Cisco Secure ACS ユーザ ガイド Windows 版 Version 3.3
トラブルシューティング
トラブルシューティング
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

トラブルシューティング

管理上の問題

ブラウザの問題

Cisco IOS の問題

データベースの問題

ダイヤルイン接続の問題

デバッグの問題

プロキシの問題

インストールおよびアップグレードの問題

MaxSessions の問題

レポートの問題

サード パーティ製サーバの問題

ユーザ認証の問題

TACACS+ および RADIUS のアトリビュートの問題

トラブルシューティング

この付録では、基本的な障害に関する情報を提供し、その解決方法について説明します。

左側のカラムを調べて、解決すべき状態を特定します。次に、対応する回復処置を右側のカラムで読み、慎重に実行します。

この付録は、次の項で構成されています。

「管理上の問題」

「ブラウザの問題」

「Cisco IOS の問題」

「データベースの問題」

「ダイヤルイン接続の問題」

「デバッグの問題」

「プロキシの問題」

「インストールおよびアップグレードの問題」

「MaxSessions の問題」

「レポートの問題」

「サード パーティ製サーバの問題」

「ユーザ認証の問題」

「TACACS+ および RADIUS のアトリビュートの問題」

管理上の問題

状態
回復処置

リモート管理者が、ブラウザで Cisco Secure ACS の HTML インターフェイスにアクセスできない、またはアクセスが許可されないという警告を受信する。

サポートされているブラウザを使用していることを確認します。サポートされているブラウザのリストは、『 Release Notes for Cisco Secure Access Control Server for Windows Server Version 3.3 』を参照してください。

Cisco Secure ACS に ping を実行し、接続を確認してください。

リモート管理者が Administration Control に登録済みの有効な管理者名およびパスワードを使用しているかどうかを確認してください。

Java 機能がブラウザで有効になっているかどうかを確認してください。

リモート管理者が Cisco Secure ACS を管理するときに、ファイアウォール経由、ネットワーク アドレス変換を行うデバイス経由、または HTTP プロキシ サーバを使用するように設定されたブラウザ経由のいずれを使用するかを決めてください。これらのネットワーク シナリオで HTML インターフェイスにアクセスする方法の詳細については、「ネットワーク環境と管理セッション」を参照してください。

リモート管理者がログインできない。

Allow only listed IP addresses to connect オプションが選択されていますが、開始 IP アドレスと終了 IP アドレスがリストに入力されていません。 Administrator Control > Access Policy に移動し、 Start IP Address End IP Address を指定してください。

権限のないユーザがログインできる。

Reject listed IP addresses オプションが選択されていますが、開始 IP アドレスまたは終了 IP アドレスがリストに入力されていません。 Administrator Control > Access Policy に移動し、 Start IP Address Stop IP Address を指定してください。

Restart Services 機能が動作しない。

この問題は、システムが応答していない場合に発生します。手動でサービスを再起動するには、Windows の Start メニューから Settings > Control Panel > Administrative Tools > Services を選択します。 CSAdmin をクリックし、 Stop をクリックしてから Start をクリックします。

手動で再起動してもサービスが応答しない場合は、サーバをリブートしてください。

イベント通知対象に設定されている Administrator に電子メールが送信されない。

SMTP サーバ名が正しいかどうか確認してください。サーバ名が正しいときは、Cisco Secure ACS を実行しているコンピュータで、SMTP サーバに対して ping を実行できるか、サード パーティ製の電子メール ソフトウェア パッケージを使って電子メールを送信できるかどうかを確認してください。電子メール アドレスでアンダースコアを使用していないかどうかを確認します。

リモート管理者が、ブラウズ中に「Logon failed.. . protocol error」というメッセージを受信する。

CSADMIN サービスを再起動します。CSADMIN を再起動するには、Windows の Start メニューから Control Panel > Services を選択します。 CSAdmin をクリックし、 Stop をクリックしてから Start をクリックします。

