ロードすることで、問題を解決できることもあります。

問題: ODBC operation failed with following information: message=[Sybase][ODBC Driver][Adaptive Server Anywhere].....

このエラーは、ACS バージョン 4.X で発生します。 ODBC operation failed with following information: message=[Sybase][ODBC Driver][Adaptive Server Anywhere]......

解決策

Sybase サーバが同じマシンにインストールされていない場合、ACS バージョン 4.0 は正しくインストールされません。 CiscoWorks および ACS が同じマシンにある場合、このエラー メッセージが表示され、ACS インストール問題が発生します。 これは、CiscoWorks がデータベースに Sybase を使用するために発生します。 このエラーを回避するには、PC で SQL Anywhere を使用する他のアプリケーションがないことを確認し、ソフトウェアを正常にインストールする必要があります。 詳細については、『ACS のインストールまたはアップグレードの準備』の『注意事項』セクションを参照してください。

問題: ACS と Active Directory を統合できない

ACS を Active Directory と統合できず、「Samba Port Status Error」エラー メッセージが表示されます。

解決策

この問題を解決するには、次のポートが Active Directory 機能をサポートするようにオープンになっていることを確認します。

  • Samba ポート - TCP 445

  • LDAP - TCP 389

  • LDAP - UDP 389

  • KDC - TCP 88

  • kpasswd - TCP 464

  • NTP- UDP 123

  • グローバル カタログ - TCP - 3268

  • DNS - UDP 53

ACS-AD 統合を完了するには、ACS がドメインのすべての DC にアクセスできる必要があります。 ACS からアクセスできない DC が 1 つでもあると、統合は失敗します。 詳細については、Cisco Bug ID CSCte92062登録ユーザ専用)を参照してください。

問題: CSCOacs_Internal_Operations_Diagnostics ERROR Could not start message bus

なぜ ACS で「CSCOacs_Internal_Operations_Diagnostics ERROR Could not start message bus」エラー メッセージが表示されるのですか。

解決策

これは、表面上のエラーで、認証/認可/ACS パフォーマンスに影響がない限り重要な問題ではありません。このエラー メッセージは、内部メッセージ バス接続が再確立されることを通知しているだけです。

問題: 13017 Received TACACS+ packet from unknown Network Device or AAA Client

なぜ ACS で「13017 Received TACACS+ packet from unknown Network Device or AAA Client」エラー メッセージが表示されるのですか。

解決策

このエラーは、通常、ACS の AAA クライアントで正しいインターフェイスが設定されていないか、ACS で設定されている IP アドレスが NAT される場合に発生します。 つまり、正しい IP アドレスが ACS で設定されていないため、このエラーが発生します。 これは、ip tacacs source-interface <interface-name/id> コマンドがルータで実行されたが、AAA クライアント アドレスと同じ IP アドレスが ACS で使用されている場合に発生することがあります。 また、IOS でシングル接続をディセーブルにすると、この問題を解決できることもあります。

問題: 認証履歴(RADIUS の成功または失敗)および syslogs を ACS から削除できない

認証履歴(RADIUS の成功または失敗)および syslogs を ACS から削除できません。

解決策

認証履歴を ACS から削除することはできません。 また、syslog として ACS 自体に送信されるログも削除できません。

問題: 管理プロセスが実行中でなく、「running (HTTP is nonresponsive)」と表示される

管理プロセスが実行中でなく、「running (HTTP is nonresponsive)」が表示されます。

解決策

この問題を解決するには、古い設定のバックアップを復元して、ACS のイメージを変更し再ロードします。

問題: ACS データベースをバックアップするとき、SFTP と一緒にセキュア ID トークンを使用可能か

解決策

いいえ、できません。 SFTP には、スタティック ユーザ名/パスワードが必要です。 セキュア ID を使用する場合、スタティック ユーザ名/パスワードを提供できません。

問題: インタラクティブ ビューアを使用してレポートのフィルタリングを実行できない

インタラクティブ ビューアを使用して ACS レポートのフィルタリングを実行しようとすると、 すべてのボタンがグレイ表示になり、右クリック メニュー オプションが正しく表示されません。 ブラウザは Internet Explorer 8 を使用しています。

解決策

これは、ブラウザに関連する問題です。 この操作を実行するには、Firefox などの他のブラウザを使用してください。 また、IE8 で [Compatitibility View] をイネーブルにして、この操作を実行できる場合もあります。

問題: 認証プロンプトが最初の接続時にのみ表示され、後続の接続では表示されない

Windows XP ホストが 3750G スイッチを介して 802.1x 要求を ACS に送信すると、デバイスが最初にスイッチに接続しようとした場合だけ、認証プロンプトが表示されます。 以降の接続はすべて認証なしで確立されます。 この原因は何ですか。また、接続が確立されるたびに認証プロンプトが表示されるようにするにはどのようにすればよいのですか。

解決策

この問題を解決するには、[Network Connections] > [Local Area Connection] > [Properties] > [Authentication] に移動し、[Cache user information for subsequent connections to this network] オプションがオフになっていることを確認します。

問題: ACS で Apple デバイスを使用しているときに認証プロンプトが表示される

ACS で Apple デバイスを使用するときに証明書を確認する認証プロンプトが表示されるのはなぜですか。 この認証プロンプトを表示しないようにすることはできますか。

解決策

認証プロンプトは、ACS ではなく、Apple iDevices により生成されます。 Apple デバイスが認証プロンプトを表示しないように ACS を設定することはできません。

問題: ACS エラー メッセージ:Not all user Active Directory groups are retrieved successfully...