必要に応じて、サーバを再起動します。

リモートの管理者が、ブラウザから Cisco Secure ACS にアクセスできない、またはアクセスが許可されないという警告を受信する。

PIX Firewall 上で Network Address Translation が有効である場合、ファイアウォール経由の管理は動作しません。

Cisco Secure ACS をファイアウォール経由で管理するには、 Administrator Control > Access Policy で HTTP ポート範囲を設定する必要があります。Cisco Secure ACS で指定された範囲にあるすべてのポートで、PIX Firewall が HTTP トラフィックを許可するように設定する必要があります。詳細については、「アクセス ポリシー」を参照してください。

Cisco Secure ACS にログインできない。認証に失敗する。

NT レジストリをバックアップします。

regedit コマンドを使用して、次の場所からユーザを削除します。

HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\CiscoAAA##\CSAdmin\Administrators

Administrators キーの下に、作成した管理者がすべて表示されます。ユーザを削除してレジストリを終了します。Cisco Secure ACS にアクセスする際、ユーザ名とパスワードの入力を求められなくなります。Cisco Secure ACS HTML インターフェイスを立ち上げた後で、管理者を再び追加できます。

ブラウザの問題

状態
回復処置

ブラウザで、Cisco Secure ACS の HTML インターフェイスにアクセスできない。

Internet Explorer または Netscape Navigator を開き、 Help > About を選択して、ブラウザのバージョンを確認してください。Cisco Secure ACS がサポートしているブラウザのリストについては、「システム要件」を参照してください。ブラウザの特定バージョンに関する既知の問題については、そのバージョンのリリース ノートを参照してください。

リモート管理セッションに影響を与える各種のネットワーク シナリオについては、「ネットワーク環境と管理セッション」を参照してください。

ブラウザに、セッション接続が切断されたという Java メッセージが表示される。

リモート管理者の Session idle timeout の値を調べてください。これは、 Administration Control セクションの Session Policy Setup ページにあります。必要に応じて、この値を大きくしてください。

Administrator データべースが破損していると考えられる。

リモート Netscape クライアントがパスワードをキャッシングしています。間違ったパスワードを入力した場合、そのパスワードがキャッシュされます。正しいパスワードで再認証を試みるときに間違ったパスワードが送信されます。キャッシュを消去してから再認証を行うか、いったんブラウザを閉じてから新しいセッションを開始してください。

リモート管理者が Cisco Secure ACS HTML インターフェイスをブラウズできないことがある。

クライアント ブラウザでプロキシ サーバが設定されていないことを確認します。Cisco Secure ACS は、リモート管理セッション用として HTTP プロキシをサポートしていません。プロキシ サーバの設定を無効にします。

Cisco IOS の問題

状態
回復処置

show eou all または show eou ip address の結果、実際のポスチャ確認の結果と一致しないポスチャが表示される、またはポスチャの代わりに「-------」が表示される。

表示されるポスチャが「-------」の場合、AAA クライアントは、Cisco IOS/PIX RADIUS cisco-av-pair ベンダー固有アトリビュート(VSA)内の posture-token アトリビュート値(AV)を受信していません。表示されるポスチャが実際のポスチャ確認の結果に対応していない場合、AAA クライアントは posture-token AV ペアの正しい値を受信しています。

ネットワーク アドミッション コントロール(NAC)データベースのグループ マッピングをチェックし、正しいユーザ グループが各システム ポスチャ トークン(SPT)に関連付けられていることを確認します。NAC 用に設定されたユーザ グループで、Cisco IOS/PIX cisco-av-pair VSA が正しく設定されていることを確認します。たとえば、Healthy SPT を受信する NAC クライアントを許可するように設定されたグループで、 [009\001] cisco-av-pair チェックボックスがオンになっていること、および [009\001] cisco-av-pair テキスト ボックスに次の文字列が表示されることを確認します。

posture-token=Healthy

注意 posture-token AV ペアは、Cisco Secure ACS が AAA クライアントに対して、ポスチャ確認によって返された SPT を通知する唯一の手段です。posture-token AV ペアの設定は手動で行うため、posture-token の設定に誤りがあると、誤った SPT が AAA クライアントに送信されることがあり、AV ペアの名前に入力ミスがあると、AAA クライアントが SPT をまったく受信できなくなることがあります。

) AV ペアの名前は、大文字小文字が区別されます。


NAC データベースのグループ マッピングについては、「NAC グループ マッピング」を参照してください。Cisco IOS/PIX cisco-av-pair VSA の詳細については、「cisco-av-pair RADIUS アトリビュートについて」を参照してください。

EXEC コマンドでは、Cisco IOS コマンドがチェックのときに拒否されない。

AAA クライアントでの Cisco IOS の設定を確認してください。次の Cisco IOS コマンドが存在しない場合は、AAA クライアントの設定に追加します。

aaa authorization command <0-15> default group TACACS+

テキスト ボックスの引数の正しい構文は、 permit argument または deny argument です。

AAA クライアントの設定が誤っているため、Administrator が AAA クライアントからロックアウトされている。

AAA クライアントでフォールバック メソッドを設定している場合は、AAA サーバへの接続を無効にし、ローカルまたはラインのユーザ名とパスワードを使用してログインします。

AAA クライアントへの直接接続をコンソール ポートで試みてください。この方法で問題が解決しない場合は、AAA クライアントのマニュアルを調べるか、Cisco.com の Password Recovery Procedures ページにアクセスして、特定の AAA クライアントに関する情報を確認してください。

Cisco 12.0.5.T でサポートされない IETF RADIUS アトリビュート

Cisco IOS Release 11.1 には、RADIUS (IETF) アトリビュートが組み込まれています。しかし、アトリビュートの中には、サポートされていないもの、または Cisco IOS ソフトウェア Release 11.1 以降のバージョンが必要となるものがあります。詳細については、Cisco.com の RADIUS Attributes ページを参照してください。

aaa authentication enable default tacacs+ の実行後、イネーブル モードに入ることができない。エラー メッセージ「Error in authentication on the router」が表示される。

ACS へのログインの失敗を確認してください。ログに「CS password invalid」と記されている場合は、ユーザがイネーブル パスワードを設定していない可能性があります。 Advanced TACACS+ Settings セクションで TACACS+ Enable Password を設定します。

ユーザ設定オプションに Advanced TACACS+ Settings セクションが表示されない場合は、 Interface Configuration > Advanced Configuration Options > Advanced TACACS+ Features に移動し、そのオプションを選択して、TACACS+ 設定をユーザ設定に表示させます。次に、AAA クライアントの最大特権レベル(通常は 15)を選択し、ユーザが使用する TACACS+ イネーブル パスワードを入力します。

データベースの問題

状態
回復処置

RDBMS Synchronization が正常に動作しない。

正しいサーバが Partners リストの中にあるかどうか確認してください。

Database Replication が正常に動作しない。

サーバが Send または Receive に正しく設定されているかどうかを確認してください。

送信側のサーバで、Replication リストの中に受信サーバがあるかどうか確認してください。

受信側のサーバで、送信サーバが Accept Replication from リストで選択されているかどうかを確認してください。また、送信側のサーバが複製パートナー リストの中にないことを確認してください。

送信側の Cisco Secure ACS の複製スケジュールと、受信側の Cisco Secure ACS の複製スケジュールに矛盾がないか確認してください。

受信側のサーバにデュアル ネットワーク カードが使用されている場合、送信側のサーバで、Network Configuration セクションの AAA Servers テーブルに AAA サーバを追加します。AAA サーバは受信サーバの IP アドレスごとに追加します。送信側のサーバにデュアル ネットワーク カードが使用されている場合、受信側のサーバで、ネットワーク設定の AAA Servers テーブルに AAA サーバを追加します。AAA サーバは送信サーバの IP アドレスごとに追加します。

外部ユーザ データベースが Group Mapping セクションで使用できない。

External User Databases セクションで外部データベースが設定されていないか、ユーザ名やパスワードが正しく入力されていません。該当する外部データベースをクリックして設定します。ユーザ名とパスワードが正しく入力されているかどうかを確認してください。

外部データベースが正常に動作しない。

Cisco Secure ACS ドメインとほかのドメインとの間に、双方向の信頼性(ダイヤルイン チェック用)が確立されているかどうかを確認してください。

Cisco Secure ACS がメンバー サーバにインストールされ、ドメイン コントローラに対する認証を行っている場合は、次の URL で『Authentication Failures When ACS/NT 3.0 Is Authenticating to Active Directory』 Field Notice を参照してください。

http://www.cisco.com/en/US/products/sw/secursw/ps2086/
products_field_notice09186a00800b1583.shtml