「Not all user Active Directory groups are retrieved successfully. One or more of the group's canonical name was not retrieved」エラー メッセージが ACS で表示されるのはなぜですか。

解決策

この問題は、AD のグループ名でユニコード文字が使用される場合に発生します。 ACS は AD グループを ASCII テキストとして参照するので、ユニコード文字は正しく変換されません。 そのため、グループ メンバーシップは取得されません。 この問題を解決するには、AD 設定からユニコード文字を削除します。

問題: ACS ではプロキシ認証要求が記録されない

RADIUS プロキシングがイネーブルの場合でも、ACS でプロキシ認証要求が記録されません。

解決策

ACS ではプロキシ認証要求が記録されません。 ACS は、要求を受け入れ、プロキシ サーバに転送するだけです。 ログは、プロキシ RADIUS サーバだけで表示できます。 ACS は、パケットの認証/アカウンティングの処理に影響しません。 そのため、ACS に記録されるプロキシ パケットのメッセージはありません。

問題: リポジトリが GUI から作成された場合、ACS の設定が失われる。

CLI で変更が行われた後でリポジトリが GUI から作成されると、ACS の設定が失われます。

解決策

リポジトリを GUI から作成する場合、CLI を使用して変更を行うと、ACS の設定が失われ、予期せぬ動作が発生します。 ACS を停止および起動すると、リポジトリは、GUI により停止される設定に基づいて再作成されます。 GUI により作成されるリポジトリに対して CLI を使用して行った変更は、ACS アプリケーション設定には適用されません。

問題: RADIUS IETF 属性「Login-Service」に対して SSH セッションを使用することができない

RADIUS IETF 属性「Login-Service」に対して SSH セッションを使用することができません。

解決策

ACS IETF 属性は RFC 標準で、変更できないので、RADIUS IETF 属性「Login-Service」に対して SSH セッションを使用することができません。

問題: エラー「value too long (ACS Server Name,TacacsAuthentication), Alarm details is "Please see the collector log for details"」

「value too long (<ACS Server Name>,TacacsAuthentication), Alarm details is "Please see the collector log for details"」エラー メッセージが表示されます。

解決策

この問題を解決するには、次の各項目を確認してください。

  • ACS のコンソール ポートにケーブルが接続されていることを確認します。

  • 不要なケーブルを取り外します。

  • ターミナル サーバに接続されているケーブルを再固定します。

問題: SSH v1 が実行中の IOS デバイスで、ACS 4.x ローカル ユーザのパスワード変更が機能しない

ユーザがシステムに SSH で接続し、期限切れの TACACS パスワードを使用すると、パスワードを変更するプロンプトが表示されますが、 このパスワードが正常に機能しません。

解決策

この問題を解決するには、SSH v2 の「キーボード インタラクティブ」認証を設定した SSH v2 が必要です。 この動作は、Cisco Bug ID CSCin91851登録ユーザ専用)で確認できます。

問題: ACS 4.2 のリモート ロギングが機能しない

ACS リモート エージェントが、ACS Solution Engine からメッセージを記録できず、次のエラー メッセージが表示されます。

CSLogAgent - Can't get max number of connections maxNumberOfConnections using default 32

解決策

リモート エージェントをメンバ サーバからアンインストールして、ドメイン ユーザ アカウントで再インストールしてみてください。

ACS からのユーザを認証するために TACACS+ を使用する IOS デバイスが、ローカル データベースにフォールバックする

どんなシナリオで IOSか。 TACACS+ を使用するデバイス ACS フォールバックからローカルデータベースにユーザを認証するためか。

解決策

ACS からのユーザを認証するために TACACS+ を使用する IOS デバイスは、次の 2 つの状況でローカル データベースにフォールバックします。

  • ACS(TACACS+)サーバが応答しない場合。 IOS デバッグ メッセージで、TACACS+ サーバのアクセスで「timeout」と表示されます。 この場合、フォールバックがローカル データベースに設定されていると、IOS はローカル データベース ユーザにフォールバックします。

  • TACACS+ サーバが ERROR メッセージを送信して認証要求に応答する場合。

問題: Config Error: Illegal enumeration value 'Name' in key CiscoACS\Dictionaries\005\002\Enumerations - wrong type, must be int

このエラー メッセージは、CSUTIL または RDBMS sync を使用して、新しい UDV およびその VSA を ACS 4.1 に追加する場合に表示されます。

Config Error: Illegal
  enumeration value 'Name' in key CiscoACS\Dictionaries\005\002\Enumerations -
  wrong type, must be int

解決策

この問題は、VSA が ACS 4.1.4.13 に追加されるときに発生します。 詳細については、Cisco Bug ID CSCsq36428登録ユーザ専用)を参照してください。

問題: Microsoft Windows Server サービスがリモート コードの実行を許可する

ACS ソリューション エンジン 4.2.0.124 はとして記述されている脆弱性 MS08-67 に脆弱であるためにスキャンされ、確認されています: Microsoft Windows サーバ サービスはリモート コード 実行を可能にする可能性がありますleavingcisco.com

解決策

パッチ ファイル名 appl_w2K3_hotfix_kb958644.zip登録ユーザのみ)を ACS Solution Engine に適用します。 詳細については、Cisco Bug ID CSCsy71711登録ユーザ専用)を参照してください。

問題: エラー: Can not initialize SchemeLayer

「Can not initialize SchemeLayer」エラー メッセージが、CSUtil.exe -u の実行中に表示されます。

解決策

次の手順を実行します。

  1. ロケーション documents and settings\administrator\applicationdata\Microsoft\Crypto\RSA\S-1-5xxxxxxxxxx にあるアプリケーションをインストールした admin アカウントでフォルダの名前を変更します。

  2. ACS サービスを再起動します。

これにより、別のフォルダが作成され、壊れた crypto api が修正されます。 詳細については、Cisco Bug ID CSCse90116登録ユーザ専用)を参照してください。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 99449