Novell NDS データベース認証がインストールできない。

Novell Requestor が、Cisco Secure ACS と同一の Windows サーバにインストールされていることを確認してください。

未知ユーザが認証されない。

External User Databases > Unknown User Policy に移動します。 Check the following external user databases オプションを選択します。External Databases リストから、未知ユーザの認証時に照合するデータベースを選択します。-->(右矢印ボタン)をクリックして、そのデータベースを Selected Databases リストに追加します。 Up または Down をクリックし、選択したデータベースを認証階層の必要な位置に移動します。

Cisco Secure ACS の未知ユーザ機能を使用している場合、外部データベースは PAP だけを使用して認証可能です。

Novell NDS または Generic LDAP Group Mapping が正しく動作しない。

Group Mapping を、該当するデータベースに対して正しく設定したかどうか確認してください。

詳細については、 第 16 章「ユーザ グループ マッピングと仕様」 を参照してください。

Novell NDS データベースに対する認証ができない。

ツリー名、コンテキスト名、コンテナ名がすべて正しく指定されていることを確認してください。ユーザが存在するコンテナから開始します。必要に応じて、後からコンテナを追加できます。

成功したら、AAA クライアントで、シェル ユーザ(Telnet ユーザ)を認証できるかどうかを確認します。また、PPP の場合は、非同期インターフェイスで PAP 認証が設定されていることを確認します。

複数のグループに同じユーザが表示されるか、Cisco Secure ACS データベースでユーザが重複している。データベースからユーザを削除できない。

コマンド ラインから次のコマンドを入力して、データベースをクリーンアップします。

csutil -q -d -n -l dump.txt

このコマンドを使用すると、カウンタをクリーンアップするために、データベースがアンロードされ、リロードされます。


ヒント Cisco Secure ACS をデフォルトの場所にインストールした場合、CSUtil.exe
C:\Program Files\CiscoSecure ACS vX.X\Utils ディレクトリにあります。

csutil コマンドの使用方法の詳細については、 付録 D「CSUtil データベース ユーティリティ」 を参照してください。

ダイヤルイン接続の問題

状態
回復処置

ダイヤルイン ユーザが AAA クライアントに接続できない。

試行のレコードが TACACS+ Accounting Report または RADIUS Accounting Report に表示されない(Reports & Activity セクションで、 TACACS+ Accounting RADIUS Accounting 、または Failed Attempts をクリック)。

Cisco Secure ACS Reports または AAA クライアント Debug の出力を調べて、問題がシステム エラーにあるか、またはユーザ エラーにあるかを特定します。次の事項を確認してください。

Cisco Secure ACS をインストールする 前に 、ダイヤルイン ユーザが接続を確立し、コンピュータに対して ping を実行できたこと。ダイヤルイン ユーザがこれらを実行できなかった場合、問題は Cisco Secure ACS ではなく、AAA クライアントまたはモデムの設定にあります。

Cisco Secure ACS を実行しているコンピュータと AAA クライアントの両方の LAN 接続が物理的に接続されていること。

Cisco Secure ACS 設定の AAA クライアントの IP アドレスが正しいこと。

AAA クライアント設定の Cisco Secure ACS の IP アドレスが正しいこと。

TACACS+ キーまたは RADIUS キーが、AAA クライアントおよび Cisco Secure ACS の両方で同一であること(大文字と小文字は区別されます)。

Windows ユーザ データベースを使用する場合は、 ppp authentication pap コマンドが各インターフェイスに対して入力されていること。

Cisco Secure ACS データベースを使用する場合は、 ppp authentication chap pap コマンドが各インターフェイスに対して入力されていること。

AAA コマンドおよび TACACS+ 、または RADIUS のコマンドが、AAA クライアントに正しく設定されていること。必要なコマンドのリストを次のファイルに示します。

Program Files\CiscoSecure ACS vx.x\TacConfig.txt
Program Files\CiscoSecure ACS vx.x\RadConfig.txt

Cisco Secure ACS サービス(CSAdmin、CSAuth、CSDBSync、CSLog、CSRadius、CSTacacs)が、Cisco Secure ACS を実行しているコンピュータ上で実行されていること。

ダイヤルイン ユーザが AAA クライアントに接続できない。

Windows ユーザ データベースが認証に使用されている。

失敗した試行のレコードが Failed Attempts レポートに表示される(Reports & Activity セクションで Failed Attempts をクリック)。

CiscoSecure ユーザ データベースでローカル ユーザを作成し、認証が成功するかどうかをテストします。成功した場合、問題は、Windows または Cisco Secure ACS の認証に対してユーザ情報が正しく設定されていないことにあります。

Windows User Manager または Active Directory Users and Computers から、次の項目を確認します。

Windows User Manager または Active Directory Users and Computers で、ユーザ名とパスワードが設定されていること。

ワークステーションを介した認証で、ユーザがドメインにログインできること。

User Properties ウィンドウで User Must Change Password at Login が有効になっていること。

User Properties ウィンドウで Account Disabled がオフになっていること。

Cisco Secure ACS が認証に Grant dial-in permission to user オプションを使用している場合、ダイヤルイン ウィンドウの User Properties ウィンドウでこのオプションが有効になっていること。

Cisco Secure ACS から次の項目を確認してください。

ユーザ名がすでに Cisco Secure ACS に入力されている場合、ユーザの User Setup ページにある Password Authentication リストで Windows ユーザ データベース設定が選択されていること。

ユーザ名がすでに Cisco Secure ACS に入力されている場合、そのユーザが割り当てられた Cisco Secure ACS のグループで正しい許可(IP/PPP、IPX/PPP、Exec/Telnet など)が有効になっていること。設定を変更したときは、必ず Submit + Restart をクリックしてください。

Windows ユーザ データベース内のユーザ期限満了情報による認証の失敗が起きていないこと。トラブルシューティングのため、Windows ユーザ データベースのユーザについてパスワードの有効期限を無効にします。

External User Databases をクリックし、次に List All Databases Configured をクリックすると、Windows のデータベース設定が一覧表示されることを確認します。

External User Databases セクションの Configure Unknown User Policy テーブルで、Fail the Attempt がオフなっていることを確認します。また、Selected Databases リストに必要なデータベースが反映されていることを確認します。

ユーザが属している Windows グループに No Access が適用されていないか確認します。

ダイヤルイン ユーザが AAA クライアントに接続できない。

CiscoSecure ユーザ データベースが認証に使用されている。

失敗した試行のレコードが Failed Attempts レポートに表示される(Reports & Activity セクションで Failed Attempts をクリック)。

Cisco Secure ACS から次の項目を確認してください。

Cisco Secure ACS にユーザ名が入力されていること。

Password Authentication リストで CiscoSecure ユーザ データベースが選択され、ユーザの User Setup にパスワードが入力されていること。

ユーザを割り当てた Cisco Secure ACS のグループで正しい許可(IP/PPP、IPX/PPP、Exec/Telnet など)が有効になっていること。設定を変更したときは、必ず Submit + Restart をクリックしてください。

失効情報によって認証の失敗が起きていないこと。トラブルシューティングのために、Expiration を Never に設定します。

ダイヤルイン ユーザが AAA クライアントに接続できない。ただし、Telnet 接続は LAN の全体にわたって認証される。

この場合、問題は 3 つのうちのいずれかに分類されます。

回線またはモデムの設定に問題があります。モデムのマニュアルを参照して、モデムが正しく設定されているかどうかを確認してください。

ユーザが、正しい許可権限のあるグループに割り当てられていない。許可権限は Group Setup で修正できます。ユーザ設定を行うと、グループ設定が無効になります。

Cisco Secure ACS か TACACS+、または RADIUS の設定が AAA クライアントで正しく行われていません。

さらに、LAN に接続されているワークステーションからアクセス サーバへの Telnet を試行することによって、Cisco Secure ACS の接続を検証できます。Telnet が正常に認証された場合は、Cisco Secure ACS が AAA クライアントで正しく動作していることが確認されます。

ダイヤルイン ユーザが AAA クライアントに接続できない。Telnet 接続も LAN 全体にわたって認証されない。

Cisco Secure ACS が要求を受信しているかを調べます。これは、Cisco Secure ACS レポートを表示して実行します。レポートに書かれていない事項および使用データベースに基づいて、問題のトラブルシューティングは、次の 1 つに対して行います。

回線またはモデムの設定に問題があります。モデムのマニュアルを参照して、モデムが正しく設定されているかどうかを確認してください。

Windows ユーザ データベース、または CiscoSecure ユーザ データベースにユーザが存在せず、パスワードが正しくない可能性があります。認証パラメータは、User Setup で修正できます。

Cisco Secure ACS か TACACS+、または RADIUS の設定が AAA クライアントで正しく行われていません。

コールバックが動作しない。

ローカルの認証を使用しているときに、AAA クライアント上でコールバックが動作することを確認します。その後で、AAA 認証を追加します。

PAP の使用時、ユーザ認証が失敗する。

送信 PAP がイネーブルになっていません。Failed Attempts レポートに送信 PAP を使用していると示された場合は、
Interface Configuration セクションに移動し、 Per-User Advanced TACACS+ Features チェックボックスをオンにします。次に、User Setup ページの Advanced TACACS+ Settings テーブルの TACACS+ Outbound Password セクションに移動し、指定されたボックスにパスワードを入力して確認します。

デバッグの問題

状態
回復処置

debug aaa authentication を AAA クライアント上で実行すると、失敗したというメッセージが Cisco Secure ACS から返される。

AAA クライアントまたは Cisco Secure ACS の設定が間違っている可能性があります。

Cisco Secure ACS から次の項目を確認してください。

Cisco Secure ACS が要求を受信していること。これは、Cisco Secure ACS レポートを表示して実行します。レポートに書かれている事項または書かれていない事項によって、Cisco Secure ACS の設定の誤りがわかります。

AAA クライアントで、次の事項を確認してください。

Windows ユーザ データベースに対する認証を使用する場合は、 ppp authentication chap pap コマンドが各インターフェイスに対して入力されていること。

CiscoSecure ユーザ データベースに対する認証を使用する場合は、 ppp authentication chap pap コマンドが各インターフェイスに対して入力されていること。

AAA および TACACS+、または RADIUS の設定が、AAA クライアントで正しく行われていること。

debug aaa authentication および debug aaa authorization を AAA クライアント上で実行すると、認証には PASS が返されるが、許可には FAIL が返される。

この問題は、許可権限が正しく割り当てられていないことが原因です。

次の事項を確認してください。

Reports and Activities の下の Failed Attempts レポートを調べて、ユーザに対して拒否されているサービスまたはプロトコルがあるかどうかを確認してください。

User Setup で、ユーザが正しい許可権限を持つグループに割り当てられているかどうかを確認してください。許可権限は Group Setup で修正できます。ユーザ設定を行うと、グループ設定が無効になります。

TACACS+ または RADIUS の特定のアトリビュートが、Group Setup セクションに表示されない場合、このアトリビュートが Interface Configuration の TACACS+(Cisco IOS)または RADIUS で有効になっていない可能性があります。

プロキシの問題

状態
回復処置

別のサーバへのプロキシ要求が失敗する。

次の条件が満たされていることを確認してください。

リモート サーバの方向が Incoming/Outgoing または Incoming に設定され、認証転送サーバの方向が Incoming/Outgoing または Outgoing に設定されていること。

共有秘密(キー)が、片方あるいは両方の Cisco Secure ACS の共有秘密(キー)と一致していること。

文字列とデリミタが、Proxy Distribution テーブルで設定されているストリップ情報と一致し、その位置が正しく Prefix または Suffix に設定されていること。

上記の条件が満たされている場合は、サーバがダウンしているか、フォールバック サーバが設定されていない可能性があります。Network Configuration セクションに移動し、フォールバック サーバを設定します。フォールバック サーバは、次の状況にのみ使用されます。

リモート Cisco Secure ACS がダウンしている。

サービス(CSTacacs、CSRadius、または CSAuth)がダウンしている。

秘密キーが間違って設定されている。

Inbound/Outbound メッセージ通信が間違って設定されている。

インストールおよびアップグレードの問題

状態
回復処置

Cisco Secure ACS をアップグレードまたはアンインストールしようとすると、次のエラー メッセージが表示される。

The following file is
invalid or the data is corrupted

"DelsL1.isu"

Windows レジストリから、次のレジストリ キーを削除します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Uninstall\CiscoSecure

以前のアカウンティング ログがすべて見当たらない。

Cisco Secure ACS ソフトウェアの再インストールまたはアップグレード時にはこれらのファイルが削除されるため、これらのファイルは事前に別のディレクトリに移動させておく必要があります。

MaxSessions の問題

状態
回復処置

MaxSessions over VPDN が動作しない。

MaxSessions over VPDN の使用は、サポートされていません。

User MaxSessions が不安定、または信頼できない。

Cisco Secure ACS と AAA クライアントとの接続が不安定なためにサービスが再開されている可能性があります。 Single Connect TACACS+ AAA Client チェックボックスをオフにします。

User MaxSessions が反映されない。

AAA クライアントでアカウンティングを設定してあることと、アカウンティングの開始レコードと停止レコードを受信していることを確認してください。

レポートの問題

状態
回復処置

logname active.csv レポートがブランクである。

プロトコルの設定が、最近変更されました。

プロトコルの設定を変更すると、既存の logname active.csv レポート ファイルは logname yyyy-mm-dd.csv にリネームされ、ブランクの新規 logname active.csv レポートが生成されます。

レポートがブランクである。

System Configuration の Logging にある Log Target の reportname で、Log to reportname Report が選択されていることを確認してください。さらに、Network Configuration の servername で Access Server Type を Cisco Secure ACS for Windows NT に設定する必要があります。

Unknown User 情報がレポートに含まれない。

Unknown User データベースが変更されています。Accounting レポートには、今までどおり未知のユーザ情報が含まれています。

エントリ が、1 ユーザ セッションに対して 2 つ記録される。

リモート ロギング機能の設定で、アカウンティング パケットの送信先が、Proxy Distribution Table の Send Accounting Information フィールドと同じ場所に設定されていないことを確認します。

日付フォーマットを変更しても、Logged-In User リストと CSAdmin ログの日付が変更前のフォーマットで表示される。

変更を確認するには、csadmin サービスを再起動して、再びログインします。

一部のデバイスで Logged in Users レポートが機能しない。

Logged in Users レポートを機能させるには、少なくとも次のフィールドがパケットに含まれている必要があります(これは、このレポートだけでなく、セッションを持つほとんどの機能に当てはまります)。

認証要求パケット

nas-ip-address

nas-port

アカウンティング開始パケット

nas-ip-address

nas-port

session-id

framed-ip-address

アカウンティング停止パケット

nas-ip-address

nas-port

session-id

framed-ip-address

また、接続が短く、開始パケットと停止パケットの間にほとんど時間がない場合(たとえば、PIX Firewall を介した HTTP など)、 Logged in Users レポートは失敗する可能性があります。

サード パーティ製サーバの問題

状態
回復処置

RSA トークン サーバを正しく設定できない。

1. Cisco Secure ACS を実行しているコンピュータにログインします(ログイン アカウントに管理者特権があることを確認してください)。

2. RSA クライアント ソフトウェアが Cisco Secure ACS と同一のコンピュータにインストールされていることを確認します。

3. セットアップの指示にしたがって実行します。インストール終了時に再起動しないでください。

4. sdconf.rec という名前のファイルを RSA ACE サーバの /data ディレクトリで検索します。

5. sdconf.rec %SystemRoot%\system32 ディレクトリに置きます。

6. ACE サーバを実行しているマシンに対して、ホスト名で ping を実行できることを確認します(このマシンを lmhosts ファイルに追加する必要があります)。

7. RSA のサポートが、Cisco Secure ACS の External User Database の Database Configuration で有効になっていることを確認します。

8. Windows の Control Panel から ACE/Client アプリケーションに対して Test Authentication を実行します。

9. Cisco Secure ACS から、トークン サーバをインストールします。

認証要求で外部データベースがヒットしない。

System Configuration > Service Control で、ロギングをフルに設定します。

csauth.log を調べて、認証要求がサード パーティ製サーバに転送されていることを確認します。転送されていない場合は、外部データベースの設定と未知ユーザ ポリシーの設定が正しいことを確認します。

RSA/agent 認証は機能しているが、ACE/SDI サーバで Cisco Secure ACS からの着信要求が表示されない。

ダイヤルアップ ユーザの場合は、MS-CHAP や CHAP ではなく PAP を使用していることを確認してください。RSA/SDI は CHAP をサポートしていないので、Cisco Secure ACS は RSA サーバに要求を送信せず、外部データベースの障害としてエラーを記録します。

ユーザ認証の問題

状態
回復処置

管理者が Dialin Permission 設定を無効にしても、Windows データベース ユーザはダイヤルインが可能で、Windows ユーザ データベースで設定されたコールバック文字列を使用できる(External User Databases、Database Configuration、Windows Database、および Configure をクリックすると、Dialin Permission チェックボックスが表示されます)。

Cisco Secure ACS サービスを再起動してください。手順については、「サービスの停止、開始、再開」を参照してください。

ユーザが新しいグループから設定を継承しない。

新しいグループに移動したユーザは新しいグループの設定を継承しますが、既存のユーザ設定も保持しています。手動で User Setup セクションの設定を変更します。

認証に失敗する。

Failed Attempts レポートを調べます。

リトライ間隔が短すぎる可能性があります(デフォルトは 5 秒です)。AAA クライアントのリトライ間隔( tacacs-server timeout 20 )を 20 以上に増やしてください。

Windows ユーザ データベースに対する認証中に AAA クライアントがタイムアウトする。

TACACS+/RADIUS タイムアウト間隔を、デフォルトの 5 から 20 に増やしてください。Cisco IOS コマンドを次のように設定します。
tacacs-server timeout 20
radius-server timeout 20

認証に失敗し、「Unknown NAS」というエラーが Failed Attempts ログに記録される。

次の事項を確認してください。

AAA クライアントが Network Configuration セクションの下に設定されていること。

AAA クライアントで RADIUS/TACACS source-interface コマンドを設定してある場合は、指定されたインターフェイスの IP アドレスを使用して ACS 上のクライアントが設定されていること。

あるいは、ホスト名と IP アドレスをブランクのままにしてキーだけを入力することにより、NAS コンフィギュレーション領域でデフォルトの NAS を設定できます。

認証に失敗し、「key mismatch」というエラーが Failed Attempts ログに記録される。

TACACS+ キーまたは RADIUS キーが、AAA クライアントおよび Cisco Secure ACS の両方で同一であることを確認してください(大文字と小文字は区別されます)。

両方のキーが同一であることを確認するため、キーを再入力します。

ユーザの認証はできるが、許可が予期したものと異なる。

ベンダーが違えば、使用する AV ペアも異なります。あるベンダー プロトコルで使用されている AV ペアが、別のベンダー プロトコルでは無視されることがあります。ユーザの設定に、正しいベンダー プロトコル、たとえば、RADIUS(Cisco IOS/PIX)が反映されているかどうかを確認してください。

LEAP 認証に失敗し、「Radius extension DLL rejected user」というエラーが Failed Attempts ログに記録される。

Access Point で正しい認証タイプが設定されていることを確認します。少なくとも Network-EAP チェックボックスがオンになっていることは確認します。

認証に外部ユーザ データベースを使用している場合は、それがサポートされていることを確認します。詳細については、「認証プロトコルとデータベースの互換性」を参照してください。

TACACS+ および RADIUS のアトリビュートの問題

状態
回復処置

TACACS+ および RADIUS のアトリビュートが Group Setup ページに表示されない。

Network Configuration セクションで RADIUS または TACACS+ の AAA クライアントを少なくとも 1 つ設定するようにし、さらに Interface Configuration セクションで、設定の必要なアトリビュートを有効にしてください。


) 一部のアトリビュートは、Cisco Secure ACS ではユーザによる設定はできませんが、これらのアトリビュートの値は Cisco Secure ACS によって設定されます。